Sicheres Passwort: Tipps für den optimalen Pass­wort­schutz

Ob E-Mail-Account, Dropbox oder Online-Banking: Fast überall benötigt man ein Passwort, um sich einloggen und die Online-Dienste nutzen zu können. Doch bei der Wahl des Passworts greifen viele Menschen auf klas­si­sche Kom­bi­na­tio­nen aus Namen, Ge­burts­da­ten oder Orten zurück, die sie sich möglichst einfach merken können. Ein Fehler, denn ein solches Passwort lässt sich innerhalb weniger Sekunden knacken. Ein wirklich sicheres Passwort zu ge­ne­rie­ren, ist kom­pli­zier­ter, als man denkt.

Ein sicheres Passwort ge­ne­rie­ren

Warum sind sichere Pass­wör­ter so wichtig?

Bei den meisten Online-Diensten ist das Passwort der einzige Schutz­me­cha­nis­mus für sensible Daten. Greift man bei der Pass­wort­wahl aus Be­quem­lich­keit auf zu einfache Kom­bi­na­tio­nen zurück, ist es für Internet-Kri­mi­nel­le ein Leichtes, das Passwort zu knacken und sich so bei­spiels­wei­se Zugriff auf Zah­lungs­da­ten oder per­sön­li­che In­for­ma­tio­nen zu ver­schaf­fen. Schon eine einfache Wör­ter­buch­at­ta­cke reicht oft aus, um viele der gängigen Kennworte zu knacken.

Wie sieht ein sicheres Passwort aus?

Bei dieser Art von Cy­ber­an­griff werden bei­spiel­wei­se über ein Programm zahl­rei­che Pass­wör­ter durch­pro­biert, die auf Zei­chen­fol­gen beruhen, die sinnvolle Worte ergeben – es wird also praktisch eine Art Wör­ter­buch durch­ge­gan­gen. Ein gutes Passwort sollte daher aus min­des­tens 8 zufällig gewählten al­pha­nu­me­ri­schen Zeichen und Son­der­zei­chen bestehen. Ein wichtiger Ge­ne­ral­schlüs­sel, zum Beispiel für einen Passwort-Safe, sollten min­des­tens 12 Zeichen umfassen.

Typische Fehler bei der Pass­wort­wahl

Damit das eigene Passwort sich nicht ohne Weiteres knacken lässt, sollte man unbedingt die folgenden Passwort-Fehler vermeiden:

Zu einfaches Passwort

„123456“, „abcdefg“ oder „Password“ gehören zu den be­lieb­tes­ten Pass­wör­tern weltweit – und damit auch zu den mit Abstand un­si­chers­ten. Schon ein einfacher Wör­ter­buch­an­griff kann diese Kom­bi­na­tio­nen in wenigen Sekunden auslesen. Zah­len­lis­ten werden ebenfalls auf­ge­le­sen, also gelten auch Ge­burts­da­ten als unsicher.

Zu kurzes Passwort

Ein kurzes Passwort hat einen einzigen Vorteil: Es ist leicht zu merken. Doch die Ge­dächt­nis­stüt­ze geht ganz klar auf Kosten der Si­cher­heit. Ein sicheres Passwort muss min­des­tens acht Zeichen lang sein, denn zu kurze Pass­wör­ter können durch eine einfache Brute-Force-Attacke (Aus­pro­bie­ren möglicher Zei­chen­kom­bi­na­tio­nen) binnen weniger Sekunden ent­schlüs­selt werden. Außerdem sollte das Passwort neben Klein­buch­sta­ben auch Groß­buch­sta­ben, Ziffern und Son­der­zei­chen enthalten.

Das gleiche Passwort für mehrere Dienste verwenden

Manche Seiten sind leider sehr zu leicht zu knacken. Die dort hin­ter­leg­ten Daten mögen zwar nicht sehr sensibel sein, doch verwendet man das gleiche Passwort sowohl für das geknackte Webportal als auch für seinen Online-Banking-Account oder Amazon-Zugang, erhalten Cy­ber­kri­mi­nel­le Zugriff auf wichtige Zah­lungs­in­for­ma­tio­nen.

Um zu über­prü­fen, wie sicher das eigene Passwort tat­säch­lich ist, helfen prak­ti­sche Tools wie How Secure is my Password?.

Passwort-Ge­ne­ra­to­ren verwenden

Ein gutes Passwort zu wählen, ist schwierig, selbst wenn man die oben genannten Fehler vermeidet und eine aus­rei­chend lange Zei­chen­kom­bi­na­ti­on wählt. Sobald man versucht, eine per­sön­lich nach­voll­zieh­ba­re oder leicht ein­präg­sa­me Kom­bi­na­ti­on zu finden, ist das Passwort durch­schau­bar – zumindest für die aus­ge­klü­gel­ten Hacking-Programme. Deshalb ist es sinnvoll, einen Passwort-Generator zu nutzen. Diese Hilfs­mit­tel gibt es auch als App, bei­spiels­wei­se die Open Source App Password Generator für Android oder – auf Basis eines 256-Bit-Ver­schlüs­se­lungs­me­cha­nis­mus – Passwort Generator.# für iOS bzw. iPhone. Mit wenigen Klicks kann man damit ein sicheres Passwort kostenlos ge­ne­rie­ren. Solche Passwort-Ge­ne­ra­to­ren findet man ebenfalls als Freeware für den PC. Seiten wie Da­ten­schutz.org oder der Zu­falls­ge­nera­tor von Avast erstellen live sichere Pass­wör­ter in ge­wünsch­ter Länge.

