Sicherheit beginnt mit starken Passwörtern
1. Das Wichtigste in Kürze
- Ein Passwort sollte lang und komplex sein, nur für ein einziges Konto verwendet und mit niemandem geteilt werden. Namen oder Geburtstage von Haustieren oder den Liebsten wären leicht zu erraten und sind deshalb tabu.
- Wir empfehlen, alle Passwörter in einem Passwortmanager (beispielsweise KeePassXC) zu speichern und diesen mit einem sehr starken Passwort zu sichern. Nur dieses eine Passwort brauchen Sie dann noch im Kopf zu behalten.
- Fertigen Sie regelmäßig Backups Ihrer Passwortdatenbank an, am besten auf unterschiedlichen Speichermedien.
- Unser Tipp: Setzen Sie Passwörter aus mindestens fünf Wörtern zusammen und trennen Sie diese mit einer Ziffer oder einem beliebigen Zeichen. Zum Beispiel
Hund.Teekanne.rot.Kopf.Stand. Das tippt sich gut und lässt sich leicht merken. - Das Video von Alexander Lehmann und der XKCD-Comic fassen einige Aspekte dieses Artikels gut zusammen.
Inhalt
2. Grundregeln für sichere Passwörter
Für die meisten Anwendungen und Benutzerkonten sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf die wir uns beziehen, eigentlich unstrittig (Stand Oktober 2022).
Passwörter sollten
ausreichend lang sein. Wir empfehlen mindestens 14 Zeichen.
am besten Groß- und Kleinbuchstaben, Ziffern (0–9) und Sonderzeichen enthalten. Für Passwörter ab etwa 20 Zeichen genügt aber schon eine zufällige Mischung aus Groß- und Kleinbuchstaben (Stand Oktober 2022).
Passwörter sollten NICHT
Namen von Familienmitgliedern, Haustieren, engen Freunden oder des Lieblingsstars sein, auch nicht Geburtstage oder andere persönliche Daten, die leicht zu erraten wären.
in Wörterbüchern oder im Internet vorkommen und nicht der erste Satz in einem Buch sein, auch nicht in Form der Anfangsbuchstaben.
aus gängigen Wiederholungen oder Tastaturmustern bestehen, also nicht qwertz oder 1234abcd und so weiter.
nur aus einem einfachen Passwort bestehen, dem vorn oder hinten ein Zeichen angehängt wird, etwa $, !, ? oder #.
3. Passwörter erstellen
Mit welcher Methode Sie Ihre Passwörter am besten erzeugen, hängt davon ab, ob Sie sie speichern können – der Regelfall – oder merken müssen (siehe den letzten Absatz des Artikels).
Passwortgeneratoren
Passwortgeneratoren wählen und kombinieren automatisch ausreichend viele Zahlen, Buchstaben und Sonderzeichen. Sie generieren die besten Passwörter, denn sie enthalten mehr Zufall, als ihn ein Mensch durch Nachdenken erzeugen könnte.
Ein Nachteil der Zufallspasswörter: Man kann sie sich kaum merken und wird dazu verleitet, nach mehreren falschen Eingaben entnervt zum Namen des Haustiers zu wechseln. Deshalb zeigen wir zwei Methoden, längere, nicht gänzlich zufällige Passwörter zu erstellen, insbesondere für die Fälle, in denen Sie keinen Passwortmanager (s. u.) verwenden können.
Merksätze
Ein Trick besteht darin, mindestens fünf Wörter aneinanderzureihen und sie mit einer Ziffer oder einem beliebigen Zeichen zu trennen, zum Beispiel so:
Hund.Teekanne.rot.Kopf.Stand
Dazu merken Sie sich ein Bild:
Ein Hund macht Kopfstand und hält dabei eine rote Teekanne.
Das erfüllt alle Anforderungen an Länge und Komplexität und lässt sich erheblich besser merken und tippen als ein zufallsgeneriertes Passwort.
Weil sie aus Wörtern zusammengesetzt sind, werden solche Passwörter auch Passphrasen genannt. Für das Hauptpasswort eines Passwortmanagers sind Passphrasen besonders gut geeignet. Wenn man die Wörter dann noch zufällig – etwa mit einem Würfel und einem Wörterbuch – oder aus unterschiedlichen Sprachen wählt, sind sie kaum zu knacken.
