Pass­wör­ter sind der Schlüssel zu unseren digitalen Iden­ti­tä­ten. Ein starkes Passwort ist die erste Ver­tei­di­gungs­li­nie gegen Cy­ber­kri­mi­nel­le. Dennoch zeigen Sta­tis­ti­ken, dass viele Nut­ze­rin­nen und Nutzer unsichere Pass­wör­ter verwenden oder Si­cher­heits­lü­cken in ihren digitalen Ge­wohn­hei­ten übersehen.

My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung

Welche Vor­aus­set­zun­gen zur Pass­wort­si­cher­heit gilt es zu beachten?

Bei ihren Pass­wör­tern setzen viele Menschen noch immer auf schwache oder leicht zu erratende Kom­bi­na­tio­nen. Um ein hohes Maß an Pass­wort­si­cher­heit zu ge­währ­leis­ten, sollten ver­schie­de­ne Faktoren beachtet werden. Die Wahl eines sicheren Pass­wor­tes wie auch die Ver­wen­dung von ge­eig­ne­ten Passwort-Ver­wal­tungs-Tools können als Grund­vor­aus­set­zun­gen der Pass­wort­si­cher­heit angesehen werden.

Was zeichnet sichere Pass­wör­ter aus?

Obwohl sichere Pass­wör­ter alleine keine absolute Si­cher­heit gegen Angriffe von Cy­ber­kri­mi­nel­len bieten, ist die Er­stel­lung eines sicheren Pass­wor­tes dennoch von hoher Relevanz, um die eigenen Accounts zu schützen. Hierbei können Nut­ze­rin­nen und Nutzer anhand einer Reihe ver­schie­de­ner Kriterien über­prü­fen, ob das gewählte Passwort sicher ist:

  • Länge: Die Länge eines Passworts spielt eine ent­schei­den­de Rolle, da längere Pass­wör­ter ex­po­nen­ti­ell schwerer zu knacken sind als kürzere. Ein gutes Passwort sollte min­des­tens 12 bis 16 Zeichen umfassen.
  • Kom­ple­xi­tät: Ein sicheres Passwort sollte Groß- und Klein­buch­sta­ben, Zahlen und Son­der­zei­chen wie @, # oder $ enthalten. Diese Vielfalt erschwert es sowohl Menschen als auch au­to­ma­ti­sier­ten Tools, ein Passwort zu erraten.
  • Keine Vor­her­seh­bar­keit: Einfache Muster oder wie­der­erkenn­ba­re Wörter sollten in Pass­wör­tern vermieden werden, da Cy­ber­kri­mi­nel­le häufig Wör­ter­buch­an­grif­fe nutzen, bei denen sie gängige Pass­wör­ter aus­pro­bie­ren.
  • Ein­zig­ar­tig­keit: Verwenden Sie nicht dasselbe Passwort für un­ter­schied­li­che Dienste und Platt­for­men, sondern setzen Sie statt­des­sen auf in­di­vi­du­el­le Kenn­wör­ter für die ver­schie­de­nen Web­diens­te.
  • Re­gel­mä­ßi­ge Pass­wor­t­ak­tua­li­sie­run­gen: Besonders bei kri­ti­schen Diensten ist es hilfreich, Pass­wör­ter re­gel­mä­ßig zu ak­tua­li­sie­ren. So mi­ni­mie­ren Sie das Risiko, dass ein Passwort durch frühere Si­cher­heits­lü­cken miss­braucht wird.

Wahl eines ge­eig­ne­ten Pass­wort­ma­na­gers

Pass­wort­ma­na­ger sind prak­ti­sche Werkzeuge, um komplexe Pass­wör­ter zu erstellen und sicher zu speichern. Bei der Auswahl des passenden Passwort-Ver­wal­tungs-Tools sollten Sie darauf achten, dass Ende-zu-Ende-Ver­schlüs­se­lung un­ter­stützt wird und Funk­tio­nen wie Warnungen bei kom­pro­mit­tier­ten Pass­wör­tern oder Si­cher­heits­prü­fun­gen in­te­griert sind. Auch re­gel­mä­ßi­ge Updates sprechen für einen ver­trau­ens­wür­di­gen Pass­wort­ma­na­ger.

