Starke Passwörter – so geht's

Stand:
Auch wenn es lästig ist – um sichere Passwörter kommt niemand herum. Wir zeigen, wie Sie gute Passwörter erstellen können.
Vor einem Computer steht ein Schild und erinnert daran, das Passwort zu ändern.

Das Wichtigste in Kürze:

  • Sichere Passwörter sollten mindestens 8 Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen und in keinem Wörterbuch zu finden sein oder mit Ihnen in Verbindung stehen.
  • Bei Datenlecks gelangen immer wieder Nutzerkonten und Passwörter in Listen, die sich im Internet verbreiten. Nutzen Sie daher für jedes Nutzerkonto ein einzigartiges Passwort.
  • Je sensibler ein Zugang ist (etwa beim Online-Banking), desto wichtiger ist ein möglichst starkes Passwort.
On

Viele Internetnutzer:innen hoffen einfach, dass es sie nicht trifft. Was aber, wenn doch? Wenn auf einmal das Passwort für Ebay geklaut wurde, das bei Ihnen zugleich vielleicht auch der Schlüssel zu Paypal, diversen Online-Shops sowie zum Facebook- und E-Mail-Account ist? Dann besteht die Gefahr, dass sich Dritte einloggen und mit falschen Daten Bestellungen im Internet tätigen – die Rechnungen aber an Sie gehen. Fremde können mit Ihren Logins außerdem Verträge abschließen, Nachrichten verschicken, Profile verändern und vieles mehr tun.

Video laden: Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu YouTube hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Wie kommen Diebe an Passwörter?

Dass andere an Ihre Passwörter kommen, kann vor allem zwei Gründe haben:

  1. Durch Datenleaks bei großen online agierenden Unternehmen gelangen immer wieder Millionen Benutzernamen und Passwörter in die Hände von Kriminellen. Das Hasso-Plattner-Institut (HPI) der Uni Potsdam geht längst von Milliarden betroffener Nutzerkonten aus. Die ergaunerten Passwörter und persönliche Informationen der Inhaber kursieren in langen Listen, häufig im sogenannten Darknet, und können theoretisch von jedem im Netz gefunden werden.

    Wer davon betroffen ist, sollte dringend seine Passwörter ändern. Ob Ihre E-Mail-Adresse betroffen ist, können Sie online beim HPI prüfen lassen.
     
  2. Neben solchen Datenleaks ist ein schlecht gewähltes Passwort nach wie vor die am meisten genutzte Sicherheitslücke im Internet. Denn Hacker können es mit Hilfe bestimmter Programme rasch herausfinden. Diese Programme testen in Sekundenschnelle unterschiedliche Buchstaben- und Zahlenkombinationen, etwa aus Wörterbüchern, in Verbindung mit Zahlenkombinationen.

    Forscher der Universität Potsdam haben mehr als 67 Millionen Zugangsdaten mit E-Mail-Adresse auf Endung .de untersucht, die aus Datenleaks im Jahr 2019 stammen und im Internet frei verfügbar sind. Das Ergebnis: In Deutschland wird derzeit das Passwort "123456" am häufigsten genutzt, gefolgt von "123456789" und "12345678". Unsicherer als mit solchen Passwörtern geht es kaum!

Denkbar ist außerdem, dass Fremde per Phishing, also beispielsweise mit manipulierten E-Mails, an Ihre Login-Daten kommen. Was Sie bei verdächtigen E-Mails beachten sollten, finden Sie in unserem Phishing-Bereich.

Um sicher im Netz unterwegs zu sein, ist darum besonders wichtig:

  1. Nutzen Sie möglichst für jeden Dienst ein eigenes Passwort. Gibt es bei einem der Portale eine Sicherheitslücke, über die Zugangsdaten wie Passwörter und Benutzername abhanden gekommen sind, können sich Kriminelle mit den ergaunerten Daten nicht in alle Ihre anderen Accounts einloggen.
  2. Wählen Sie möglichst starke Passwörter, die sich nicht leicht erraten lassen.

