Wie sicher ist Ihr Passwort? Tipps für ein sicheres Kennwort

Am 1. Februar ist "Ändere dein Passwort"-Tag.

Viele Deutsche benutzen unsichere Passwörter. Seit Jahren führen etwa "123456", "hallo" oder "passwort" die Rangliste der meist genutzten Passwörter an. Das zeigen regelmäßige Untersuchungen des Hasso-Plattner-Instituts der Universität Potsdam.

Zwei Kriterien sind wichtig

Für die Sicherheit eines Passwortes gibt es vor allem zwei Kriterien: Je länger, desto sicherer. Das sagt auch Christoph Meinel, Direktor am Hasso-Plattner-Instituts der Universität Potsdam. "Die Anzahl der Versuche, ein Passwort zu knacken, erhöht sich bei der Verwendung von Groß-, Kleinschreibung, Sonderzeichen und Ziffern mit jedem zusätzlichen Zeichen um den Faktor 95", sagt Meinel.

Bei einem fünf Zeichen langen Passwort entspricht das in etwa sieben Milliarden Versuchen, bei der empfohlenen Mindestlänge von acht Zeichen dagegen mehr als sechs Billiarden Versuchen, bis das Passwort geknackt ist – vorausgesetzt, das Passwort steht in keinem Wörterbuch. "Der Duden ist elektronisch verfügbar und kann leicht abgeglichen werden", sagt Meinel. Er rät zu mit Sonderzeichen durchsetzten, sinnfreien Kombinationen aus großen wie kleinen Buchstaben und Zahlen.

Nicht immer gleiche Passwörter nutzen

Doch ein sicheres Passwort reicht nicht. Jedes Onlinekonto und jeder Onlinedienst sollte mit einem individuellen Passwort gesichert werden. Sonst haben Angreifer, die ein Passwort erbeuten, gleich Zugang zu allen Konten und Diensten eines Nutzers. "Nur ein Drittel der Anbieter nutzt für die Passwortspeicherung eine sichere Verschleierungsmethode", sagt Meinel. Zwei Drittel der gestohlenen Passwörter sind dagegen mit einem veralteten Algorithmus oder im Klartext gespeichert – und so nach einem Angriff möglicherweise im Internet frei verfügbar – ohne jedes Wissen der Betroffenen.

Um das zu ändern, unterhält das Hasso-Plattner-Institut eine Datenbank ("HPI Identity Leak Checker") mit gestohlenen Identitätsdaten. Jeder kann dort abfragen, ob er betroffen sein könnte. Gibt es bei der Abfrage einen Treffer, gilt es, das "verbrannte" Passwort überall zu ändern, wo es verwendet wird.

So merken Sie sich Passwörter

Aber wie kann man sich ein sicheres, kompliziertes Passwort überhaupt merken? Eine Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort beispielsweise den ersten Buchstaben, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem wandelt man einige Buchstaben in Sonderzeichen oder Ziffern um. Aus "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang" wird so "Msia&pmmZ3Ml".

Auch das Aneinanderreihen zusammenhangsloser Wörter zu einem langen Satz, eine sogenannte Passphrase, ergibt am Ende ein sicheres Passwort. Ein Vorteil: Sie sind deutlich einfacher zu merken. Das BSI rät allerdings dazu, sich den Satz oder die Phrase selbst auszudenken. Bei bekannten Literaturzitaten oder Liedzeilen als Passwort oder -phrase ist die Gefahr groß, dass sie geknackt werden.

Passwort-Manager können helfen

Aufschreiben sollte man Passwörter eher nicht – weder auf Notizzettel, die man an den Monitor klebt, noch etwa in unverschlüsselte Dokumente, die auf dem Rechner gespeichert werden. Aber wer kann sich die vielen verschiedenen Passwörter einfach so merken? Vermutlich sind das die Allerwenigsten.

Für alle anderen eignen sich etwa Passwort-Manager. Die Programme können Passwörter nicht nur sicher verschlüsselt speichern, sondern auch starke Passwörter generieren. "Passwortmanager sind definitiv empfehlenswert", sagt Ronald Eikenberg vom "c't"-Fachmagazin. Ein für alle Geräte geeigneter Passwortmanager ist KeePass. Der Opensource-Manager speichert die Passwörter verschlüsselt auf dem Rechner und ist ebenso wie dazu passende Apps kostenlos. Das Wichtigste bei der Nutzung von Passwortmanagern: Das Masterpasswort zum "Aufschließen" des Passwort-Safes, das einzige Passwort, was man sich überhaupt noch merken muss, sollte besonders sicher sein. Dass Rechner und Mobilgeräte stets aktuell gehalten werden müssen, versteht sich von selbst.

Wer den Schutz eines Onlinekontos noch weiter erhöhen möchte, sollte – falls vom jeweiligen Dienst angeboten – die sogenannte Zwei-Faktor-Authentifizierung nutzen. Dann muss beim Einloggen zusätzlich zum Passwort noch eine PIN, ein SMS-Code oder ein per App generierter Schlüssel eingegeben werden – und Angreifern bleibt der Zugang verwehrt, selbst wenn sie in Besitz des Passwortes sind.