Be­deut­sa­me Passwort-Leaks der letzten Jahre

Jeden Tag geben wir eine riesige Menge sensibler Daten in die Hände von Un­ter­neh­men und Technik, wobei Pass­wör­ter in den meisten Fällen die einzige Schutz­maß­nah­me sind – eine, die allem Anschein nach oft nicht ernst genug genommen wird – zumindest lassen das die zahl­rei­chen Da­ten­lecks der jüngsten Web-Ge­schich­te vermuten. Immer wieder ist es Cy­ber­kri­mi­nel­len gelungen, mithilfe von An­griffs­me­tho­den wie Malware, Phishing-Mails bzw. -Websites oder Brute-Force-Attacken an An­mel­de­infor­ma­tio­nen zu gelangen und auf diese Weise ver­trau­li­che Be­nut­zer­da­ten zu erbeuten. Hier ein Überblick über einige der gra­vie­rends­ten Vorfälle:

  • LinkedIn (2012, 2016): Bereits 2012 wurde LinkedIn gehackt, wobei mehr als 6,5 Millionen gehashte Pass­wör­ter entwendet wurden. Im Jahr 2016 tauchten weitere 117 Millionen Login-Daten aus diesem Hack im Darknet auf.
  • Yahoo (2013, 2014): Eine der größten Si­cher­heits­ver­let­zun­gen überhaupt betraf Yahoo. Zwischen 2013 und 2014 wurden insgesamt drei Mil­li­ar­den Konten kom­pro­mit­tiert. Dies umfasste Nut­zer­na­men, Pass­wör­ter und Si­cher­heits­fra­gen.
  • Adobe (2013): Über 150 Millionen Be­nut­zer­kon­ten von Adobe wurden bei einem Angriff gestohlen. Besonders kritisch: Viele der Pass­wör­ter waren schlecht ver­schlüs­selt.
  • Facebook (2019): Facebook gab bekannt, dass Millionen von Pass­wör­tern von Nutzenden im Klartext auf internen Servern ge­spei­chert wurden. Während die Daten nicht nach außen gelangten, ver­deut­licht der Vorfall die Not­wen­dig­keit sicherer Praktiken auch auf Un­ter­neh­mens­sei­te.
  • Coll­ec­tion #1-#5 (2019): Im Rahmen dieses Megaleaks sind im Januar 2019 über zwei Mil­li­ar­den E-Mail-Adressen samt Passwort ver­öf­fent­licht worden, die aus ver­schie­dens­ten – teils bekannten, teils bis dato un­be­kann­ten – Leaks stammen.
  • Twitter (2022): Ein Si­cher­heits­vor­fall führte dazu, dass per­sön­li­che Daten von über 5,4 Millionen Konten, ein­schließ­lich Te­le­fon­num­mern und E-Mail-Adressen, durch einen Bug kom­pro­mit­tiert wurden.
  • RockYou (2024): RockYou2024 war ein massiver Leak, der als eine der größten jemals ver­öf­fent­lich­ten Pass­wort­samm­lun­gen gilt, bestehend aus über 9,9 Mil­li­ar­den Pass­wör­tern, die aus ver­schie­de­nen Quellen zu­sam­men­ge­stellt wurden.

Die auf­ge­lis­te­ten Er­eig­nis­se un­ter­strei­chen die Wich­tig­keit von Cy­ber­si­cher­heit über­deut­lich. Umso er­staun­li­cher sind die Er­geb­nis­se einer re­prä­sen­ta­ti­ven Umfrage, die WEB.DE im Vorfeld des Tags der Pass­wort­si­cher­heit 2019 durch­ge­führt hat: Nur etwa jeder zweite deutsche Internet-Nutzer (ein Anteil von 53 % der Befragten) nimmt Passwort-Ent­hül­lun­gen zum Anlass, das eigene Pass­wort­ver­hal­ten zu über­den­ken – und lediglich ein Viertel der Befragten gab an, in­fol­ge­des­sen Pass­wör­ter bei einigen Web­diens­ten zu ändern.

Bild: Schaubild: Die Deutschen und ihre Passwörter
In­fo­gra­fik zum Thema „Die Deutschen und Ihre Pass­wör­ter“.
Hinweis

Für ihre An­griffs­ver­su­che nutzen Cy­ber­kri­mi­nel­le in den meisten Fällen nicht den eigenen Computer, sondern die Geräte argloser Nutzer und Nut­ze­rin­nen. Auf diese Geräte wurde zuvor eine schäd­li­che Software ein­ge­schleust, die es An­grei­fen­den er­mög­licht, das gekaperte System aus der Ferne zu bedienen. Man be­zeich­net die in­fi­zier­ten Computer, die für po­ten­zi­el­le Angriffe in riesigen Netz­wer­ken vereint werden, häufig auch als Bots oder Zombies. Um der­ar­ti­gen Netz­wer­ken den Kampf anzusagen, hat das Bundesamt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) in Zu­sam­men­ar­beit mit IONOS und anderen IT-Spe­zia­lis­ten bereits im Jahr 2010 das Projekt botfrei ins Leben gerufen.