Eselsbrücken
Eine andere beliebte Methode sind Eselsbrücken aus langen Sätzen, bei denen die Anfangsbuchstaben der Wörter das Passwort bilden, zum Beispiel:
Digitalcourage kämpft seit über 30 Jahren für Datenschutz und Grundrechte; uns findet man in der Bielefelder Innenstadt.
Das Passwort ist dann
Dksü30JfDuG;ufmidBI.
Falls der Satz zu wenige Zahlen enthält, lassen sich einzelne Buchstaben durch ähnlich aussehende Zahlen ersetzen, zum Beispiel I=1, S=5 oder B=8:
Dksü30JfDuG;ufmid81.
4. Passwörter aufbewahren
Im Zweifel ist es besser, ein schwer zu merkendes sicheres Passwort aufzuschreiben, als ein leicht zu merkendes unsicheres zu verwenden.
Digital oder analog?
Ein Zettel mit dem Passwort ist nicht die beste Idee. Falls es doch nicht anders geht, darf der auf keinen Fall in der Nähe des Geräts liegen und auch nicht verraten, um welchen Zugang es sich handelt.
Bankschließfächer und Safes sind nicht alltagstauglich. Daher sind Passwortmanager wohl die praktischste Methode, Passwörter sicher aufzubewahren. Sie
- legen sämtliche Passwörter in einer verschlüsselten Datenbank auf der Festplatte ab
- und schützen sie durch ein einziges Passwort, das Hauptpasswort.
Viele Passwortmanager können selbst sichere Passwörter generieren. Das macht es leichter, für jeden Zugang ein anderes und wirklich starkes Passwort anzulegen.
Universaler Passwortmanager
Für Desktoprechner empfiehlt sich die plattformübergreifende Anwendung KeePassXC. Das Programm gibt es für die Betriebssysteme Linux, macOS und Windows. Für Smartphones sind KeePassDX (Android) und KeePassium (iOS) geeignet.
Die Datenbanken fast aller Mitglieder der KeePassfamilie sind miteinander kompatibel. Wenn Sie die Datenbanken synchronisieren, können Sie also auf mehreren Geräten dieselben Passwörter benutzen.
Übrigens: Linuxnutzer.innen, die eine schlichte Variante für die Kommandozeile bevorzugen, nehmen pass.
Im Browser speichern
Passwörter für Webdienste können Sie auch im Browser speichern. Dabei müssen Sie sich die Passwörter allerdings selbst ausdenken und können sie nur in dem Browser automatisch verwenden, in dem Sie sie gespeichert haben. Weil das Speichern im Browser weniger sicher ist, empfehlen wir grundsätzlich einen universalen Passwortmanager.
Ein Kompromiss zwischen Bequemlichkeit und Sicherheit könnte darin bestehen, Passwörter für weniger wichtige Websites im Browser zu speichern und Passwörter für wichtige Konten in einem Passwortmanager.
Am Ende müssen Sie entscheiden, was Ihnen wichtiger ist: mehr Komfort oder mehr Sicherheit.
5. Passwörter verwenden
Sie wissen nun, wie gute Passwörter aussehen und wie man sie aufbewahrt. Doch auch der Umgang mit Passwörtern hat Einfluss auf die Sicherheit. Deshalb gilt:
Für wichtige Zugänge besonders sichere Passwörter verwenden. Wer das Passwort zu Ihrem E-Mail-Postfach hat, kann sich auch fast alle anderen Passwörter beschaffen – mit der „Passwort vergessen“-Funktion. Passwörter für E-Mail-Konten sollten also mindestens nach den oben beschriebenen Regeln gebildet werden, am besten noch länger und komplexer sein.
Für verschiedene Konten nicht dasselbe oder ein ähnliches Passwort verwenden. Damit wird verhindert, dass Angreifer.innen ein erbeutetes Passwort gleich für mehrere Zugänge benutzen können.
Passwörter nur unbeobachtet verwenden. Der freundliche Mensch, der Ihnen in der Bahnhofshalle über die Schulter blickt, oder die Überwachungskamera in der Ecke können Ihr geheimes Passwort leicht weniger geheim machen. Sehen Sie sich um, bevor Sie Ihr Passwort eingeben.
Passwörter auch mal ändern. Wie oft das sinnvoll ist, hängt von der Bedeutung des Kontos ab: je wichtiger, desto öfter. Zur Erinnerung kann es hilfreich sein, die aktuelle Monats- und/oder Jahreszahl in das neue Passwort einzuarbeiten. Noch ein Vorteil von Passwortmanagern: Man kann darin das Änderungs- oder Ablaufdatum festlegen.
