Heutzutage muss beim Surfen an allen Ecken und Enden ein Account erstellt und dafür ein Passwort vergeben werden. Die Funktion von Passwörtern ist primär, für Sicherheit zu sorgen. Mit der Wahl eines guten Passworts hat man also zum Teil selbst in der Hand, ob die Daten sicher im Netz sind. Doch was macht ein gutes Passwort aus? Vor allem kann Bequemlichkeit bei der Passwortvergabe zum Stolperstein werden. Welche Ratschläge etwas taugen und welche bereits überholt sind, fasst IMTEST pünktlich zum Weltpassworttag in den folgenden sieben Mythen zusammen.
Bitdefender Password Manager: Sicher Kennwörter verwalten
Persönliche Anmeldedaten für Internet-Dienste – für Hacker ein gefundenes Fressen. Der Bitdefender Password Manager schützt.
- Mythos 1: Ein gutes Passwort schützt vor allen Risiken
- Mythos 2: Je leichter zu merken, desto besser
- Mythos 3: Passwortmanager sind zu riskant, weil sie Informationen bündeln
- Mythos 4: “Eins für alles”
- Mythos 5: Regeln beim Registrieren sorgen für ein sicheres Passwort
- Mythos 6: Einmal sicheres Passwort, immer sicheres Passwort
- Mythos 7: Alle Sicherheitsprobleme lassen sich durch Biometrie lösen
- Fazit: So sieht ein richtig gutes Passwort aus
Mythos 1: Ein gutes Passwort schützt vor allen Risiken
Leider können wir uns noch so geniale Passwörter ausdenken – einen hundertprozentigen Schutz garantiert das trotzdem nicht. Datenmissbrauch oder Phishing können auch für das beste Kennwort zur Gefahr werden. Auf kritischen Anwendungen und Webseiten wie beim Online-Banking wird deshalb auf eine zusätzliche Zwei-Stufen-Verifizierung gesetzt. Das sollte man allerdings nicht zum Anlass nehmen, um ein einfaches Passwort zu wählen, das man bequem behalten kann. Das Mittel der Wahl ist eine Kombination aus einem komplexen Passwort und einer mehrstufigen Verifizierung.
Mythos 2: Je leichter zu merken, desto besser
Das eigene Geburtsdatum oder Name der Schildkröte sind gut zu merken, aber nicht die sichersten Lösungen. Ein Passwort sollte möglichst lang und komplex aufgebaut sein. Wer seine Codes selbst vergibt, sollte vor allem auf die Länge Wert legen. Je länger das Passwort, desto schwieriger ist es für Hacker und Bots, den Account zu knacken. Das Minimum liegt bei acht Stellen. Ein guter Richtwert sind zwölf oder sechzehn Zeichen.
Doch auch hier kann die Bequemlichkeit ein Bein stellen. Ein langes Wort mit ein paar komplizierten Zahlen und Zeichen am Anfang oder Ende macht noch kein gutes Passwort aus (bspw. “Honigbaerchen75=&30ü”). Wer sich nicht selbst wild gemischte Zeichenkombinationen ausdenken will, kann mit einem Passwortmanager lange und komplexe Passwörter erzeugen.
Mythos 3: Passwortmanager sind zu riskant, weil sie Informationen bündeln
Wenn man für jedes Konto jeweils ein gutes, komplexes Passwort vergibt, muss die Merkleistung schon ziemlich hoch sein. Viele greifen deshalb mittlerweile auf Passwortmanager zurück. Wer das nicht will, ist eventuell versucht, an der Komplexität zu sparen oder ein Passwort immer wieder zu verwenden. Das ist keine gute Idee. Wie also funktioniert ein solcher Passwortmanager?
Ein Passwortmanager speichert sämtliche Passwörter in einer Datenbank. Diese Datenbank lässt sich mit einem einzigen Masterpasswort (und häufig einer Zwei-Faktor-Authentifizierung) öffnen. Das Ganze funktioniert auch geräteübergreifend. Die Daten sind also nicht verloren, wenn das Smartphone verloren geht oder das Laptop gestohlen wird. Vergleichbar ist das mit einem Riesen-Tresor mit einem Schlüssel, statt mehreren kleinen Schatztruhen mit mehreren (gegebenenfalls identischen) Schlüsseln.
Die besten Smartphones 2023: iPhone 14, Galaxy S23 & Co. im Test
Diese Möglichkeiten bieten aktuelle Handys.
Sich nur noch ein Passwort, statt einigen Dutzenden zu merken, ist auf der einen Seite angenehm. Alle Daten an einem Ort zu deponieren, klingt auf der anderen Seite möglicherweise suspekt. Tatsächlich ist es für Hacker allerdings leichter, das (in der Regel weniger gut gesicherte) primäre E-Mail-Konto zu hacken, als in eine solche Datenbank zu gelangen. Vom E-Mail-Account aus kann der Angreifer Passwörter dann einfach zurücksetzen und sich so Zugang zu vielen Accounts verschaffen.
