Hund.Teekanne.rot.Kopfstand

Sicherheit beginnt mit starken Passwörtern

Bloß nicht „Passwort“ auf dem Post-it am Monitor! Tipps und Tricks für kluge Passwörter und ihre Verwaltung

1. Das Wichtigste in Kürze

  • Ein Passwort sollte lang und komplex sein, nur für ein einziges Konto verwendet und mit niemandem geteilt werden. Namen oder Geburtstage von Haustieren oder den Liebsten wären leicht zu erraten und sind deshalb tabu.
  • Wir empfehlen, alle Passwörter in einem Passwortmanager (beispielsweise KeePassXC) zu speichern und diesen mit einem sehr starken Passwort zu sichern. Nur dieses eine Passwort brauchen Sie dann noch im Kopf zu behalten.
  • Fertigen Sie regelmäßig Backups Ihrer Passwortdatenbank an, am besten auf unterschiedlichen Speichermedien.
  • Unser Tipp: Setzen Sie Passwörter aus mindestens fünf Wörtern zusammen und trennen Sie diese mit einer Ziffer oder einem beliebigen Zeichen. Zum Beispiel Hund.Teekanne.rot.Kopf.Stand. Das tippt sich gut und lässt sich leicht merken.
  • Das Video von Alexander Lehmann und der XKCD-Comic fassen einige Aspekte dieses Artikels gut zusammen.

Inhalt

Digitalcourage arbeitet gemeinnützig und auf Basis von Spenden. Ihre Fördermitgliedschaft gibt uns Kraft und macht unabhängige Arbeit erst möglich. Werden Sie jetzt Fördermitglied bei Digitalcourage
  1. Das Wichtigste in Kürze
  2. Grundregeln für sichere Passwörter
  3. Passwörter erstellen
  1. Passwörter aufbewahren
  1. Passwörter verwenden
  2. Zusätzliche Sicherheitsmaßnahmen
  1. Was noch zu bedenken ist

2. Grundregeln für sichere Passwörter

Für die meisten Anwendungen und Benutzerkonten sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), auf die wir uns beziehen, eigentlich unstrittig (Stand Oktober 2022).

Passwörter sollten

  • ausreichend lang sein. Wir empfehlen mindestens 14 Zeichen.

  • am besten Groß- und Kleinbuchstaben, Ziffern (0–9) und Sonderzeichen enthalten. Für Passwörter ab etwa 20 Zeichen genügt aber schon eine zufällige Mischung aus Groß- und Kleinbuchstaben (Stand Oktober 2022).

Passwörter sollten NICHT

  • Namen von Familienmitgliedern, Haustieren, engen Freunden oder des Lieblingsstars sein, auch nicht Geburtstage oder andere persönliche Daten, die leicht zu erraten wären.

  • in Wörterbüchern oder im Internet vorkommen und nicht der erste Satz in einem Buch sein, auch nicht in Form der Anfangsbuchstaben.

  • aus gängigen Wiederholungen oder Tastaturmustern bestehen, also nicht qwertz oder 1234abcd und so weiter.

  • nur aus einem einfachen Passwort bestehen, dem vorn oder hinten ein Zeichen angehängt wird, etwa $, !, ? oder #.

3. Passwörter erstellen

Mit welcher Methode Sie Ihre Passwörter am besten erzeugen, hängt davon ab, ob Sie sie speichern können – der Regelfall – oder merken müssen (siehe den letzten Absatz des Artikels).

Passwortgeneratoren

Passwortgeneratoren wählen und kombinieren automatisch ausreichend viele Zahlen, Buchstaben und Sonderzeichen. Sie generieren die besten Passwörter, denn sie enthalten mehr Zufall, als ihn ein Mensch durch Nachdenken erzeugen könnte.

Benutzen Sie keine Passwortgeneratoren im Internet und lassen Sie die Sicherheit Ihrer Passwörter keinesfalls von irgendwelchen Websites prüfen.

Ein Nachteil der Zufallspasswörter: Man kann sie sich kaum merken und wird dazu verleitet, nach mehreren falschen Eingaben entnervt zum Namen des Haustiers zu wechseln. Deshalb zeigen wir zwei Methoden, längere, nicht gänzlich zufällige Passwörter zu erstellen, insbesondere für die Fälle, in denen Sie keinen Passwortmanager (s. u.) verwenden können.

Merksätze

Ein Trick besteht darin, mindestens fünf Wörter aneinanderzureihen und sie mit einer Ziffer oder einem beliebigen Zeichen zu trennen, zum Beispiel so:

Hund.Teekanne.rot.Kopf.Stand

Dazu merken Sie sich ein Bild:

Ein Hund macht Kopfstand und hält dabei eine rote Teekanne.

Das erfüllt alle Anforderungen an Länge und Komplexität und lässt sich erheblich besser merken und tippen als ein zufallsgeneriertes Passwort.

Weil sie aus Wörtern zusammengesetzt sind, werden solche Passwörter auch Passphrasen genannt. Für das Hauptpasswort eines Passwortmanagers sind Passphrasen besonders gut geeignet. Wenn man die Wörter dann noch zufällig – etwa mit einem Würfel und einem Wörterbuch – oder aus unterschiedlichen Sprachen wählt, sind sie kaum zu knacken.

