Veröffentlicht inRatgeber

Passwort-Mythen und Tipps für mehr Sicherheit

Wie sichert man seine Daten im Internet ordentlich? Diese Passwort-Mythen gehören bereits in die Kategorie “Überholt”.

Anmeldebildschirm auf einem Laptop, der auf einem Tisch steht
Starke Passwörter können vor Datenraub und Identitätsdiebstahl schützen © Simon Hattinga / Unsplash

Heutzutage müssen wir beim Surfen an allen Ecken und Enden Accounts erstellen und Passwörter vergeben. Ihre erste Funktion ist die, für Sicherheit zu sorgen. Mit der Wahl eines guten Passworts haben wir zu einem Teil selbst in der Hand, wie sicher unsere Daten sind. Doch was macht ein gutes Passwort aus? Vor allem Bequemlichkeit bei der Passwortvergabe kann zum Stolperstein werden. Welche Ratschläge etwas taugen und welche bereits überholt sind, weiß Andreas Türk vom Google Safety Engineering Center.



Mythos 1: Ein gutes Passwort kann vor allen Risiken schützen

Leider können wir uns noch so geniale Passwörter ausdenken – einen hundertprozentigen Schutz garantiert das trotzdem nicht. Datenmissbrauch oder Phishing können auch für das beste Kennwort zur Gefahr werden. Auf kritischen Anwendungen und Webseiten wie beim Onlinebanking wird deshalb auf eine zusätzliche Zwei-Stufen-Verifizierung gesetzt. Das sollte man allerdings nicht zum Anlass nehmen, um ein einfaches Passwort zu wählen, das man bequem behalten kann. Das Mittel der Wahl ist eine Kombination aus einem komplexen Passwort und einer mehrstufigen Verifizierung.

Fettnäpfchen “leichter-zu-merken”

Das eigene Geburtsdatum oder Name der Schildkröte sind gut zu merken, aber nicht die sichersten Lösungen. Ein Passwort sollte möglichst lang und komplex aufgebaut sein. Wer seine Codes selbst vergibt, sollte vor allem auf die Länge Wert legen. Je länger das Passwort, desto schwieriger ist es für Hacker und Bots, den Account zu knacken. Das Minimum liegt bei acht Stellen. Ein guter Richtwert sind zwölf oder sechzehn Zeichen. Doch auch hier kann die Bequemlichkeit ein Bein stellen. Ein langes Wort mit ein paar komplizierten Zahlen und Zeichen am Anfang oder Ende macht noch kein gutes Passwort aus (bspw. “Honigbaerchen75=&30ü”). Wer sich nicht selbst wild gemischte Zeichenkombinationen ausdenken will, kann mit einem Passwortmanager lange und komplexe Passwörter erzeugen.

Jemand tippt auf einer Laptoptastatur, aus der Symbole zu Cybersicherheit strahlen
Heutzutage ist fast jeder mit seinen Daten im Internet präsent. Starke Passwörter sorgen für Schutz vor Internetkriminalität und Datenmissbrauch. © iStock/NicoElNino

Mythos 2: Passwortmanager sind zu riskant, weil sie Informationen bündeln

Wenn man für jedes Konto jeweils ein wirklich gutes, komplexes Passwort vergibt, muss die Merkleistung schon ziemlich hoch sein. Viele greifen deshalb mittlerweile auf Passwortmanager zurück. Wer das nicht will, ist eventuell versucht, an der Komplexität zu sparen oder ein Passwort immer wieder zu verwenden. Das ist keine gute Idee.

Ein Passwortmanager speichert sämtliche Passwörter in einer Datenbank. Diese Datenbank lässt sich mit einem einzigen Masterpasswort (und häufig einer Zwei-Faktor-Authentifizierung) öffnen. Das Ganze funktioniert auch geräteübergreifend. Die Daten sind also nicht verloren, wenn das Smartphone verloren geht oder das Laptop geklaut wird. Vergleichbar ist das mit einem Riesen-Tresor mit einem Schlüssel, statt mehreren kleinen Schatztruhen mit mehreren (gegebenenfalls identischen) Schlüsseln. Nur noch ein Passwort statt einigen Dutzend ist auf der einen Seite angenehm. Alle Daten an einem Ort zu deponieren, klingt auf der anderen Seite erstmal suspekt. Tatsächlich ist es für Hacker aber leichter, das (in der Regel weniger gut gesicherte) primäre E-Mail-Konto zu hacken, als in eine solche Datenbank zu gelangen. Vom E-Mail-Account aus kann der Angreifer Passwörter dann einfach zurücksetzen und sich so Zugang zu vielen Accounts verschaffen.

