Sicherheit beginnt mit starken Passwörtern

Das Wichtigste in aller Kürze

  • Passwörter sollten lang/komplex sein, nirgendwo doppelt verwendet und mit niemandem geteilt werden. Namen oder Geburtstage von Haustieren oder den Liebsten sind verboten.
  • Wir empfehlen, alle Passwörter in einem Passwortmanager (beispielsweise KeePassXC) zu speichern und die Passwort-Datenbank mit einem sehr starken Passwort zu sichern.
  • Unser Tipp: Setzen Sie Passwörter aus mindestens fünf Wörtern zusammen und trennen Sie diese mit einem Sonderzeichen. Zum Beispiel „Hund.Teekanne.rot.Kopf.Stand“. Das merkt und tippt sich sehr viel leichter.
  • Das Video von Alexander Lehmann und der XKCD-Comic zum Thema fassen einige Aspekte dieses Artikels gut zusammen.

Eigenschaften und Umgang mit sicheren Passwörtern

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Hinweise und Anleitungen, wie ein sicheres Passwort auszusehen hat, geistern zu Tausenden durch das Internet. Für die meisten Anwendungen und Benutzerkonten sind die folgenden Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) (Stand: März 2021) weitestgehend unstrittig:

Passwörter sollten …

  • ausreichend lang sein (Das BSI gibt hier, je nach Komplexität des Passwortes, unterschiedliche Empfehlungen. Wir empfehlen allgemein mindestens 14 Zeichen).

  • möglichst Groß- und Kleinbuchstaben, Ziffern (0…9) und Sonderzeichen enthalten. Bei Passwörtern ab etwa 20 Zeichen Länge sind aber selbst eine Mischung aus Groß- und Kleinbuchstaben schon äußerst sicher (Stand: März 2021).

  • nicht bestehen aus: Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.

  • nicht in Wörterbüchern oder im Internet vorkommen und nicht die Anfängssätze von Büchern sein oder abkürzen.

  • nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (also nicht qwertz oder 1234abcd und so weiter).

  • nicht nur durch Anhängen oder Voranstellen eines Zeichens an ein einfaches Passwort bestehen (beliebt sind: $, !, ?, #).

Richtig mit Passwörtern umgehen

Auch zum Umgang mit Passwörtern gibt es Regeln, die für die Sicherheit von grundlegender Wichtigkeit sind:

  • Für verschiedene Zugänge nicht das gleiche oder ähnliche Passwort verwenden. Damit wird verhindert, dass ein.e Angreifer.in ein erbeutetes Passwort bei einem anderen Zugang wieder nutzen kann. Ob eines Ihrer Passwörter bei einem der großen Datenlecks der letzten Jahre betroffen war, erfahren Sie auf der Seite Identity Leak Checker.

  • Verschieden sichere Passwörter für verschiedene Zwecke: Für wichtige Zugänge, z.B. zum Mail-Postfach, zum Online-Banking oder zum Sozialen Netzwerk, sollten die Passwörter unbedingt den Regeln oben entsprechen – oder noch länger sein. Bedenken Sie, dass wer das Passwort zum Mail-Postfach hat, auch fast alle anderen Passwörter bekommen kann, wenn er oder sie jeweils die „Passwort vergessen“-Funktion benutzt.

  • Passwörter auch mal ändern. Wie oft Sie das tun, sollten Sie je nach Sensibilität des Zugangs entscheiden und eine Erinnerung z.B. in den Kalender (oder ein Passwortverwaltungsprogramm, siehe weiter unten) eintragen. Hilfreich kann auch sein, zur eigenen Erinnerung die Jahreszahl, wann man sein Passwort erstellt hat, ins Passwort einzuarbeiten.

  • Passwörter niemals weitergeben und nicht (unverschlüsselt) versenden! Auch wenn es schwer fällt: Selbst unsere Liebsten sollten unsere Passwörter nicht kennen. Wenn die Weitergabe einmal unvermeidlich ist, dann ändern Sie das entsprechende Passwort sofort danach.

