Veröffentlicht inRatgeber

10 Passwort-Mythen aufgedeckt: So sorgen Sie für echte Sicherheit

Welche Regeln gelten für sichere Passwörter?

In der Hand gehaltenes Tablet, auf dem ein Konto erstellt wird.
Starke Passwörter können vor Datenraub und Identitätsdiebstahl schützen © Roberto Nickson / Pexels

Heutzutage muss beim Surfen an allen Ecken und Enden ein Account erstellt und dafür ein Passwort vergeben werden. Die Funktion von Passwörtern ist primär, für Sicherheit zu sorgen. Mit der Wahl eines guten Passworts hat man also zum Teil selbst in der Hand, ob die Daten sicher im Netz sind. Doch was macht ein gutes Passwort aus? Hier kursiert viel gefährliches Halbwissen. Pünktlich zum Cyber Security Awareness Month (dem Monat der Cybersicherheit) klärt IMTEST daher auf: Diese zehn Mythen sollten Sie schnell vergessen und durch echte Online-Sicherheit.



Mythos 1: Ein gutes Passwort schützt vor allen Risiken

Leider können wir uns noch so geniale Passwörter ausdenken – einen hundertprozentigen Schutz garantiert das trotzdem nicht. Datenmissbrauch oder Phishing können auch für das beste Kennwort zur Gefahr werden. Auf kritischen Anwendungen und Webseiten wie beim Online-Banking wird deshalb auf eine zusätzliche Zwei-Stufen-Verifizierung gesetzt. Das sollte man allerdings nicht zum Anlass nehmen, um ein einfaches Passwort zu wählen, das man bequem behalten kann. Das Mittel der Wahl ist eine Kombination aus einem komplexen Passwort und einer mehrstufigen Verifizierung.

Mythos 2: Je leichter zu merken, desto besser

Das eigene Geburtsdatum oder Name der Schildkröte sind gut zu merken, aber nicht die sichersten Lösungen. Ein Passwort sollte möglichst lang und komplex aufgebaut sein. Wer seine Codes selbst vergibt, sollte vor allem auf die Länge Wert legen. Je länger das Passwort, desto schwieriger ist es für Hacker und Bots, den Account zu knacken. Das Minimum liegt bei acht Stellen. Ein guter Richtwert sind zwölf oder sechzehn Zeichen. 

Jemand tippt auf einer Laptoptastatur, aus der Symbole zu Cybersicherheit strahlen
Heutzutage ist fast jeder mit seinen Daten im Internet präsent. Starke Passwörter sorgen für Schutz vor Internetkriminalität und Datenmissbrauch. © iStock/NicoElNino

Doch auch hier kann die Bequemlichkeit ein Bein stellen. Ein langes Wort mit ein paar komplizierten Zahlen und Zeichen am Anfang oder Ende macht noch kein gutes Passwort aus (bspw. “Honigbaerchen75=&30ü”). Wer sich nicht selbst wild gemischte Zeichenkombinationen ausdenken will, kann mit einem Passwortmanager lange und komplexe Passwörter erzeugen.

Mythos 3: Je mehr Sonderzeichen desto besser

Zwar gehören Sonderzeichen oft zu den Vorgaben für ein sicheres Passwort, aber allein eine Zahlen- und Zeichen-Kombination ist noch nicht automatisch sicher. Auf keinen Fall sollte sie zum Beispiel persönlich Daten wie das Geburtsdatum oder die Postleitzahl beinhalten. Allerdings fällt es oft nicht leicht, sich zufällige, sinnfreie Sonderzeichen-Kombinationen zu merken. Eine Alternative sind daher möglichst lange Passwörter. Die dürfen dann ruhig auch aus Worten bestehen. Denn als Faustregel gilt: Jedes zusätzliche Zeichen erhöht die Passwort-Sicherheit exponentiell. Wichtig ist nur, dass sich die Wörter nicht erraten lassen. Sprichwörter oder Sätze wie “Ich mag meine Mietzekatze”, sind entsprechend sehr unsicher.



Besser ist es, die Wörter zufällig auszuwählen und sich dann eine kleine Geschichte zum Merken auszudenken, beispielsweise mit Hilfe von Würfeln. Online gibt es Listen, bei denen jeweils ein Wort mit einer fünfstelligen Zahlenkombination verknüpft ist. Einmal Würfeln steht für eine Ziffer, fünf mal Würfeln ergibt dann ein Wort. Je öfter man würfelt, desto mehr Worte ergeben sich. Aus ihnen lassen sich dann kleine Merkgeschichten bauen.