Eselsbrücken

Digitalcourage wirkt. Wirken Sie mit!

Eine andere beliebte Methode sind Eselsbrücken aus langen Sätzen, bei denen die Anfangsbuchstaben der Wörter das Passwort bilden, zum Beispiel:

Digitalcourage kämpft seit über 30 Jahren für Datenschutz und Grundrechte; uns findet man in der Bielefelder Innenstadt.

Das Passwort ist dann

Dksü30JfDuG;ufmidBI.

Falls der Satz zu wenige Zahlen enthält, lassen sich einzelne Buchstaben durch ähnlich aussehende Zahlen ersetzen, zum Beispiel I=1, S=5 oder B=8:

Dksü30JfDuG;ufmid81.

Wichtig für Merksätze und Eselsbrücken: Verwenden Sie keine berühmten Zitate oder wichtigen Sätze aus einem populären Buch, denn auch Passwortdiebe und -diebinnen kennen diese Methode.

4. Passwörter aufbewahren

Im Zweifel ist es besser, ein schwer zu merkendes sicheres Passwort aufzuschreiben, als ein leicht zu merkendes unsicheres zu verwenden.

Digital oder analog?

Ein Zettel mit dem Passwort ist nicht die beste Idee. Falls es doch nicht anders geht, darf der auf keinen Fall in der Nähe des Geräts liegen und auch nicht verraten, um welchen Zugang es sich handelt.

Bankschließfächer und Safes sind nicht alltagstauglich. Daher sind Passwortmanager wohl die praktischste Methode, Passwörter sicher aufzubewahren. Sie

  • legen sämtliche Passwörter in einer verschlüsselten Datenbank auf der Festplatte ab
  • und schützen sie durch ein einziges Passwort, das Hauptpasswort.

Viele Passwortmanager können selbst sichere Passwörter generieren. Das macht es leichter, für jeden Zugang ein anderes und wirklich starkes Passwort anzulegen.

Universaler Passwortmanager

Für Desktoprechner empfiehlt sich die plattformübergreifende Anwendung KeePassXC. Das Programm gibt es für die Betriebssysteme Linux, macOS und Windows. Für Smartphones sind KeePassDX (Android) und KeePassium (iOS) geeignet.

Die Datenbanken fast aller Mitglieder der KeePassfamilie sind miteinander kompatibel. Wenn Sie die Datenbanken synchronisieren, können Sie also auf mehreren Geräten dieselben Passwörter benutzen.

Übrigens: Linuxnutzer.innen, die eine schlichte Variante für die Kommandozeile bevorzugen, nehmen pass.

Im Browser speichern

Passwörter für Webdienste können Sie auch im Browser speichern. Dabei müssen Sie sich die Passwörter allerdings selbst ausdenken und können sie nur in dem Browser automatisch verwenden, in dem Sie sie gespeichert haben. Weil das Speichern im Browser weniger sicher ist, empfehlen wir grundsätzlich einen universalen Passwortmanager.

Ein Kompromiss zwischen Bequemlichkeit und Sicherheit könnte darin bestehen, Passwörter für weniger wichtige Websites im Browser zu speichern und Passwörter für wichtige Konten in einem Passwortmanager.

Ein Tipp für mehr Komfort: Zu KeePassXC gibt es ein Add-on für Firefox, das beim Ausfüllen der Eingabemaske hilft. Allerdings kann es die Sicherheit Ihrer Passwort-Datenbank gefährden.

Am Ende müssen Sie entscheiden, was Ihnen wichtiger ist: mehr Komfort oder mehr Sicherheit.

5. Passwörter verwenden

Sie wissen nun, wie gute Passwörter aussehen und wie man sie aufbewahrt. Doch auch der Umgang mit Passwörtern hat Einfluss auf die Sicherheit. Deshalb gilt:

  • Für wichtige Zugänge besonders sichere Passwörter verwenden. Wer das Passwort zu Ihrem E-Mail-Postfach hat, kann sich auch fast alle anderen Passwörter beschaffen – mit der „Passwort vergessen“-Funktion. Passwörter für E-Mail-Konten sollten also mindestens nach den oben beschriebenen Regeln gebildet werden, am besten noch länger und komplexer sein.

  • Für verschiedene Konten nicht dasselbe oder ein ähnliches Passwort verwenden. Damit wird verhindert, dass Angreifer.innen ein erbeutetes Passwort gleich für mehrere Zugänge benutzen können.

  • Passwörter nur unbeobachtet verwenden. Der freundliche Mensch, der Ihnen in der Bahnhofshalle über die Schulter blickt, oder die Überwachungskamera in der Ecke können Ihr geheimes Passwort leicht weniger geheim machen. Sehen Sie sich um, bevor Sie Ihr Passwort eingeben.

