So erstellst du sichere und leicht zu merkende Passwörter
Noch immer setzen viele Nutzer extrem leicht zu knackende Passwörter wie "123456" oder "passwort" ein. Wir geben Tipps für bessere Alternativen und den richtigen Umgang mit Zugangsdaten.
[Dieser Artikel wurde seit seiner ersten Veröffentlichung im Jahr 2018 mehrfach überarbeitet und neu veröffentlicht.]
In Auflistungen der am häufigsten verwendeten Passwörter finden sich regelmäßig extrem unsichere Varianten wie „123456“, „passwort“ oder „qwertz“. Solche Wiederholungs- oder Tastaturmuster sowie in Wörterbüchern gelistete Begriffe sind grundsätzlich keine gute Wahl, weil sie häufig auf technischem Weg in Sekundenschnelle geknackt werden können.
Einige grundlegende Tipps
Ein sicheres Passwort sollte keinerlei Bezug zu persönlichen Daten haben (zum Beispiel Namen von Familienmitgliedern oder Geburtsdaten). Empfehlenswert sind mindestens acht Zeichen – je mehr, desto besser – als Mix aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Dabei ist darauf zu achten, Ziffern oder übliche Sonderzeichen wie ! oder ? nicht einfach an den Anfang oder das Ende eines sonst simplen Worts zu stellen.
Relativ sicher und einfach zu merken sind aus einem Satz abgeleitete Passphrasen. Du kannst etwa die Anfangsbuchstaben der enthaltenen Worte inklusive Sonderzeichen aneinanderreihen. Nutze dazu aber bitte keine bekannten Zitate oder Sprichwörter. Besser sind selbst ausgedachte Sätze wie „Mein Passwort hat >10 Zeichen und gilt nur für mein E-Mail-Konto“, aus dem verkürzt „MPh>10ZugnfmE-M-K“ wird. Integrierst du gleich den jeweiligen Dienst in die Passphrase, weißt du auch immer sofort, zu welchem Nutzerkonto sie gehört.
Beim Erstellen eines solchen Passworts solltest du aber bedenken, dass einige Buchstaben wie die deutschen Umlaute nicht auf fremdsprachigen Tastaturen vorhanden sind oder von manchen Webseiten nicht akzeptiert werden. Dasselbe gilt für bestimmte Sonderzeichen.
Die Sicherheit einer erstellten Passphrase lässt sich online mit diversen Passwort-Checkern leicht prüfen. Allerdings solltest du dabei nicht das tatsächliche Passwort eingeben, sondern nur eines, das demselben Muster folgt.
Passwortmanager nutzen
Wer sich keine Kennwörter selbst ausdenken möchte, kann auch Passwortgeneratoren verwenden, die zufallsgenerierte Zeichenkombinationen erstellen. Diese lassen sich jedoch häufig nicht so gut merken. In diesem Fall bietet sich die Nutzung eines Passwortmanagers an, in dem du alle deine Zugangsdaten verwalten kannst. Dann musst du dir nur ein einziges Master-Passwort merken, das jedoch entsprechend lang und komplex sein sollte. Denn wenn jemand dein Master-Passwort in Erfahrung bringt, hat er auch automatisch Zugriff auf all deine anderen Zugangsdaten.
Der Cliqz Browser für Windows und macOS besitzt einen integrierten Passwortmanager, der sich mittels Master-Passwort absichern lässt. Er findet sich im Einstellungsmenü Datenschutz & Sicherheit unter dem Abschnitt Browser-Datenschutz. Alternativ unterstützt Cliqz die Einbindung von Firefox-Add-ons zur Passwortverwaltung wie LastPass, Bitwarden oder 1Password X. Mit ihnen kannst du starke Passwörter generieren und deine Zugangsdaten über verschiedene Geräte hinweg synchronisieren. Allerdings hat Cliqz keine Kontrolle darüber, auf welche Daten diese Add-ons zugreifen.
Für jeden Dienst ein eigenes Passwort
Generell gilt: Du solltest deine Passwörter niemals weitergeben oder auf einem Zettel notiert in der Nähe des Rechners aufbewahren. Wichtig ist auch, Zugangsdaten regelmäßig zu ändern, ein voreingestelltes Kennwort umgehend gegen ein eigenes auszutauschen sowie ein Passwort nur für jeweils ein Benutzerkonto zu verwenden. Nutze also keinesfalls dasselbe Passwort für mehrere Webdienste. Denn du kannst nie sicher sein, dass deine Zugangsdaten auf Anbieterseite sicher gespeichert sind.
Bekommt ein Hacker Log-in-Daten in die Finger, wird er sie höchstwahrscheinlich auch bei anderen Diensten ausprobieren. Zu möglichen Folgen zählen Identitätsdiebstahl und finanzielle Schäden. Für zusätzlichen Schutz solltest du stets eine aktuelle Sicherheitssoftware installiert haben. Sie hilft, zu verhindern, dass der Rechner mit Schadprogrammen wie einem Keylogger verseucht wird, der Passwörter direkt bei der Eingabe auslesen kann.
Über den Einsatz komplexer Passwörter hinaus empfiehlt sich die Verwendung einer Zwei-Faktor-Authentifizierung. Die meisten Webdienste bieten für den Anmeldeprozess inzwischen den Identitätsnachweis mittels der Kombination zweier unabhängiger Komponenten an. In der Regel fragen sie neben einem Passwort einen zusätzlichen Code ab, der während der Anmeldung beispielsweise per Textnachricht ans Smartphone gesendet wird. Diese Methode ist nochmals deutlich sicherer als der ausschließliche Einsatz von Passwörtern.