  • Passwörter nicht direkt neben dem Gerät lagern. Aber: Es ist besser, ein sicheres Passwort zu verwenden und aufzuschreiben, als ein unsicheres Passwort zu benutzen. Denn letzteres kann eine Angreiferin oder Angreifer erraten. Um an ersteres zu kommen, braucht sie oder er den Zettel. Und der ist im Portemonnaie passabel sicher verstaut – wenn nicht dabei steht, für welchen Zugang es ist. Ein sicher verwahrtes Passwort (etwa in einem Safe oder Bankschließfach) ist sogar empfehlenswert, wenn Sie möchten, dass berechtigte Personen im Falle eines Unfalls Zugriff auf Ihre Daten bekommen können.

  • Passwörter möglichst unbeobachtet verwenden Der freundliche Herr, der Ihnen in der Bahnhofshalle über die Schulter blickt oder die Überwachungskamera in der Ecke könnten ihr geheimes Passwort recht schnell weniger geheim machen. Sie müssen sich nicht wie Edward Snowden jedesmal eine blickdichte Decke über Kopf und Computer ziehen, aber sehen sie sich ruhig um, bevor sie ein Passwort eingeben.

Wie erzeugt man ein sicheres Passwort?

Passwortgeneratoren (und Würfel) erstellen die besten Passwörter. Denn Passwortgeneratoren wählen und kombinieren zufällig eine ausreichende Anzahl an Zahlen, Buchstaben und Sonderzeichen.

Aber Achtung: Benutzen Sie keine Passwort-Generatoren im Internet! Und schicken Sie Ihre bestehenden Passwörter keinesfalls an Websites, die Ihnen versprechen, die Sicherheit ihres Passwortes zu überprüfen. Ein Nachteil ist allerdings: Ein völlig zufälliges Passwort ist kaum zu merken und verleitet dazu, nach mehreren falschen Eingaben entnervt auf den Namen des Haustiers zu wechseln.

Deshalb zeigen wir zwei Alternativen, ein längeres, nicht gänzlich zufälliges Passwort zu erstellen, das besser zu merken ist und trotzdem nicht unsicherer sein muss.

Merksätze und Eselsbrücken

Digitalcourage wirkt. Wirken Sie mit!

Ein sehr hilfreicher Trick besteht darin, mindestens fünf Wörter aneinanderzureihen und sie mit einem Sonderzeichen zu trennen. Das erfüllt alle Anforderungen hinsichtlich Länge und Komplexität und lässt sich erheblich besser merken und meist auch eintippen. Zum Beispiel „Hund.Teekanne.rot.Kopf.Stand“. Dazu merken Sie sich folgendes Bild: Ein Hund macht Kopfstand und hält dabei eine rote Teekanne. Mitunter nennt man das auch einem Passsatz (auf englisch: "Passphrase").

Für das Hauptpasswort eines Passwort-Verwaltungsprogramms sind solche Passphrasen besopnders gut geeignet. Wenn man die Wörter zufällig (z.B. mit Hilfe eines Würfels („Diceware“) und nummerierten Wortlisten) oder aus mehren Sprachen auswählt, wird es noch sicherer.

Eine andere Methode ist, eine Eselsbrücke durch einen langen Satz zu bilden und die jeweiligen Anfangsbuchstaben der Wörter als Passwort zu benutzen. Zum Beispiel „Digitalcourage kämpft für Datenschutz und Grundrechte; uns findet man in der Bielefelder Innenstadt.“ = DkfDuG;ufmidBI. Zusätzlich kann man dann noch einzelne Buchstaben durch Zahlen ersetzen, z.B. I=1, S=5, B=8, usw.: DkfDuG;ufmid81.

Wichtig ist dabei, dass man hierfür kein berühmtes Zitat oder einen zentralen Satz aus einem populären Buch verwenden sollte, denn natürlich wissen auch Passwortdiebe von solchen Methoden.