Fettnäpfchen “eins für alles”

Je häufiger sich Nutzer von Webseiten an- und abmelden müssen, desto eher neigen sie dazu, dasselbe Passwort mehrmals zu benutzen. Bitkom hat in einer Umfrage mit 1034 Internetnutzern herausgefunden, dass fast 30 Prozent der Teilnehmer für Online-Dienste dasselbe Passwort benutzen. Das haben verschiedene Untersuchungen gezeigt. Die bequemere Variante zum An- und Abmelden ist die Funktion „angemeldet bleiben“. Alternativ kann auf einigen Laptops und Smartphones auch die Gesichts- oder Fingerabdruckserkennung zur Identifikation genutzt werden. Allgemein gilt: für mehr Sicherheit sollte man sich neue Passwörter zulegen, anstatt mehrfach dieselben zu verwenden.

Eine Smartphone mit Passwort-Abfrage
Passwortmanager speichern sämtliche Passwörter in einer Datenbank © Bitdefender, George Dolgikh Giftpunditscom/Pexels

Mythos 3: Regeln beim Registrieren sorgen für ein sicheres Passwort 

Man kann die Regeln einhalten, die eine Webseite für die Passwort-Vergabe einfordert und trotzdem ein schwaches Passwort erzeugen. Wenn man auf einer Webseite ein Konto anlegt, erscheint häufig folgender Hinweis: Eine gewisse Länge und eine Mischung aus Zeichen inklusive Klein- und Großschreibung wird verlangt. In welcher Reihenfolge diese Zeichen stehen, muss allerdings nicht beachtet werden. Die meisten Menschen gehen dann nach einem einfachen Schema vor: Am Anfang des Passworts verwenden sie eher Großbuchstaben, am Ende kommen eher Zahlen. Das hat ein französisches Sicherheitsinstitut herausgefunden. Wirklich gute Passwörter sollten Zeichen gut durchmischen und sich weniger an logischen Schemen orientieren. 

Fettnäpfchen “Passwort ändern”

Um Accounts zu sichern, sollten Passwörter alle paar Monate geändert werden. Wer sich die Mühe macht, will sich vielleicht nicht immer wieder komplett neue Wörter merken müssen. Da könnte man mit der Zeit ja ein eigenes Wörterbuch rausbringen. Zu leicht sollte man es sich aber auch nicht machen. Einfache Abwandlungen des alten Passworts tragen nicht wirklich zu einer gesteigerten Sicherheit bei. Die Zahl im Passwort einfach um eins erhöhen ist beispielsweise nicht besonders effektiv (bspw. “Passwort1!” gegen “Passwort2!” austauschen). Für Hacker sind solche leichten Zeichenketten auch nach der Änderung keine große Schwierigkeit.


Wie erkennt man eine Phishing-Mail? – Die 10-Punkte-Checkliste

Jeder hat schon einmal eine Phishing-Mail bekommen – und vielleicht nicht direkt erkannt. Immerhin geht es hier um gezielten Betrugsversuch.


Mythos 4: Alle Sicherheitsprobleme lassen sich durch Biometrie lösen

Biometrie macht das Entsperren von Geräten und Apps schnell und bequem möglich. Das Gerät entsperrt sich über die Erkennung einzigartiger Merkmale. Es gibt keine zusätzlichen Codes, die man sich merken und jedes Mal eintippen muss. Im Grunde muss man nichts tun, außer seinen Finger auf eine Taste legen, ein Wort sagen oder sein Gesicht in eine Kamera halten. Das funktioniert allerdings nur, wenn Nutzer bereits auf dem Gerät oder in der App angemeldet sind. Diesen Schritt kann die Biometrie nicht übernehmen. Sicherheits- und Datenschutzgründe verhindern, dass Biometrie bei Online-Diensten Anwendung findet. Nur, weil eine App nach der ersten Anmeldung mit Biometrie entsperrt werden kann, heißt das nicht, dass man bei der ersten Anmeldung an Passwortsicherheit sparen sollte.

Ein richtig gutes Passwort

Wie ein starkes Passwort aussieht, zeigt die folgende Übersicht:

  • Je länger, desto besser (Minimum: acht Zeichen)
  • Komplex: verschiedenste Zeichen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) wild gemischt
  • Keine Wörter benutzen, die im Wörterbuch zu finden sind
  • Keine logischen Buchstaben- oder Zahlenfolgen (bspw. “1234”)
  • Passwörter in regelmäßigen Abständen vollständig ändern
  • Für jeden Account ein eigenes Passwort
  • Wenn möglich: zusätzliche Zwei-Schritt-Authentifizierung nutzen

Google hat zum Thema Passwortsicherheit jetzt eine “On-Device-Verschlüsselung” in den Startlöchern. IMTEST erklärt, was sich dahinter verbirgt.