...
Ja, sowas kann man auch machen, solange man damit klarkommt und trotzdem sichergestellt ist, daß stets individuelle Passwörter für unterschiedliche Dienste verwendet werden.
Trotzdem halte ich das für weniger sicher, als tatsächlich zufällige Passwörter zu verwenden, die ein Passwort-Manager verwaltet und die nach keinem menschlichen Schema konstruiert sind.
Meist hat man bei deinem Vorgehen einen "sicheren" Teil im Passwort, der üblicherweise nicht erratbar sein sollte und einen dienstbezogenen Teil, der irgendwie offensichtlich für einen selbst ist, so daß man sich den nicht mal merken muss, weil man einfach weiß, wie man den konstruiert. Kann man dann am "sicheren" Teil einfach anhängen oder voranstellen.
Keine Ahnung welches Schema du benutzt, musst du selbstverständlich nicht mal im Ansatz offenlegen.
Ich sehe so ein managerloses Schema aus folgendem Grund als weniger sicher an:
mal angenommen ein Dienst wird gehackt und die haben die Kundenpasswörter nicht nach dem Stand der Technik gespeichert, z.B. nicht als "gesalzene" Hash-Werte mit einem sicheren Hash-Verfahren, selten bekommt man belastbare Infos dazu, und Fieslinge konnten Klartext-Passwörter abgreifen oder das verwendete schlechte Hashverfahren knacken. Die Fieslinge erlangen also Kenntnis von deinem "sicheren" Passwort-Teil und das Schema für den dienstebezogenen Teil ist "offensichtlich" oder leicht erratbar.
Damit fällt so ein managerloses Schema in sich zusammen und erlaubt Angreifern weitere deiner Konten anzugreifen.
Mit individuellen und zufälligen Passwörtern kann das nicht passieren und da managerverwaltet kannst du idR ohne Komforteinbußen lange Passwörter benutzen, Minimum 16, besser 20, aber 24 oder 32 Zeichen sind da auch kein Problem.
Aber, nicht ignorieren, ein Passwort-Manager ist dann immer auch ein sehr begehrtes Angriffsziel. Die wenigen guten Produkte stehen bei Bösewichten und deren potentieller Malware recht weit oben auf der Liste. Ich sähe hier einen bevorzugten Angriffsvektor über die bei Passwort-Managern übliche Browser-Integration.
Man kann hier nur hoffen, daß die Browser-Erweiterungen gescheit programmiert sind. Aber da Browser selbst kaum noch handhabbare Software-Ungetüme sind, dürften sich der eine oder andere
Zero-Day-Bug immer wieder finden und ausnutzen lassen.