Eigenes Passwort-System nutzen

Sie können auch folgende Strategie nutzen, um ein für alle Zugänge sicheres und variables Passwort zu finden: Sie variieren ein nahezu „un­knack­ba­res“ Ba­sis­pass­wort/Mas­ter­pass­wort, indem Sie für die un­ter­schied­li­chen Web­por­ta­le jeweils eine bestimmte Er­wei­te­rung nach einem be­lie­bi­gen Schema nutzen. Eine Mög­lich­keit ist bei­spiels­wei­se, das Mas­ter­pass­wort mit dem Namen des genutzten Dienstes, zum Beispiel PayPal oder Ebay, zu kom­bi­nie­ren.

Beispiel einer Passwort-Strategie

Natürlich nimmt man bei der oben vor­ge­schla­ge­nen Strategie nicht „Mas­ter­pass­wort+Ebay“ als Kennwort. Man pickt sich statt­des­sen zum Beispiel die Vokale oder immer den zweiten oder dritten Buch­sta­ben des An­bie­ter­na­mens heraus und platziert diese an bestimmte Stellen der Master-Passwort, zum Beispiel immer an zweiter, dritter und letzter Stelle.

Ein Beispiel: Das Mas­ter­pass­wort ist G5w.&$;(9b.B und man möchte ein Passwort für Ebay kreieren. Man wählt den ersten und dritten Buch­sta­ben aus dem Dienst, also im Falle von Ebay das e und das a, platziert die Buch­sta­ben an letzter und dritt­letz­ter Stelle des Mas­ter­pass­worts und fügt an Beginn des Passworts die Länge des Namens an. So entsteht das Passwort 4G5w.&$;(9bE.Ba. Geht man nach dem gleichen Prinzip für den Dienst PayPal vor, ist das Passwort 6G5w.&$;(9bP.By.

Mas­ter­pass­wort nur für ver­trau­ens­wür­di­ge Seiten

Selbst bei einem aus­ge­klü­gel­ten System bleibt eine Rest­ge­fahr. Es ist nie aus­ge­schlos­sen, dass jemand die Muster erkennen und von einen auf den nächsten Account schließen kann. Wichtig ist daher, dass Kom­bi­na­tio­nen mit dem Mas­ter­pass­wort nur auf hun­dert­pro­zen­tig ver­trau­ens­wür­di­gen Seiten ein­ge­setzt werden. Bei weniger wichtigen und viel­leicht auch weniger sicheren Seiten empfiehlt es sich, ein anderes Passwort zu verwenden. Für Foren und Com­mu­ni­tys, die als wenig sicher gelten, bleibt die Option so­ge­nann­ter Weg­werf­pass­wör­ter, die man tat­säch­lich nur einmalig und auch in keiner anderen Variation verwendet.

Pass­wör­ter merken

Sich ein Ge­ne­ral­pass­wort mit mehr als 12 Zeichen zu merken, ist nicht ganz einfach. Ein einfacher Trick ist es, sich die Kom­bi­na­ti­on als User­pass­wort für den PC zu setzen. Im Anschluss stellt man das Timeout der Bild­schirm­sper­re auf einen kleinen Wert, zum Beispiel zwei Minuten, ein. Das sorgt dafür, dass man nach jeder kleinen Pause am PC das Passwort erneut eingeben muss. Das kann zwar mitunter an den Nerven nagen, sorgt aber dafür, dass sich das Passwort ins Ge­dächt­nis einbrennt.

Passwort speichern: Die besten Tools

Eine letzte goldene Regel der Pass­wort­si­cher­heit lautet: Pass­wör­ter nie un­ver­schlüs­selt (in lesbarem Text) auf dem PC, zum Beispiel in einer Excel-Datei, ablegen. Viel zu einfach können die Pass­wör­ter so von anderen Usern oder einem Trojaner aus­ge­späht werden. Besser ist es, sensible Kenn­wör­ter mit Hilfe eines Passwort-Managers wie Password Safe, oder LastPass zu verwalten.

Was kann man tun, wenn das Passwort gehackt wurde?

Wenn Sie einen Account- bzw. Website-Hack vermuten oder bemerken, sollten Sie schnell handeln, jedoch ruhig bleiben. Sie haben zwei Optionen: Die Kontrolle ei­gen­stän­dig zu­rück­zu­ge­win­nen oder sich vom Anbieter helfen zu lassen. Erfahren Sie mehr in unseren Ratgebern „E-Mail-Account gehackt: was tun?“ sowie „Website gehackt: Anzeichen und Maßnahmen“.