Die wichtigsten Tipps auf einen Blick liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf einem Faktenblatt.

6 Regeln für gute Passwörter

  1. Grundsätzlich gilt: Je länger das Passwort, desto sicherer. Ein Passwort sollte mindestens 8 Zeichen lang sein.
  2. Es sollte aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § & ? * ! ?) bestehen und nicht in einem Wörterbuch zu finden sein oder mit Ihnen und Ihrer Familie im Zusammenhang stehen. Verwenden Sie also keine Namen, Geburtsdaten, Telefonnummern oder Ähnliches.
  3. Es sollte keine bloße Zahlenfolge (12345…), alphabetische Buchstabenfolge (abcdef…) oder eine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen.
  4. Je sensibler ein Zugang ist (etwa beim Online-Banking), umso mehr Sorgfalt sollten Sie bei der Auswahl eines starken Passworts walten lassen. Falls der Anbieter keine Zeichenbegrenzung für das Passwort vorsieht, gilt: Je länger, desto besser! Verwenden Sie in solchen Fällen also lieber 10 als 8 Zeichen.
  5. Wählen Sie nicht ein Passwort für alle Portale, sondern legen Sie für jeden genutzten Dienst bzw. jeden Ihrer Online-Accounts eigene Passwörter an.
  6. Ändern Sie ein Passwort, wenn es Ihnen von einem Anbieter übermittelt wurde und Sie sich das erste Mal dort angemeldet haben. Weitere Gründe zum Ändern des Codes wären, dass Ihr Online-Dienstleister Sie dazu auffordert, große Datenlecks bekannt werden oder Ihr Gerät mit Schadsoftware infiziert worden ist.

Lange wurde empfohlen, Passwörter regelmäßig zu ändern. Viele Nutzer haben dadurch ihre Codes eher geschwächt, um sie sich leichter merken zu können. Deshalb geben Sicherheitsbehörden wie das BSI diese Empfehlung nicht mehr aus.

So erstellen Sie gute Passwörter

  • Bauen Sie sich Eselsbrücken beim Passwortbau, indem Sie sich beispielsweise einen Satz überlegen, der Ihnen immer wieder einfallen wird und von dem Sie jeweils nur den ersten Buchstaben der einzelnen Wörter sowie die Satzzeichen nutzen. Zum Beispiel: "Ein blaues, kleines Pferd liest Kaffeesatz auf dem Ausflugsdampfer." wird auf diese Weise zum Passwort: Eb,kPlKadA. Am besten ist, wenn Sie einen solchen Satz frei erfunden und nicht irgendwo gelesen haben.
  • So unbequem das auch sein mag: Verwenden Sie auch solche Passwörter nicht für mehrere Dienste! Selbst Varianten wie Eb,kPlKadA.-E-Mail fürs E-Mail-Konto und Eb,kPlKadA.-PC für den Login am Computer können Fremde leicht erraten.
  • Sie können ein Passwort auch mit speziellen Passwort-Managern erstellen lassen und verwalten.

Halten Sie Passwörter-Listen geheim

Notieren Sie sich - wenn überhaupt - das Passwort an einem geschützten Ort – nicht auf einem Zettel am PC, nicht in Ihrer Brieftasche oder gesammelt in Ihrem Kalender. Auch auf Computer und Smartphone gilt: Legen Sie sich dort keine ungeschützten Dateien mit Passwörtern an, die Fremde ohne weiteres öffnen können. Sollten Sie Passwörter auf Ihrem PC oder Smartphone speichern wollen, sollten Sie dafür geeignete Passwort-Manager nutzen und den Zugang zu diesem mit einem starken Masterpasswort sichern. Verschicken Sie Passwörter nicht per E-Mail, SMS oder auf einem ähnlichen Weg.