- Passwörter niemals weitergeben und nicht unverschlüsselt versenden. Auch wenn es schwerfällt: Selbst unsere Liebsten sollten unsere Passwörter nicht kennen. Wenn die Weitergabe sich ausnahmsweise nicht vermeiden ließ, müssen Sie das Passwort anschließend sofort ändern.
6. Zusätzliche Sicherheitsmaßnahmen
Der Nachteil einer Passwortdatenbank liegt auf der Hand: Ist das Hauptpasswort zu schwach oder gerät es in falsche Hände, sind sämtliche Passwörter in Gefahr. Entscheiden Sie sich also für eine besonders starke, lange Passphrase oder gleich für Zwei-Faktor-Authentifizierung (siehe unten).
Sichere Geräte
Auch das beste Passwort nützt nichts, wenn Sie sich Schadsoftware eingefangen haben, die das Hauptpasswort Ihrer Passwortdatenbank beim Entsperren mitschneiden könnte. Also auch unter diesem Aspekt: Vorsicht beim Surfen! Und prüfen Sie, ob das Gerät, auf dem Sie die Passwortdatenbank verwenden wollen, womöglich infiziert ist.
Zwei-Faktor-Authentifizierung (2FA)
Alternativ oder zusätzlich zu einem starken Hauptpasswort bieten die meisten Passwortmanager die Möglichkeit, zum Entsperren eine Schlüsseldatei zu verwenden, gespeichert zum Beispiel auf einem USB-Stick, den Sie nur anschließen, wenn Sie auf die Datenbank zugreifen wollen. Bei der Synchronisation über eine Cloud müssen Sie dafür sorgen, dass die Schlüsseldatei auf Ihrem Gerät bleibt.
Immer mehr Dienstleister bieten Verfahren an, die zusätzlich zur Passwortabfrage genutzt werden können. Wie diese Verfahren funktionieren, und was ihre Vor- und Nachteile sind, haben wir in einem eigenen Artikel beschrieben.
Die Verfahren werden im Alltag als Zwei-Faktor-Authentifizierung, aber auch als Multi-Faktor-Authentifizierung (MFA) bezeichnet. Die Abgrenzung zwischen den beiden Begriffen ist allerdings nicht immer trennscharf. Grundsätzlich gilt: je mehr Faktoren, desto sicherer – und desto unpraktischer.
7. Was noch zu bedenken ist
Ein Passwortmanager erleichtert den sicheren Umgang mit Passwörtern erheblich. Dabei sind noch zwei Punkte zu beachten:
Datenbank sichern
Sollten Sie den Zugriff auf Ihre Passwortdatenbank verlieren, können Sie viele Dienste nicht mehr nutzen. Es ist mühsam oder gar unmöglich, die Zugänge wiederherzustellen. Datensicherung (Backup) ist deshalb auch für Passwortdatenbanken unverzichtbar. Speichern Sie Ihre Datenbankdatei in regelmäßigen Abständen auf weiteren, ausreichend sicheren Datenträgern.
Die Sicherungskopie darf Ihre Passwörter nicht im Klartext enthalten. Falls sich das nicht vermeiden lässt, sollte wenigstens die Festplatte oder der Container verschlüsselt sein, wo sie die Datei speichern. Einige Möglichkeiten, Datenträger und Backups zu verschlüsseln, beschreiben wir in einem separaten Artikel.
Spezielle Passwörter
Für einige spezielle Passwörter werden Sie Ihre Datenbank nicht benutzen können, denn sie sind ihr „vorgeschaltet“:
- Passwörter zum Entschlüsseln von Systemfestplatten
- Passwort zum Einloggen in Ihr System
- Hauptpasswort Ihrer Passwortdatenbank
Nutzen Sie die oben beschriebenen Methoden, Merksätze und Eselsbrücken, damit auch diese Passwörter sicher sind und sich gut merken lassen. Und verwenden Sie sie zwischendurch auch mal "einfach so", damit Sie sie nicht vergessen.
Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
Links:
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Passwörter
- Wikipedia: Passwort
- KeePassXC (PC), KeePassDX (Android), KeePassium (iOS)
- Deutsche Anleitung für KeePassXC
- KeePass-Datenbank synchronisieren
- HPI Identity Leak Checker
Wir aktualisieren unsere Texte in unregelmäßigen Abständen. Prüfen Sie das Datum der letzten Überarbeitung unter „Letztes Update“. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.
