So gehts: Sicheres Passwort für Schutz im Netz

Zwei Tipps: Lang und sinnfrei

Für die Sicherheit eines Passwortes gibt es vor allem zwei Kriterien. Zum einen gilt: Je länger, desto sicherer. "Die Anzahl der Versuche, ein Passwort zu knacken, erhöht sich bei der Verwendung von Groß-, Kleinschreibung, Sonderzeichen und Ziffern mit jedem zusätzlichen Zeichen um den Faktor 95", erklärt Meinel. Bei einem fünf Zeichen langen Passwort entspricht das in etwa sieben Milliarden Versuchen, bei der empfohlenen Mindestlänge von acht Zeichen dagegen mehr als sechs Billiarden Versuchen, bis das Passwort geknackt ist - vorausgesetzt, das Passwort steht in keinem Wörterbuch. "Der Duden ist elektronisch verfügbar und kann leicht abgeglichen werden", so Meinel. Er rät zu mit Sonderzeichen durchsetzten, sinnfreien Kombinationen aus großen wie kleinen Buchstaben und Zahlen.

Ein Dienst, ein Passwort

Doch ein sicheres Passwort reicht nicht. Jedes Online-Konto und jeder Online-Dienst sollte mit einem individuellen Passwort gesichert werden. Sonst haben Angreifer, die ein Passwort erbeuten, gleich Zugang zu allen Konten und Diensten eines Nutzers. "Nur ein Drittel der Anbieter nutzt für die Passwortspeicherung eine sichere Verschleierungsmethode", erklärt Meinel.

Prüfen: Wurde mein Passwort gestohlen?

Zwei Drittel der gestohlenen Passwörter sind dagegen mit einem veralteten Algorithmus oder im Klartext gespeichert - und so nach einem Angriff möglicherweise im Internet frei verfügbar - ohne jedes Wissen der Betroffenen. Um das zu ändern, unterhält das Hasso-Plattner-Institut eine Datenbank (HPI Identity Leak Checker) mit gestohlenen Identitätsdaten. Jeder kann dort abfragen, ob er betroffen sein könnte. Gibt es bei der Abfrage einen Treffer, gilt es, das verbrannte Passwort überall zu ändern, wo es verwendet wird.

Merkhilfen fürs Passwort

Aber wie kann man sich ein sicheres, kompliziertes Passwort überhaupt merken? Eine Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort beispielsweise den ersten Buchstaben, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem wandelt man einige Buchstaben in Sonderzeichen oder Ziffern um. Aus "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang" wird so "Msia&pmmZ3Ml".

Auch das Aneinanderreihen zusammenhangsloser Wörter zu einem langen Satz, eine sogenannte Passphrase, ergibt am Ende ein sicheres Passwort. Ein Vorteil: Sie sind deutlich einfacher zu merken. Das BSI rät allerdings dazu, sich den Satz oder die Phrase selbst auszudenken. Bei bekannten Literaturzitaten oder Liedzeilen als Passwort oder -phrase ist die Gefahr groß, dass sie geknackt werden. Aufschreiben sollte man Passwörter eher nicht - weder auf Notizzettel, die man an den Monitor klebt, noch etwa in unverschlüsselte Dokumente, die auf dem Rechner gespeichert werden.

Passwort-Manager nutzen

Aber wer kann sich vielen verschiedenen Passwörter einfach so merken? Vermutlich sind das die Allerwenigsten. Für alle anderen eigenen sich etwa Passwort-Manager. Die Programme können Passwörter nicht nur sicher verschlüsselt speichern, sondern auch starke Passwörter generieren. "Passwortmanager sind definitiv empfehlenswert", sagt Ronald Eikenberg vom "c't"-Fachmagazin. Ein für alle Geräte geeigneter Passwortmanager ist KeePass. Der Opensource-Manager speichert die Passwörter verschlüsselt auf dem Rechner und ist ebenso wie dazu passende Apps kostenlos. Das Wichtigste bei der Nutzung von Passwortmanagern: Das Masterpasswort zum "Aufschließen" des Passwort-Safes, das einzige Passwort, was man sich überhaupt noch merken muss, sollte besonders sicher sein. Dass Rechner und Mobilgeräte stets aktuell gehalten werden müssen, versteht sich von selbst.

Mehr Schutz: Zwei-Faktor-Authentifizierung

Wer den Schutz eines Online-Kontos noch weiter erhöhen möchte, sollte - falls vom jeweiligen Dienst angeboten - die sogenannte Zwei-Faktor-Authentifizierung nutzen. Dann muss beim Einloggen zusätzlich zum Passwort noch eine PIN, ein SMS-Code oder ein per App generierter Schlüssel eingegeben werden - und Angreifern bleibt der Zugang verwehrt, selbst wenn sie in Besitz des Passwortes sind.