Seien Sie vorsichtig damit, Passwörter in Ihrer Software zu speichern, z.B. im E-Mail-Programm, dem Browser, auf dem Smartphone etc. Speichern die Programme Ihre Daten unverschlüsselt und/oder ist das Gerät selbst nicht gut geschützt, können dann andere mit Ihrem PC oder Smartphone Zugriff auf Ihre Nutzerkonten bekommen.

Passwort-Manager helfen beim Erstellen und Merken

Komplizierte Passwörter erstellen, für jedes Nutzerkonto ein eigenes haben und sich alle ohne Zugriff für Dritte merken: Eine gute Hilfe dabei können Passwort-Manager sein. Im Internet finden Sie diverse Software, mit der Sie Ihre Passwörter verwalten und verschlüsselt speichern können. Das BSI nennt etwa das Programm KeePass. Die Stiftung Warentest hat im Januar 2020 Testergebnisse für 14 Passwort-Manager veröffentlicht.

Nutzen Sie einen Passwort-Manager, dann müssen Sie ein zentrales Passwort wählen, ein sogenanntes Master-Passwort, mit dem sich die Software starten und die gespeicherten Passwörter anzeigen lassen. Das Master-Passwort sollte ganz besonders sicher sein. Wählen Sie am besten ein besonders langes Passwort, mit 20 Zeichen oder mehr. Sagen Sie es niemandem, schreiben Sie es nicht auf und nutzen Sie den Passwort-Manager nicht auf ungeschützten, fremden Geräten, die mit Schadsoftware infiziert sein könnten.

 

Video "Passwortmanager – sichere Passwörter clever organisiert"

Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu Vimeo hergestellt und Daten werden dorthin übermittelt.

Passwort-Tipps vom BSI

Ausführliche Tipps für sichere Passwörter finden Sie auch auf den Internetseiten des BSI:

Tipps über sichere Passwörter hinaus

Zwei-Faktor-Verfahren: Einige Online-Dienstleister bieten Verfahren an, mit denen Sie sich zusätzlich zum Passwort auf einem zweiten Weg identifizieren müssen, um sich einloggen zu können. Diese sogenannte Zwei-Faktor-Authentifizierung gibt es in zahlreichen Varianten, z.B. als Code per SMS, mit einem TAN-Generator fürs Online-Banking oder einer App. Achtung: Auch bei einem solchen Verfahren sollten Sie auf starke Passwörter nicht verzichten!

Sicheres Entsperren von Smartphones: Auf dem Smartphone ist es besonders bequem, Passwörter in den Apps abspeichern zu lassen, sodass man sie nicht bei jedem Start neu eingeben muss. Das birgt zusätzliche Risiken. Wird das Smartphone gestohlen, könnte der Dieb Zugang zu Online-Banking und anderen Konten bekommen. Speichern Sie darum möglichst wenige Passwörter auf Ihrem Gerät.

Viele Smartphones lassen sich verschlüsseln – nutzen Sie diese Möglichkeit, nicht nur wenn Sie Passwörter auf dem Gerät speichern.

Außerdem sollten Sie eine automatische Bildschirmsperre einrichten und eine möglichst sichere Methode zum Entsperren wählen. Wir geben Tipps dafür, welche Vor- und Nachteile Muster, Fingerabdrücke und Co. haben.

Single-Sign-On / Login Allianzen: Von Anbietern wie Facebook, Google, Amazon oder auch "Verimi" sowie "NetID" gibt es Lösungen, sich bei anderen Apps und Seiten mit deren Login-Daten anzumelden. Das Verfahren heißt "Single-Sign-On". Das sehen die Verbraucherzentralen nicht nur unter Aspekten des Datenschutzes kritisch, denn so können diese Firmen etwa erfahren, wann Sie sich wo angemeldet haben. Ein zentraler Login bei einem dieser Dienste bedeutet auch, dass Kriminelle bei einem Datenleck dort besonders leichten Zugriff auf viele Ihrer übrigen Nutzerkonten haben können. Mehr dazu lesen Sie hier.