Zwei-Faktor-Authentifizierung: zusätzliche Sicherheit neben dem Passwort

Immer mehr Dienstleister bieten weitere Verfahren an, die zusätzlich zu der Passwortabfrage genutzt werden. So können Sie ihre Konten etwa per individueller SMS oder mit Hilfe von spezieller Technik, wie z.B. dem YubiKey autorisieren. Dies wird meist als „Zwei-Faktor-Authentifizierung“ („2FA“) bezeichnet, was allerdings nicht immer berechtigt ist. Biometrische Verfahren empfehlen wir zu vermeiden und allenfalls als Notbehelf.

Smartphones sichern

Natürlich sollten Sie auch Ihr Smartphone mit einem Passwort vor unbefugtem Zugriff schützen. Bedenken Sie, dass ein Smartphone mehr Informationen über Sie enthält als ein Tagebuch. Viele benutzen ein Entsperrmuster, das man auf einem Gitter zeichnet. Das ist allerdings unsicher, da man ein Muster bei der Eingabe durch einen Blick über die Schulter sehr leicht erfassen kann. Außerdem ist es hinterher perfekt auf dem Display zu sehen, da Ihr Finger eine Fettspur hinterlässt.

Besser ist, Sie wählen eine Zahlenkombination, in der manche Zahlen mehrfach vorkommen. Dann sind die Spuren auf dem Display schwerer zu deuten. Wenn Ihr Smartphone diese Ziffern auch noch in zufälliger Anordnung anzeigen kann, erhöht das die sicherheit zusätzlich. Suchen Sie hierzu in den Einstellungen Ihres Smartphones nach „zufällig“.

Wie bewahrt man Passwörter auf?

Digitalcourage arbeitet gemeinnützig und auf Basis von Spenden. Ihre Fördermitglied-schaft gibt uns Kraft und macht unabhängige Arbeit erst möglich. Werden Sie jetzt Fördermitglied bei Digitalcourage

Neben Bankschließfächern und Safes sind Passwort-Verwaltungsprogramme eine gute Methode, die Zugangsdaten zum Beispiel für verschiedene Webdienste zu verwalten. Die Passwörter für verschiedene Zugänge werden durch ein einziges Hauptpasswort geschützt und verschlüsselt auf der Festplatte gespeichert. Die Passwörter für die einzelnen Zugänge können dann vom Passwort-Verwaltungsprogramm zufällig generiert werden, da man sie sich ja nicht merken braucht. Das animiert dazu, auch wirklich für jeden Zugang ein anderes und wirklich starkes Passwort anzulegen.

Für den PC sind KeePassXC muss gesondert installiert werden) und KeePass (die deutsche Übersetzung empfehlenswert. Für Smartphones sind KeePassDX für Android und KeePassium für iOS. Im Download-Bereich von KeePass findet sich außerdem eine Auflistung kompatibler Smartphone-Apps. Mit einer Synchronisierung können also auf mehreren Geräten die gleichen Passwörter genutzt werden. Bedenken Sie jedoch, dass ihre Passwortdatenbank bei Verlust des Mobilgeräts potentiell beeinträchtigt ist.

Wer etwas ganz Schlichtes bevorzugt und Linux verwendet, kann auf pass zurückgreifen. Durch die Schlichtheit werden Angriffsvektoren minimiert, allerdings sollten Sie mit der Verwendung von Terminal-Programmen vertraut sein.

Sie können Passwörter auch im Browser verwalten. Dabei müssen Sie sich die Passwörter aber immer noch selbst überlegen und können sie nur innerhalb des Browsers sinnvoll verwenden. Darum empfehlen wir Ihnen, besser ein eigenständiges Passwort-Verwaltungsprogramm zu verwenden. Sie können aber auch zweigleisig fahren: unkritischere Passwörter wie die für Foren speichern Sie im Browser, andere im Passwort-Verwaltungsprogramm.

