Die Anforderungen an ein gutes Passwort sind klar: Sie müssen sich das Passwort zum einen gut merken können – und es soll zum anderen möglichst sicher sein, um Ihre Konten vor dem Zugriff Fremder zu schützen. Deshalb gilt:
- Lange Passwörter sind besser als kurze, mindestens zehn Zeichen sind optimal.
- Eine gemischte Zusammensetzung der Zeichen ist sinnvoll, am besten ist eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
- Vermeiden Sie Wörter aus dem Wörterbuch.
- Für Außenstehende soll das Passwort möglichst keinen Sinn ergeben.
- Verwenden Sie bei unterschiedlichen Diensten nicht dieselben Passwörter.
- Je sensibler ein Zugang ist (etwa beim Onlinebanking), desto wichtiger ist ein sicheres Passwort.
Lange Zeit galt die Empfehlung, regelmäßig seine Passwörter zu ändern. Die Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) raten seit 2020 allerdings nicht mehr zu dieser Praxis. Zumindest dann nicht, wenn Ihre Passwörter die obenstehenden Kriterien bereits erfüllen.
Der Grund: Das regelmäßige Ändern von Passwörtern kann dazu führen, dass Sie eher schwache Passwörter verwenden, die nach einem bestimmten Schema (Zugspitze!21, Zugspitze!22, …) erzeugt werden.
Sollten Sie ohnehin noch schwache – weil: kurze, unkomplizierte, häufige etc. – Passwörter nutzen, ist der kommende "Ändere-dein-Passwort-Tag" ein guter Anlass, sich um sichere Passwörter zu kümmern. Hier unsere Tipps dazu:
Bei der Passwortsuche erfinderisch vorgehen
Verbraucher sollten beim Erstellen erfinderisch sein. Das Ziel bei der Passwortwahl: Der gewählte Begriff soll nur für Sie einen Sinn ergeben. Dabei hilft:
- Eine Möglichkeit: sich einen Satz überlegen und die Anfangsbuchstaben jedes zweiten Wortes durch Zahlen ersetzen.
- Eine andere Möglichkeit: 5 bis 6 zufällige Worte aus dem Wörterbuch wählen und diese mit einem Leerzeichen trennen. "Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort", so das Bundesamt für Sicherheit in der Informationstechnik (BSI).
- Alternativ kann man auch mithilfe eines Passwortmerkblatts sicherer im Netz unterwegs sein – die Methode dahinter erläutert das BSI auf seiner Website.
Halten Sie Passwörter-Listen geheim
- Bewahren Sie Ihre Passwörter an einem geschützten Ort auf – nicht auf einem Zettel, der am Computer klebt, in Ihrem Geldbeutel oder Kalender.
- Wenn Sie die Passwörter auf dem Computer oder dem Handy speichern, dann niemals in einer ungeschützten Datei.
- Experten raten zudem, Passwörter nie per Mail oder SMS zu verschicken.
- Zudem sollten Sie bei Onlinediensten die Zwei-Faktor-Authentisierung aktivieren, sofern sie verfügbar ist. So kommen Angreifer selbst dann nicht ans eigene Konto, wenn sie das Passwort erbeutet haben.
Die beliebtesten deutschen Passwörter 2023
Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die Top-10-Passwörter in Deutschland. Diese sind beispielhaft dafür, wie Passwörter nicht aussehen sollten: Offensichtliche Zahlenkombination ("123456") oder gängige Kurzwörter ("hallo") sollten bei der Passwortwahl absolut tabu sein.
Auch der eigene Vorname, der Name des Haustieres oder das Geburtsdatum sind keine gute Idee. Laut HPI, das die Datensätze unter anderem im Darknet gefunden hat, wurden 2023 die folgenden Passwörter am häufigsten vergeben:
- 123456789
- 12345678
- hallo
- 1234567890
- 1234567
- password
- password1
- target123 (laut HPI wohl auf Fake-Accounts zurückgehend, die in riesigen Massen nach dem gleichen Muster erstellt wurden)
- iloveyou
- gwerty123 (ebenfalls zu Fake-Accounts gehörend)
Sind Passwortmanager sinnvoll?
Ja, wer viele Passwörter braucht und Schwierigkeiten hat, sich diese zu merken, ist mit einem Passwortmanager gut beraten. Für einen Passwortmanager benötigen Sie aber ein zentrales und besonders sicheres Passwort, um die Software zu starten und Zugriff auf die gespeicherten Passwörter zu haben.
Welche Passwörter wurden mir schon gestohlen?
Das Risiko, gehackt und Opfer eines Cyberangriffs zu werden, ist auch für Privatpersonen groß, so das HPI. Wer wissen will, ob das eigene Benutzerkonto womöglich betroffen ist, kann dies eigenhändig prüfen. Es gibt dazu im Internet mehrere Plattformen, die entsprechende Checks anbieten, beispielsweise:
- Das HPI betreibt seit 2014 die Seite HPI Identity Leak Checker. Ein Abgleich mit rund 13,3 Milliarden gestohlenen, im Internet frei verfügbaren Identitätsdaten sei möglich – und für Verbraucher kostenfrei.
- Auch die Universität Bonn bietet einen Gratis-Leak Checker an.
- Ein vergleichbares, kostenfreies Tool ist "Have I been pwned?" (sinngemäß: "Hat es mich erwischt?"), das von einer Privatperson betrieben wird. Auch dort sollen fast 13 Milliarden gestohlene Passwörter hinterlegt sein.
Weiterlesen auf oekotest.de:
- Warnung: Angebliche "Elster"-Mails zu Steuerrestbetrag sind falsch
- Das ist die "Mogelpackung des Jahres 2023"
- Warnung: Neue Betrugsmasche täuscht vertraute Stimme vor
Mit Material der dpa.