Ursprünglich sollten Passwörter 8 Zeichen lang sein und möglichst viele unterschiedliche Sonderzeichen enthalten. Mittlerweile sind ganz lange Passwörter am sichersten. Was stimmt nun und wie erstelle ich ein sicheres Passwort?

 
Ratgeber
Facts 

Sicheres Passwort erstellen

Sichere Passwörter sind vor allem solche, auf die man nicht sofort kommt. Fremde sollten eure Passwörter auch nicht erraten können, wenn sie euch privat kennen. Gern genutzt werden Passwörter wie der eigene Name in Kombination mit dem Geburtsdatum oder auch tatsächlich solche wie „test1234“, „123456“, „qwertz“ oder „passwort“. Solche einfachen Passwörter werden schnell herausgefunden, weil Kriminelle diese als erste austesten.

Je länger, desto sicherer

Passwörter sollten mindestens 10 Zeichen lang sein. Wer aber wirklich nur 10 oder weniger Zeichen wählt, ist sehr unsicher unterwegs. Denn je länger das Passwort ist, desto länger braucht ein Computer, um dies per Brute-Force-Methode durch bloßes Ausprobieren herauszufinden. Beispielsweise braucht ein moderner Computer knapp 1 Minute, um das Passwort „password“ zu knacken (8 Zeichen lang). Bei „robertrockt“ (11 Zeichen lang) sind es schon 15 Tage. Und bei „WoIstMeinSchnörres?“ (19 Zeichen lang) sind es 41 Trillionen Jahre. Aus diesem Grund empfehlen wir Passwörter, die um die 16 Zeichen haben. Bedenkt auch, je schneller die Computer rechnen können, desto schneller können sie auch Passwörter knacken. Das bedeutet, dass ein Rechner in 10 Jahren vielleicht 500 mal so schnell ist wie ein heutiger Rechner, um ein bestimmtes Passwort herauszufinden.

Je mehr Zeichentypen, desto sicherer

Das Passwort „WoIstMeinSchnörres?“ ist in Ordnung. Noch besser wäre „W9IstMeinS%nnörres?“, da dort Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen vorkommen. Außerdem bildet das Passwort keinen menschlichen Satz mehr. Denn auch Passwörter, die aus „lesbaren Sätzen“ bestehen, können durch einen sogenannten Wörterbuchangriff schnell ausgehebelt werden.

Nie wieder dumme Passwörter! – TECHfacts Abonniere uns
auf YouTube

Wie sicher ist mein Passwort?

Die Webseite checkdeinpasswort.de zeigt an, wie sicher ein Passwort ist und wie lange ein herkömmlicher PC bräuchte, um es zu knacken. Für das beispielhafte Passwort „W9IstMeinS%nnörres?“ werden uns 56 Quadrillionen Jahre angezeigt. Da wir nicht so lange leben, wäre das also mehr als sicher genug. Zum Vergleich: Das Passwort „123456“ würde der PC sofort knacken können.

Sicherer Login dank Zwei-Faktor-Authentifizierung

Alle großen Dienste wie Google, Paypal, Facebook oder Apple bieten eine sogenannte Zwei-Faktor-Authentifizierung an. Dabei erhaltet ihr beispielsweise eine SMS mit einem Code, wenn ihr euch einloggen wollt. Erst wenn ihr den Code aus der SMS auf der Webseite eingetragen habt, werdet ihr auch angemeldet – ein sinnvoller, wenngleich etwas unkomfortabler Zusatzschutz. Wenn es also sehr sicher sein soll, solltet ihr die Zwei-Faktor-Authentifizierung bei dem jeweiligen Dienst aktivieren.

Für jedes Konto ein eigenes Passwort erstellen

Erstellt für jeden Login auch immer ein eigenes sicheres Passwort! Denn falls mal eines eurer Passwörter in falsche Hände gerät, probieren Hacker als erstes gerne aus, ob man sich damit auch auf allen anderen gängigen Plattformen anmelden kann (Amazon, eBay, Online-Banking, Google, Facebook, …). Diese Methode wird auch „Credential Stuffing“ genannt.

Wenn ihr neue Passwörter erstellt, achtet ihr am besten auch darauf, keine erkennbaren Muster oder Strukturen zu nutzen. Denn wenn euer Passwort für Facebook beispielsweise „Das.ist.mein.Login.für.Facebook.777“ heißt, können Kriminelle daraus ableiten, dass euer Amazon-Passwort dann „Das.ist.mein-Login.für.Amazon.777“ lauten könnte.

Diese Passwörter bitte nicht benutzen:

Wo finde ich meine Passwörter? Wie merken?

Nutzt am besten sogenannte Passwort-Mananger wie KeePass. Dies sind Programme, die nur mit einem Passwort gesichert sind, aber alle eure Passwörter für eure Online-Konten sichern. Ihr braucht euch dann also nur noch ein Passwort zu merken, um auf alle eure Passwörter zugreifen zu können. Außerdem kann KeePass sogar neue Passwörter nach bestimmten Vorgaben generieren.

Wir empfehlen hier ausdrücklich Offline-Programme. Zwar gibt es auch bequemere Online-Programme, die Passwörter verschlüsselt in der Cloud sichern, aber trotzdem ist es ein unnötiges zusätzliches Risiko, die eigenen Passwörter irgendwo auf einem Internet-Server liegen zu haben.

Zwar kann auch der eigene Browser Passwörter speichern, allerdings sind diese auch einfacher herauszufinden, falls ihr mal jemanden an euren Rechner lasst.

Wie oft soll ich mein Passwort ändern?

Es ist nicht nötig, euer Passwort regelmäßig zu ändern, wenn es sicher genug ist. Ausnahmen sind, wenn ihr euer Passwort weitergegeben, per Messenger verschickt oder anderweitig öffentlich gemacht habt. Auch solltet ihr euer Passwort ändern, falls bei eurem Anbieter mehrere Passwörter gestohlen wurden.

Wer Webseiten wie „haveibeenpwned“ benutzt, um herauszufinden, ob sein Passwort geklaut wurde, sollte sich im Klaren darüber sein, dass man dazu seine E-Mail-Adresse preisgibt. Es ist also letztlich eine Vertrauensfrage.

Fazit: Sichere Passwörter

Jedes Benutzerkonto sollte ein eigenes sicheres Passwort erhalten. Sichere Passwörter sollten:

  • aus mindestens zehn Zeichen bestehen (besser sind um die 16 Zeichen),
  • Groß- und Kleinbuchstaben sowie
  • Zahlen und Sonderzeichen enthalten (Leerzeichen sind allerdings zum Teil nicht erlaubt).

Dringend abgeraten wird von:

  • normalen Wörtern, Namen, Geburtstagen, Zitaten oder
  • Zeichenmustern (12345, asdf, abcdef, …) oder
  • erkennbaren Satzmuster oder -strukturen.
  • Umlaute können auf Tastaturen im Ausland oder auf mobilen Endgeräten schwierig einzutippen sein.

Passwörter sollte man:

  • für sich behalten.
  • sich am besten im Kopf merken (alternativ einen Passwort-Manager benutzen).
  • lokal am PC speichern (im Passwort-Manager).
  • nicht über Messenger, E-Mail oder andere Online-Dienste verschicken oder übertragen.
  • nur auf den entsprechenden Webseiten eingeben.

Besonders Nachbauten von Original-Webseiten sind gefährlich (Phishing).