  • Passwörter auch mal ändern. Wie oft das sinnvoll ist, hängt von der Bedeutung des Kontos ab: je wichtiger, desto öfter. Zur Erinnerung kann es hilfreich sein, die aktuelle Monats- und/oder Jahreszahl in das neue Passwort einzuarbeiten. Noch ein Vorteil von Passwortmanagern: Man kann darin das Änderungs- oder Ablaufdatum festlegen.

Digitalcourage-Newsletter abonnieren und auf dem Laufenden bleiben.
  • Passwörter niemals weitergeben und nicht unverschlüsselt versenden. Auch wenn es schwerfällt: Selbst unsere Liebsten sollten unsere Passwörter nicht kennen. Wenn die Weitergabe sich ausnahmsweise nicht vermeiden ließ, müssen Sie das Passwort anschließend sofort ändern.

6. Zusätzliche Sicherheitsmaßnahmen

Der Nachteil einer Passwortdatenbank liegt auf der Hand: Ist das Hauptpasswort zu schwach oder gerät es in falsche Hände, sind sämtliche Passwörter in Gefahr. Entscheiden Sie sich also für eine besonders starke, lange Passphrase oder gleich für Zwei-Faktor-Authentifizierung (siehe unten).

Sichere Geräte

Auch das beste Passwort nützt nichts, wenn Sie sich Schadsoftware eingefangen haben, die das Hauptpasswort Ihrer Passwortdatenbank beim Entsperren mitschneiden könnte. Also auch unter diesem Aspekt: Vorsicht beim Surfen! Und prüfen Sie, ob das Gerät, auf dem Sie die Passwortdatenbank verwenden wollen, womöglich infiziert ist.

Sollten Sie der Synchronisation der Datenbank über eine Cloud nicht trauen, verwenden Sie zum Beispiel die Anwendung Syncthing, welche die Datei direkt zwischen ihren Geräten synchronisieren kann. Oder verschieben Sie die Datenbank manuell.

Zwei-Faktor-Authentifizierung (2FA)

Alternativ oder zusätzlich zu einem starken Hauptpasswort bieten die meisten Passwortmanager die Möglichkeit, zum Entsperren eine Schlüsseldatei zu verwenden, gespeichert zum Beispiel auf einem USB-Stick, den Sie nur anschließen, wenn Sie auf die Datenbank zugreifen wollen. Bei der Synchronisation über eine Cloud müssen Sie dafür sorgen, dass die Schlüsseldatei auf Ihrem Gerät bleibt.

Immer mehr Dienstleister bieten Verfahren an, die zusätzlich zur Passwortabfrage genutzt werden können. Wie diese Verfahren funktionieren, und was ihre Vor- und Nachteile sind, haben wir in einem eigenen Artikel beschrieben.

Die Verfahren werden im Alltag als Zwei-Faktor-Authentifizierung, aber auch als Multi-Faktor-Authentifizierung (MFA) bezeichnet. Die Abgrenzung zwischen den beiden Begriffen ist allerdings nicht immer trennscharf. Grundsätzlich gilt: je mehr Faktoren, desto sicherer – und desto unpraktischer.

7. Was noch zu bedenken ist

Ein Passwortmanager erleichtert den sicheren Umgang mit Passwörtern erheblich. Dabei sind noch zwei Punkte zu beachten:

Datenbank sichern

Sollten Sie den Zugriff auf Ihre Passwortdatenbank verlieren, können Sie viele Dienste nicht mehr nutzen. Es ist mühsam oder gar unmöglich, die Zugänge wiederherzustellen. Datensicherung (Backup) ist deshalb auch für Passwortdatenbanken unverzichtbar. Speichern Sie Ihre Datenbankdatei in regelmäßigen Abständen auf weiteren, ausreichend sicheren Datenträgern.

Die Sicherungskopie darf Ihre Passwörter nicht im Klartext enthalten. Falls sich das nicht vermeiden lässt, sollte wenigstens die Festplatte oder der Container verschlüsselt sein, wo sie die Datei speichern. Einige Möglichkeiten, Datenträger und Backups zu verschlüsseln, beschreiben wir in einem separaten Artikel.

Spezielle Passwörter

Für einige spezielle Passwörter werden Sie Ihre Datenbank nicht benutzen können, denn sie sind ihr „vorgeschaltet“:

  • Passwörter zum Entschlüsseln von Systemfestplatten
  • Passwort zum Einloggen in Ihr System
  • Hauptpasswort Ihrer Passwortdatenbank

Nutzen Sie die oben beschriebenen Methoden, Merksätze und Eselsbrücken, damit auch diese Passwörter sicher sind und sich gut merken lassen. Und verwenden Sie sie zwischendurch auch mal "einfach so", damit Sie sie nicht vergessen.

Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.

Letzte Änderungen:
  • Oktober 2022: Artikel gekürzt, besser strukturiert, Hinweise zu Cloud und Apps angepasst
  • November 2023: Infos zu 2FA in eigenen Artikel ausgelagert


Links:

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie aufmerksam!

Wir aktualisieren unsere Texte in unregelmäßigen Abständen. Prüfen Sie das Datum der letzten Überarbeitung unter „Letztes Update“. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.