Sichere Passwörter erstellen: so machst du es richtig

Sichere Passwörter erstellen: so machst du es richtig

Ein Passwort schützt heute mehr als ein E-Mail-Postfach. An deinem Google-, Apple- oder Samsung-Konto hängen Fotos, Zahlungsdaten, Nachrichten und die Ortung deines Handys. Die gute Nachricht: Ein wirklich sicheres Passwort zu bauen ist einfacher, als die meisten denken. Du brauchst kein kryptisches Zeichenchaos, das du dir nie merken kannst. Du brauchst vor allem Länge, für jeden Dienst ein eigenes Passwort und eine Methode, mit der du beides im Griff behältst. Diese Anleitung zeigt dir, worauf es ankommt, angelehnt an die Empfehlungen des BSI und die aktuellen Grundsätze des NIST.

Talkis Tipp. Länge schlägt Komplizierung. Ein Passwort aus vier, fünf zufälligen Wörtern wie Anker Zebra Pfanne Wolke ist stärker und leichter zu merken als ein kurzes P@ssw0rt! mit lauter Sonderzeichen. Kombinier das mit einem Passwort-Manager und der Zwei-Faktor-Anmeldung, dann hast du das Wichtigste erledigt. — Talki, dein Berater

Das Wichtigste in Kürze

  • Länge ist der wichtigste Faktor. Je länger das Passwort, desto schwerer ist es zu knacken. Das BSI fasst es kurz: je länger, desto besser.
  • Zwei Wege führen zum Ziel. Entweder lang und einfach (rund 20 bis 25 Zeichen aus mehreren Wörtern) oder kürzer und komplex (etwa 8 bis 12 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).
  • Für jeden Dienst ein eigenes Passwort. Taucht ein Konto in einem Datenleck auf, sind sonst alle anderen mit demselben Passwort gleich mit gefährdet.
  • Ein Passwort-Manager nimmt dir das Merken ab. Du merkst dir nur noch ein starkes Master-Passwort, den Rest verwaltet das Programm.
  • Zwei-Faktor-Anmeldung dazu. Ein zweiter Faktor schützt dein Konto selbst dann, wenn das Passwort einmal in falsche Hände gerät.
  • Regelmäßig wechseln musst du nicht mehr. BSI und NIST raten inzwischen ausdrücklich davon ab. Wechsle nur, wenn es einen konkreten Anlass gibt.

Warum die Länge entscheidet

Programme, die Passwörter erraten, probieren Millionen Kombinationen pro Sekunde durch. Jedes zusätzliche Zeichen vervielfacht die Zahl der Möglichkeiten und lässt den Aufwand steil ansteigen. Deshalb hat sich der Rat der Fachleute in den letzten Jahren verschoben. Früher stand die Komplexität im Vordergrund, heute die Länge. Das NIST, die US-Behörde, deren Vorgaben weltweit als Maßstab gelten, nennt acht Zeichen als absolutes Minimum und empfiehlt fünfzehn, wenn das Passwort der einzige Schutz eines Kontos ist. Das BSI geht in dieselbe Richtung.

Ein langes Passwort muss nicht kompliziert sein. Eine Aneinanderreihung mehrerer zufälliger Wörter, eine sogenannte Passphrase, bringt beides zusammen: genug Länge für echte Sicherheit und trotzdem etwas, das du dir merken und flüssig tippen kannst.

So baust du ein starkes Passwort

Zwei Methoden funktionieren gut, such dir die aus, die zu dir passt.

Die Passphrase aus zufälligen Wörtern. Nimm vier bis sechs Wörter, die inhaltlich nichts miteinander zu tun haben, und reih sie aneinander, getrennt durch Leerzeichen oder Bindestriche. Wichtig ist, dass die Wörter zufällig sind und keinen Satz ergeben. „Ich liebe meinen Hund" ist schwach, „Turm Gabel Nebel Ziegel Ampel" ist stark. Je unerwarteter die Kombination, desto besser.