Die Frage allerdings, ob Ihnen der Zuwachs an Sicherheit diese kleinen Komforteinbußen ausgleicht, können nur Sie selbst beantworten.

Tipp: Zu KeePassXC gibt es ein Add-on für Firefox, das beim Ausfüllen der Eingabemasken hilft. Beachten allerdings, dass die Nutzung des Add-ons die Sicherheit Ihrer Passwortdatenbank gefähren kann.

Vorsicht vor der Cloud und anderen Rechnern

Der Nachteil eines Passwort-Schlüsselbunds (so nennt man eine Sammlung von Passwörtern) liegt auf der Hand: Ist das Hauptpasswort nicht stark genug und gerät es in die falschen Hände, sind all Ihre Passwörter ungeschützt. Hier hilft nur, eine sehr starke, lange Passphrase zu benutzen, wie weiter oben gezeigt. Aber auch das hilft nicht mehr, wenn Sie sich einen Trojaner und andere Schadsoftware eingefangen haben. Darum: weiterhin Vorsicht beim Surfen! Seien Sie vorsichtig, wenn Sie Ihren Passwort-Schlüsselbund auf einem fremden Gerät einsetzen wollen, vielleicht ist das Gerät infiziert. Beachten Sie in einem solchen Falle auch, dass Passwörter oft automatisch vom Browser gespeichert werden.

Und vergessen Sie nicht: Auch eine Cloud besteht nur aus den Rechnern anderer Leute. Stellen Sie sich die Cloud als einen USB-Stick vor, den Sie danach einem wildfremden Menschen zur Verwahrung geben.

Wie werden Passwörter angegriffen?

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Im April 2020 fand eine IT-Sicherheitsfirma eine Sammlung von hunderttausenden Zugangsdaten zum Videoconferencing-Dienst „Zoom“. Die Daten wurden dem Identity Leak Checker des Hasso-Plattner-Instituts (HPI) hinzugefügt. Mit diesem Tool können Sie leicht feststellen, ob auch Ihre Zugangsdaten von größeren Sicherheitslecks der Vergangenheit betroffen waren. Das HPI stellt statistische Auswertungen, darunter die beliebtesten Passwörter zur Verfügung. Beliebte Passwörter waren: „123456“ (Platz 1), „123456789“ (Platz 2), der Fingerschwenk „qwerty“ (Platz 4) sowie „password“ (Platz 3). Solche Passwörter werden von Millionen Nutzer.innen verwendet, sind allerdings extrem unsicher.

Angreifer verlassen sich lange nicht mehr nur auf das reine Ausprobieren aller möglicher Zeichenkombinationen, die sogenannten Brute-Force-Methode. Stattdessen werden Listen häufig benutzter Wörter und Passwörter genutzt, die in einem Wörterbuchangriff nacheinander getestet werden. Solche Listen können sehr umfangreich sein und beinhalten auch übliche Verschleierungsmaßnahmen von Nutzern, wie zum Beispiel das Ersetzen von einem „o“ zu einer „0“ ("passw0rd").

Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.

Letzte Änderungen:
* Absätze zusammengefasst, Update der BSI-Empfehlungen, Beispiel zu Passphrasen, Ergänzung von pass als Passwortmanager (April 2021)
* Artikel gekürzt, Absätze zusammengefasst (November 2020)

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 17.04.2021. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links:
* Wikipedia: Passwort * Bundesamt für Sicherheit in der Informationstechnik (BSI): Passwörter * KeePassXC * KeePass * Deutsche Anleitung für KeePassXC

Bilder:
Authenticity required: Elias Bizannes auf Flickr CC BY-SA 2.0
Linux password file: Christiaan Colen auf Flickr CC BY-SA 2.0

Video:
Animation: Alexander Lehmann,
Illustration: Lena Schall,
Stimme: Florian Maerlender unter CC BY SA 3.0

Veröffentlicht am 11.11.2018

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld