Wie man ein gutes und sicheres Passwort auswählt

"Ein gutes Passwort sollte möglichst viel beinhalten, was die Tastatur an verschiedenen Zeichen hergibt", erklärt Lutz Neugebauer vom IT-Branchenverband Bitkom in Berlin. Denn viele Kennwörter sind nicht sonderlich kreativ und lauten "Schatzi", "hansmüller1978" oder "qwertz". Ihr Vorteil: Sie sind einfach zu merken. Klarer Nachteil: Internetdiebe können solche Codes sehr leicht knacken.

Doch wie wollen Internetkriminelle ein scheinbar nicht alltägliches Passwort wie "Kalbsleberwurst" entschlüsseln, mag sich der Anwender fragen. Ganz einfach: Bei sogenannten Brute-Force-Attacken prüft ein Computer-Programm in wenigen Sekunden Tausende von Wörtern und Kombinationen aus Buchstaben und Zahlen durch. Vor allem Kundenprofile von Online-Shops und Banken sind beliebte Angriffsziele.

Bei der Wahl eines guten Passwortes gibt es einige Tabus, auf die das Bundesamt für Sicherheit in der Informationstechnik in Bonn (BSI) hinweist. Namen von Familienmitgliedern, Haustieren oder Freunden sollte kein User wählen. Für Kriminelle ebenso leicht herauszufinden ist eine Zeichenkette wie "asdf", bei der die Buchstaben nebeneinander auf der Tastatur liegen. Zugangscodes, die aus Wörtern bestehen, gilt es auch zu vermeiden. Denn jedes Wort, das in einem Wörterbuch steht, können die Programme der Hacker auch abgleichen.

Je mehr Stellen das Kennwort besitzt, desto länger brauchen die Angreifer beim Probieren aller möglichen Zeichenkonstellationen. Arne Arnold vom Computermagazin "PC-Welt" in München rät zu einer Passwortlänge von mindestens zwölf Zeichen. Bei solch einer langen Folge würden attackierende Programme mehrere tausend Jahre benötigen, um den richtigen Code zu finden. Sonderzeichen wie $, !, ? oder # sowie Groß- und Kleinschreibung erhöhen die Sicherheit noch einmal.

Doch wie erinnert man sich an ein wirres Passwort? Eine beliebte Methode funktioniert folgendermaßen. "Man denkt sich einen Satz aus und benutzt von jedem Wort nur den ersten Buchstaben oder nur den zweiten oder letzten", erklärt Nora Basting, Pressereferentin des BSI. "Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen."

Aus dem Eselsbrücken-Merksatz "Und um 6.00 Uhr geht gleich die Sonne auf" würde man also die Anfangsbuchstaben herausnehmen und erhält als Passwort "Uu6UggdSa". Noch kryptischer wird es, wenn das "Und" durch das Zeichen "&" und das "gleich" durch "=" ersetzt wird. Das nun noch sicherere Kennwort lautet dann "&u6Ug=dSa".

Wer an verschiedenen Stellen Variationen eines Zugangscodes verwendet und sich damit auf der sicheren Seite wähnt, sei gewarnt. "Varianten eines Passworts sind eine Möglichkeit, sich verschiedene Passwörter zu merken - aber nicht die sicherste", betont Lutz Neugebauer. Passwortspione vom Sitznachbarn im Internetcafé bis zum Arbeitskollegen haben dann leichtes Spiel. Kennen sie eine Passwortvariante, können sie die anderen durch geschicktes Probieren leicht herausfinden.

Arne Arnold empfiehlt zur Passwortverwaltung das Tool "Keepass": "Es funktioniert wie ein Container und verwaltet verschiedene Passwortdaten - nur das Masterpasswort muss der Nutzer sich merken." Auf einem USB-Stick ist das Tool mitsamt allen wichtigen Passwörtern auch unterwegs griffbereit. Alternativen sind unter anderem "Password Safe" oder "Lastpass". Als Masterpasswort muss der Anwender aber unbedingt einen besonders sicheren Code auswählen.

41 Prozent der Deutschen ändern nie ihre Passwörter, nur vier von zehn Bundesbürgern tun dies überhaupt jemals - das ergab eine Studie im Auftrag des IT-Branchenverbandes Bitkom. "Jedes Passwort sollte in regelmäßigen Zeitabständen geändert werden", betont Basting vom BSI.

Auch wenn es ein wenig Aufwand bedeutet, empfehlen die Experten eine Änderung nach drei Monaten. Vorgegebene Passwörter sollten so schnell wie möglich geändert werden. Außerdem werden sicherheitskritische Codes besser nicht im Browser gespeichert - und auch nicht auf Papier notiert.