Mythos 4: Passwortmanager sind zu riskant, weil sie Informationen bündeln

Wenn man für jedes Konto jeweils ein gutes, komplexes Passwort vergibt, muss die Merkleistung schon ziemlich hoch sein. Viele greifen deshalb mittlerweile auf Passwortmanager zurück. Wer das nicht will, ist eventuell versucht, an der Komplexität zu sparen oder ein Passwort immer wieder zu verwenden. Das ist keine gute Idee. Wie also funktioniert ein solcher Passwortmanager?

Eine Smartphone mit Passwort-Abfrage
Passwortmanager speichern sämtliche Passwörter in einer Datenbank © Bitdefender, George Dolgikh Giftpunditscom/Pexels

Ein Passwortmanager speichert sämtliche Passwörter in einer Datenbank. Diese Datenbank lässt sich mit einem einzigen Masterpasswort (und häufig einer Zwei-Faktor-Authentifizierung) öffnen. Das Ganze funktioniert auch geräteübergreifend. Die Daten sind also nicht verloren, wenn das Smartphone verloren geht oder das Laptop gestohlen wird. Vergleichbar ist das mit einem Riesen-Tresor mit einem Schlüssel, statt mehreren kleinen Schatztruhen mit mehreren (gegebenenfalls identischen) Schlüsseln.



Sich nur noch ein Passwort, statt einigen Dutzenden zu merken, ist auf der einen Seite angenehm. Alle Daten an einem Ort zu deponieren, klingt auf der anderen Seite möglicherweise suspekt. Tatsächlich ist es für Hacker allerdings leichter, das (in der Regel weniger gut gesicherte) primäre E-Mail-Konto zu hacken, als in eine solche Datenbank zu gelangen. Vom E-Mail-Account aus kann der Angreifer Passwörter dann einfach zurücksetzen und sich so Zugang zu vielen Accounts verschaffen.

Mythos 5: “Eins für alles”

Je häufiger sich Nutzer von Webseiten an- und abmelden müssen, desto eher neigen sie dazu, dasselbe Passwort mehrmals zu benutzen. Bitkom hat in einer Umfrage mit 1.034 Internetnutzern herausgefunden, dass fast 30 Prozent der Teilnehmer für Online-Dienste dasselbe Passwort benutzen. Das haben auch andere Untersuchungen gezeigt. Die bequemere Variante zum An- und Abmelden ist die Funktion “angemeldet bleiben“. Alternativ kann auf einigen Laptops und Smartphones auch die Gesichts- oder Fingerabdruck-Erkennung zur Identifikation genutzt werden. Allgemein gilt: Für mehr Sicherheit sollte man sich neue Passwörter zulegen, anstatt mehrfach dieselben zu verwenden.

Mythos 6: Regeln beim Registrieren sorgen für ein sicheres Passwort 

Man kann die Regeln einhalten, die eine Webseite für die Passwort-Vergabe einfordert und trotzdem ein schwaches Passwort erzeugen. Wenn man auf einer Webseite ein Konto anlegt, erscheint häufig folgender Hinweis: Eine gewisse Länge und eine Mischung aus Zeichen inklusive Klein- und Großschreibung wird verlangt. In welcher Reihenfolge diese Zeichen stehen, muss allerdings nicht beachtet werden. Die meisten Menschen gehen dann nach einem einfachen Schema vor: Am Anfang des Passworts verwenden sie eher Großbuchstaben, am Ende kommen eher Zahlen. Das hat ein französisches Sicherheitsinstitut herausgefunden. Wirklich gute Passwörter sollten Zeichen gut durchmischen und sich weniger an logischen Schemen orientieren. 

Weitere Mythen über Passwörter lesen Sie auf der nächsten Seite

Mythos 7: Einmal sicheres Passwort, immer sicheres Passwort

Um Accounts zu sichern, sollten Passwörter alle paar Monate geändert werden. Wer sich die Mühe um komplexe Passwörter macht, will sich vielleicht nicht immer wieder komplett neue Wörter merken müssen. Zu leicht sollte man es sich aber auch nicht machen. Denn einfache Abwandlungen des alten Passworts tragen nicht zu einer gesteigerten Sicherheit bei. Die Zahl im Passwort einfach um eins erhöhen ist auch nicht besonders effektiv (bspw. “Passwort1!” gegen “Passwort2!” austauschen). Für Hacker sind solche leichten Zeichenketten auch nach der Änderung keine große Schwierigkeit.