Mythos 4: “Eins für alles”
Je häufiger sich Nutzer von Webseiten an- und abmelden müssen, desto eher neigen sie dazu, dasselbe Passwort mehrmals zu benutzen. Bitkom hat in einer Umfrage mit 1.034 Internetnutzern herausgefunden, dass fast 30 Prozent der Teilnehmer für Online-Dienste dasselbe Passwort benutzen. Das haben auch andere Untersuchungen gezeigt. Die bequemere Variante zum An- und Abmelden ist die Funktion „angemeldet bleiben“. Alternativ kann auf einigen Laptops und Smartphones auch die Gesichts- oder Fingerabdruck-Erkennung zur Identifikation genutzt werden. Allgemein gilt: Für mehr Sicherheit sollte man sich neue Passwörter zulegen, anstatt mehrfach dieselben zu verwenden.
Mythos 5: Regeln beim Registrieren sorgen für ein sicheres Passwort
Man kann die Regeln einhalten, die eine Webseite für die Passwort-Vergabe einfordert und trotzdem ein schwaches Passwort erzeugen. Wenn man auf einer Webseite ein Konto anlegt, erscheint häufig folgender Hinweis: Eine gewisse Länge und eine Mischung aus Zeichen inklusive Klein- und Großschreibung wird verlangt. In welcher Reihenfolge diese Zeichen stehen, muss allerdings nicht beachtet werden. Die meisten Menschen gehen dann nach einem einfachen Schema vor: Am Anfang des Passworts verwenden sie eher Großbuchstaben, am Ende kommen eher Zahlen. Das hat ein französisches Sicherheitsinstitut herausgefunden. Wirklich gute Passwörter sollten Zeichen gut durchmischen und sich weniger an logischen Schemen orientieren.
Mythos 6: Einmal sicheres Passwort, immer sicheres Passwort
Um Accounts zu sichern, sollten Passwörter alle paar Monate geändert werden. Wer sich die Mühe um komplexe Passwörter macht, will sich vielleicht nicht immer wieder komplett neue Wörter merken müssen. Zu leicht sollte man es sich aber auch nicht machen. Denn einfache Abwandlungen des alten Passworts tragen nicht zu einer gesteigerten Sicherheit bei. Die Zahl im Passwort einfach um eins erhöhen ist auch nicht besonders effektiv (bspw. “Passwort1!” gegen “Passwort2!” austauschen). Für Hacker sind solche leichten Zeichenketten auch nach der Änderung keine große Schwierigkeit.
Wie erkennt man eine Phishing-Mail? – Die 10-Punkte-Checkliste
Jeder hat schon einmal eine Phishing-Mail bekommen – und vielleicht nicht direkt erkannt. Immerhin geht es hier um gezielten Betrugsversuch.
Mythos 7: Alle Sicherheitsprobleme lassen sich durch Biometrie lösen
Biometrie macht das Entsperren von Geräten und Apps schnell und bequem möglich. Das Gerät entsperrt sich über die Erkennung einzigartiger Merkmale. Es gibt keine zusätzlichen Codes, die man sich merken und jedes Mal eintippen muss. Im Grunde muss man nichts tun, außer seinen Finger auf eine Taste legen, ein Wort sagen oder sein Gesicht in eine Kamera halten.
Das Prinzip funktioniert allerdings nur, wenn Nutzer bereits auf dem Gerät oder in der App angemeldet sind. Diesen Schritt kann die Biometrie nicht übernehmen. Sicherheits- und Datenschutzgründe verhindern, dass Biometrie bei Online-Diensten Anwendung findet. Nur, weil eine App nach der ersten Anmeldung mit Biometrie entsperrt werden kann, heißt das nicht, dass man bei der ersten Anmeldung an Passwortsicherheit sparen sollte.
Fazit: So sieht ein richtig gutes Passwort aus
Wie ein starkes Passwort aussieht, zeigt die folgende Übersicht:
- Je länger, desto besser (Minimum: acht Zeichen)
- Komplex: verschiedenste Zeichen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) wild gemischt
- Keine Wörter benutzen, die im Wörterbuch zu finden sind
- Keine logischen Buchstaben- oder Zahlenfolgen (bspw. “1234”)
- Passwörter in regelmäßigen Abständen vollständig ändern
- Für jeden Account ein eigenes Passwort
- Wenn möglich: zusätzliche Zwei-Schritt-Authentifizierung nutzen
Jetzt kostenlos zum IMTEST-Newsletter anmelden!
Unsere besten News, Ratgeber und Kaufberatungen der Woche für Sie per Mail und kostenlos.