Jeder weiß es: Ein Passwort sollte möglichst lang und kompliziert sein, Sonderzeichen enthalten und überhaupt nur für eine Webseite verwendet werden. Doch weil im Alltag inzwischen so wahnsinnig viele Dienste ein Passwort verlangen, greifen wir zu den einfachsten Passworten. Die beliebtesten Passwörter sind weiterhin 123456789 oder iloveyou.
Hacker haben Werkzeuge, mit denen sie nicht nur vollautomatisch verschiedene Zeichenkombinationen ausprobieren, sondern auch Sätze, Wörterbücher oder beliebte Zahlenkombinationen. Ist ein Passwort einmal geknackt, so können sich die Hacker den Zugang zu vielen verschiedenen Diensten ergaunern.
Was ist ein sicheres Passwort?
Ein sicheres Passwort sollte mindestens acht Zeichen lang sein und eine Mischung aus Buchstaben, Zahlen und Sonderzeichen enthalten. Zudem sollte für jede Anwendung und jeden Dienst ein eigenes Passwort erzeugt werden.
Wie erstelle ich ein gutes Passwort?
Insbesondere mit einer Methode können wir sehr leicht komplizierte Passwörter erzeugen - und zwar, indem wir einen skurrilen Satz bilden und davon die Buchstaben nutzen. Ich bilde zum Beispiel einen Satz, der zu mir persönlich passt, aber nicht unbedingt viel Sinn ergibt, also "Drei mal täglich Marmelade mit Quitten essen ist schön!" . Aus den Anfangsbuchstaben dieses Satzes bildet sich dann das Passwort, also "3mtMmQeis!". Wichtig ist, dass der Satz ein paar Zahlen und am besten auch Sonderzeichen enthält.
Wer sich jetzt verschiedene Passwörter merken muss, kann sich nun passend zu diesem Satz noch ein paar Sonderzeichen einbauen oder ein paar Sonderregeln erfinden. Also könnte zum Beispiel je nach Produkt auch noch der Produktname eingefügt werden: "Drei mal täglich Marmelade mit Google Quitten essen ist schön!" - wird dann zum Passwort "3mtMmGQeis!".
Wie kann ich einen Passwortmanager nutzen?
Mit einem Passwort-Manager können wir unsere Passwörter wie in einem Safe verwalten. Der Zugriff auf die Passwortliste wird über ein Master-Passwort gesichert. Statt vieler Zugänge müssen wir uns nur einen Zugangscode merken.
Wer einen Passwortmanager nutzt, sollte das Masterpasswort sicherheitshalber auf einem Papier notieren, oder auf einem verschlüsselten und externen Datenträger wie einem Stick sichern - allerdings jenseits von Computern und Brieftasche aufbewahren.
Passwort-Manager für das Smartphone
- Für Windows und Apple-Geräte bietet sich der nichtkommerzielle Manager KeepassXC an.
- Für Android-Smartphones kann Keepass2Android genutzt werden.
- Wer ein IOS-Smartphone nutzt, kann sich mit der App Keepassium sichern.
Wie kann ich mein Profil absichern?
Die meisten Webdienste bieten inzwischen weiterführende Sicherheitseinstellungen an. Insbesondere die Zwei-Faktor-Authentifizierung ist zu empfehlen. Mit dieser Einstellung wird der Dienst mit dem eigenen Smartphone verbunden: Wer sich einloggen will, muss also nicht nur das Passwort eingeben, sondern bekommt etwa noch einen Zahlencode über das Smartphone zugeschickt, das ebenfalls mit eingegeben werden muss. Es sind also zwei Schritte nötig, um sich überhaupt einzuwählen.
Welche Passwortlänge ist nötig?
Ein starkes Passwort kann "kürzer und komplex" oder "lang und weniger komplex" sein, erklärt das Bundesamt für Sicherheit in der Informationstechnik. Als Richtlinie für ein sicheres Passwort gibt das Amt folgende Empfehlung.
Ein Passwort ist sicher, wenn es
- 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern). Es ist dann lang und weniger komplex.
- 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden. Es ist dann kürzer und komplex.
- 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert.
Das Bundesamt hat ein Faktenblatt zu sicheren Passwörtern erstellt, das unter diesem Link heruntergeladen werden kann.
Ist mein Passwort gehackt worden?
Immer wieder gelingt es Dieben und Hackern, Passwörter zu stehlen, meist mit der Absicht, sie zu verkaufen. Je länger die Daten nicht geändert werden, desto gefährlicher ist es. In regelmäßigen Abständen ist es daher empfehlenswert, Portale aufzusuchen, die sich auf solche Datenlecks konzentrieren. Ein deutschsprachiges Angebot ist etwa der HPI Identity Leak Checker, ein internationaler Anbieter haveibeenpwned.com.