Die Merksatz-Methode. Denk dir einen Satz aus, den nur du kennst, und nimm von jedem Wort den ersten Buchstaben. Aus „Mein erstes Fahrrad war 2003 knallrot und hatte 7 Gänge!" wird „MeFw2003kuh7G!". Das Ergebnis sieht zufällig aus, du kannst es aber über den Satz jederzeit rekonstruieren.

Beide Wege ergeben Passwörter, die lang, einzigartig und trotzdem merkbar sind. Nutz alle Zeichenarten, die der Dienst zulässt: große und kleine Buchstaben, Ziffern und Sonderzeichen. Auf Umlaute verzichtest du im Passwort besser, weil sie auf fremden Tastaturen oder im Ausland Probleme machen können.

Was du vermeiden solltest

Angreifer arbeiten mit Listen der häufigsten Passwörter und mit allem, was sich über dich leicht herausfinden lässt. Deshalb gehören diese Dinge nicht in ein Passwort:

  • Namen und Daten aus deinem Umfeld. Vor- und Nachnamen, der Name deines Haustiers, Geburtstage, der Verein. Das steht oft in sozialen Netzen und ist schnell erraten.
  • Tastaturmuster und Zahlenreihen. „qwertz", „asdfgh", „123456" und Ähnliches stehen ganz oben auf jeder Angreiferliste.
  • Ein einzelnes Wort aus dem Wörterbuch, auch wenn du hinten eine Ziffer oder ein Ausrufezeichen anhängst. Genau dieses Muster wird gezielt durchprobiert.
  • Dasselbe Passwort mehrfach. Der häufigste und folgenreichste Fehler. Ein geleaktes Passwort öffnet sonst gleich mehrere Türen.

Ein eigenes Passwort für jeden Dienst

Bei großen Anbietern kommt es immer wieder zu Datenlecks, bei denen Zugangsdaten gestohlen werden. Angreifer probieren die erbeuteten Kombinationen dann automatisch bei anderen Diensten durch. Wenn dein Passwort für den Online-Shop dasselbe ist wie für dein E-Mail-Konto, reicht ein einziges Leck, und beide sind offen. Deshalb: für jedes Konto ein anderes Passwort. Dein Smartphone hilft dir dabei. Es kann prüfen, welche gespeicherten Passwörter doppelt verwendet oder in einem Leck aufgetaucht sind. Wie du diese Liste am iPhone findest, steht im Ratgeber Doppelte Passwörter am iPhone finden und ändern.

Der Passwort-Manager macht es machbar

Zwanzig lange, unterschiedliche Passwörter kann sich niemand merken, und das musst du auch nicht. Ein Passwort-Manager erzeugt für jeden Dienst ein starkes, zufälliges Passwort, speichert es verschlüsselt und füllt es beim Anmelden automatisch aus. Du merkst dir nur noch ein einziges, besonders starkes Master-Passwort. Solche Manager sind in iOS und Android bereits eingebaut, es gibt sie aber auch als eigene Programme. Genau das empfiehlt auch das BSI als Weg, viele einzigartige Passwörter zu verwalten.

Zwei-Faktor-Anmeldung als zweites Schloss

Selbst das beste Passwort kann durch einen Leak oder eine Phishing-Mail in fremde Hände geraten. Die Zwei-Faktor-Authentifizierung fängt das ab. Neben dem Passwort verlangt das Konto einen zweiten Nachweis, etwa einen Code aus einer App oder die Bestätigung auf deinem Handy. Ohne diesen zweiten Faktor kommt niemand hinein, auch mit dem richtigen Passwort nicht. Für alle wichtigen Konten, allen voran E-Mail und dein Geräte-Konto, solltest du sie aktivieren. Wie das funktioniert, erklärt der Ratgeber Zwei-Faktor-Authentifizierung einfach erklärt. Wo es angeboten wird, kannst du das Passwort langfristig sogar durch einen Passkey ersetzen und brauchst für den Dienst gar kein klassisches Passwort mehr.

Wenn du ein Handy neu einrichtest

Beim Einrichten eines Smartphones legst du die wichtigsten Konten frisch an oder meldest dich neu an, egal ob das Gerät neu oder generalüberholt ist. Das ist der beste Moment, um aufzuräumen: Vergib fürs Geräte-Konto ein starkes, einzigartiges Passwort, richte gleich die Zwei-Faktor-Anmeldung ein und lass den Passwort-Manager die restlichen Zugänge übernehmen. Bei einem geprüften, generalüberholten Gerät wird das Vorleben ohnehin gelöscht, du beginnst also mit einem sauberen Konto. Wenn du dir gerade ein anderes Handy zulegst, findest du bei uns neue oder generalüberholte Smartphones, auf denen du direkt sicher startest.

Talkis Empfehlung

Mach es dir leicht und trotzdem sicher: Denk in Passphrasen, nicht in Zeichensalat. Ein Passwort aus mehreren zufälligen Wörtern ist lang, stark und merkbar. Nimm für jeden Dienst ein eigenes, lass dir vom Passwort-Manager helfen und schalte für deine wichtigen Konten die Zwei-Faktor-Anmeldung dazu. Und vergiss den alten Reflex, Passwörter alle drei Monate zu wechseln. Das bringt nichts und verleitet nur zu schwächeren Varianten. Wechsle, wenn ein Dienst gehackt wurde oder du einen Verdacht hast, sonst lass ein gutes Passwort in Ruhe stehen.

Smartphones ansehen

Häufige Fragen

Wie lang sollte ein sicheres Passwort sein? So lang wie möglich. Als Untergrenze gelten acht Zeichen, für ein Konto, das nur durch das Passwort geschützt ist, sind eher fünfzehn oder mehr sinnvoll. Eine Passphrase aus mehreren Wörtern kommt leicht auf diese Länge und bleibt trotzdem merkbar.

Ist ein langes einfaches Passwort oder ein kurzes kompliziertes besser? Beide Wege sind laut BSI in Ordnung. Ein langes Passwort aus mehreren Wörtern ist meist die bessere Wahl, weil du es dir leichter merkst und es sich flüssig tippen lässt. Wichtig ist vor allem, dass es lang und für diesen Dienst einzigartig ist.

Muss ich meine Passwörter regelmäßig ändern? Nein. BSI und NIST raten inzwischen ausdrücklich von festen Wechselintervallen ab. Ein häufig erzwungener Wechsel führt meist zu schwächeren Passwörtern. Ändere dein Passwort, wenn es einen konkreten Anlass gibt, etwa ein Datenleck beim Anbieter.

Wie kann ich mir so viele verschiedene Passwörter merken? Gar nicht, und das musst du auch nicht. Ein Passwort-Manager speichert alle Zugänge verschlüsselt und füllt sie automatisch aus. Du merkst dir nur ein einziges starkes Master-Passwort. Solche Manager sind in iPhone und Android bereits eingebaut.

Reicht ein starkes Passwort allein aus? Es ist die Grundlage, aber der zweite Faktor macht dein Konto deutlich sicherer. Mit der Zwei-Faktor-Anmeldung schützt dich ein zusätzlicher Code selbst dann, wenn dein Passwort einmal bekannt wird. Für wichtige Konten solltest du beides kombinieren.

Sind Sonderzeichen Pflicht? Nicht zwingend. Bei einem kurzen Passwort helfen sie, es komplexer zu machen. Bei einer langen Passphrase aus mehreren Wörtern zählt die Länge mehr als einzelne Sonderzeichen. Nutz die Zeichen, die der Dienst zulässt, und verzichte im Passwort auf Umlaute.

Weiterlesen

Vorheriger Artikel Warum dein Speicher weniger anzeigt, als draufsteht
z