Mythos 8: Alle Sicherheitsprobleme lassen sich durch Biometrie lösen

Biometrie macht das Entsperren von Geräten und Apps schnell und bequem möglich. Das Gerät entsperrt sich über die Erkennung einzigartiger Merkmale. Es gibt keine zusätzlichen Codes, die man sich merken und jedes Mal eintippen muss. Im Grunde muss man nichts tun, außer seinen Finger auf eine Taste legen, ein Wort sagen oder sein Gesicht in eine Kamera halten.

Das Prinzip funktioniert allerdings nur, wenn Nutzer bereits auf dem Gerät oder in der App angemeldet sind. Diesen Schritt kann die Biometrie nicht übernehmen. Sicherheits- und Datenschutzgründe verhindern, dass Biometrie bei Online-Diensten Anwendung findet. Nur, weil eine App nach der ersten Anmeldung mit Biometrie entsperrt werden kann, heißt das nicht, dass man bei der ersten Anmeldung an Passwortsicherheit sparen sollte.

Außerdem bringen biometrische Passwörter ein großes Problem mit sich. Im Gegensatz zu generierten Codes lassen sie sich nicht einfach wieder ändern. Haben Kriminelle etwa einmal die Daten bei einem Iris-Scan abgefangen, wird die Person ihr Auge nie wieder zur Identifizierung nutzen können. Ein weiteres Problem ergibt sich, wenn beispielsweise das Auge, der Finger oder andere, zur Überprüfung genutzte Körperteile bei einem Unfall verletzt werden oder sich – im Fall der Iris – im Lauf der Jahre verändern. Hier kann es vorkommen, dass eine Person plötzlich den zuverlässigen Zugriff auf die eigenen Konten verliert.



Mythos 9: 2-Faktor-Authentifizierung ist nutzlos

2-Faktor-Authentifizierung ist nur unnötiger Aufwand, denn wer ein Passwort knacken kann, knackt auch zwei. Das ist zwar gut möglich, aber bei der 2-Faktor-Authentifizierung geht es nicht nur darum, ein weiteres Passwort einzugeben. Stattdessen wird meist ein Code an ein völlig anderes Gerät gesendet, zum Beispiel vom Laptop an das Handy. So etwas funktioniert wahlweise per App oder per SMS. Auch eine Authentifizierung per Mail ist möglich. Durch die Verwendung verschiedener Geräte und Verfahren wird die Sicherheit dabei enorm erhöht.

Mythos 10: Passwörter sollte man nie auf einen Zettel schreiben

Richtig ist: Wenn am PC ein Zettel klebt, auf dem das Passwort fürs Onlinebanking steht, ist das ein Sicherheitsrisiko. Von neugierigen Kindern bis hin zu Einbrechern, es gibt viele Personen, die diese Daten besser nicht finden sollten. Passwörter aber gut sortiert in einem versteckten Notizbuch aufzubewahren, ist etwas ganz anderes. Denn Papier lässt sich nicht hacken. Es spricht also nichts dagegen, sich Passwörter analog zu notieren. Sofern die Notiz einerseits gut versteckt ist und andererseits nicht verloren geht.

Fazit: So sieht ein richtig gutes Passwort aus

Wie ein starkes Passwort aussieht, zeigt die folgende Übersicht:

  • Je länger, desto besser (Minimum: acht Zeichen)
  • Komplex: verschiedenste Zeichen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen) wild gemischt
  • Keine logischen Buchstaben- oder Zahlenfolgen (bspw. “1234”)
  • Passwörter in regelmäßigen Abständen vollständig ändern
  • Für jeden Account ein eigenes Passwort
  • Wenn möglich: zusätzliche Zwei-Schritt-Authentifizierung nutzen

Wer sich unsicher ist, ob der eigenen Account nicht bereits gehackt wurde, kann auf Websites wie Haveibeenpwned die eigene Email-Adresse eingeben und kostenlos checken lassen, ob unbefugte Zugriffe registriert wurden.

Jetzt kostenlos zum IMTEST-Newsletter anmelden!

Unsere besten News, Ratgeber und Kaufberatungen der Woche für Sie per Mail und kostenlos.

Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.

*Pflichtfeld. Eine Abmeldung ist jederzeit über einen Link im Newsletter möglich.