Wie kann man die Pass­wort­si­cher­heit prüfen?

Die Si­cher­heit von Pass­wör­tern zu über­prü­fen ist ein ent­schei­den­der Schritt, um Ihre digitalen Konten vor un­be­fug­tem Zugriff oder nach Da­ten­leaks zu schützen. Es gibt ver­schie­de­ne Methoden und Tools, mit denen Sie prüfen können, ob Ihre Pass­wör­ter kom­pro­mit­tiert wurden, ob sie den aktuellen Si­cher­heits­stan­dards ent­spre­chen oder ob sie zu schwach sind.

Online-Dienste zur Prüfung auf Da­ten­lecks

  • Have I Been Pwned (HIBP): Eine der be­kann­tes­ten und ver­trau­ens­wür­digs­ten Platt­for­men ist Have I Been Pwned. Dort können Sie über­prü­fen, ob Ihre E-Mail-Adresse oder Ihr Passwort in einem bekannten Datenleck kom­pro­mit­tiert wurde. Nach Eingabe Ihrer E-Mail erhalten Sie eine Liste von Websites, die von Leaks betroffen sind, bei denen Ihre Daten mög­li­cher­wei­se entwendet wurden. Die Seite erlaubt auch die direkte Über­prü­fung eines Passworts, wobei die Eingabe dank spe­zi­el­ler Hash-Tech­no­lo­gien an­ony­mi­siert erfolgt.
  • Google Si­cher­heits­check: Google bietet in Chrome eine in­te­grier­te Funktion zur Pass­wort­prü­fung. Der Browser warnt Sie, wenn eines Ihrer ge­spei­cher­ten Pass­wör­ter Teil eines Da­ten­lecks war. Zu­sätz­lich können Sie über Ihr Google-Konto einen um­fas­sen­den Si­cher­heits­check durch­füh­ren, der auch schwache oder doppelt ver­wen­de­te Pass­wör­ter iden­ti­fi­ziert.
  • Si­cher­heits­funk­tio­nen von Pass­wort­ma­na­gern: Viele moderne Pass­wort­ma­na­ger bieten eine Funktion zur Über­prü­fung Ihrer ge­spei­cher­ten Pass­wör­ter. Diese Tools scannen Ihre Pass­wör­ter auf Schwächen, doppelte Nutzung und bekannte Si­cher­heits­vor­fäl­le. So erhalten Sie eine einfache Übersicht, welche Pass­wör­ter Sie ak­tua­li­sie­ren sollten.

Stärke von Pass­wör­tern testen

Neben der Über­prü­fung auf Da­ten­lecks ist es wichtig, die Stärke Ihrer Pass­wör­ter zu bewerten. Es gibt hierfür zahl­rei­che Tools, die Ihnen dabei helfen können. Diese Dienste prüfen die Länge, Kom­ple­xi­tät und Entropie (Zu­fäl­lig­keit) eines Passworts. Sie si­mu­lie­ren zudem, wie lange es dauern würde, Ihr Passwort mit einem Brute-Force-Angriff zu knacken. Ein Beispiel: Das Passwort „123456“ kann in weniger als einer Sekunde geknackt werden, während ein Passwort wie „X$4g8JwQ!a_%j“ viele Jahre stand­hal­ten könnte.

Manuelle Über­prü­fung und Mo­ni­to­ring

Wenn Sie wissen, dass eine bestimmte Plattform von einem Datenleck betroffen war, prüfen Sie, ob Sie ein Konto auf dieser Plattform besitzen. Ändern Sie Pass­wör­ter sofort, falls Sie dasselbe Passwort auch auf anderen Seiten verwendet haben. Es ist außerdem hilfreich, Cy­ber­se­cu­ri­ty-News oder Platt­for­men wie Reddit (z. B. im Subreddit r/netsec) zu folgen, um über neue Da­ten­lecks auf dem Laufenden zu bleiben. Oft werden Si­cher­heits­lü­cken dort früher gemeldet als durch of­fi­zi­el­le Kanäle und Sie können früh­zei­ti­ge Ge­gen­maß­nah­men ergreifen. Tools wie HIBP bieten außerdem Be­nach­rich­ti­gun­gen per E-Mail an, die Sie in­for­mie­ren, wenn Ihre E-Mail-Adresse in einem neuen Leak auftaucht.

Zum Hauptmenü