Hand aufs Herz: Wann haben Sie sich zuletzt Gedanken um die Passwort-Sicherheit auf Ihrem Kundenkonto gemacht? Gute Passwörter sind der mit Abstand effektivste Schutz vor unbefugtem Zugriff und müssen gar nicht mal so kompliziert sein. So geht’s richtig.
In diesem Artikel erfahren Sie:
- … wie leicht Hacker Ihr Passwort knacken können.
- … wie Sie überprüfen können, ob Ihr Passwort sicher ist.
- … wie Sie an ein sicheres Passwort kommen.
- … und wie Sie es sich merken können.
Wie kommen Hacker an mein Passwort?
Cyberkriminelle entwickeln zunehmend perfidere Methoden, um an sensible Kontoinformationen zu gelangen. Früher wurden verschiedene Zeichenkombinationen so lange automatisiert in die Login-Felder eingetragen, bis zufällig das Passwort dabei war.
Diese Methode erfordert aber sehr viel Rechenleistung. Außerdem lassen die meisten Websitenbetreiber einen Account nach einer bestimmten Anzahl fehlerhafter Logins sperren. Deshalb sind die Hacker mittlerweile zu einer viel systematischeren Technik übergegangen: dem sogenannten Wörterbuchangriff. Hierbei werden bereits gehackte Passwörter in umfangreichen Datenbanken gesammelt und auf typische Muster hin analysiert. Fatalerweise können sich Cyberkriminelle so nicht nur Zugang zu einem einzelnen Account verschaffen, sondern gleich zu einer ganzen Reihe ähnlich funktionierender Konten. Ob Ihre E‑Mail-Adresse in einer solchen Datenbank auftaucht, können Sie mit dem Identity Leak Checker des Hasso-Plattner-Instituts überprüfen.
Um Passwörter zu knacken, setzen Hacker nicht bloß auf technische Methoden. Als besonders heimtückisch erweist sich das Phishing. In gefälschten E‑Mails, Websites oder Anrufen fragen Cyberkriminelle den Nutzer unter einem manipulativen Vorwand nach sensiblen Kontodaten. Deshalb gilt: Geben Sie niemals Ihr Passwort preis! Kein echter Mitarbeiter wird Sie jemals per E‑Mail oder am Telefon nach Ihrem Passwort fragen.
Für zusätzlichen Schutz sorgt zum Beispiel die Zwei-Faktor-Authentifizierung, die Sie in Ihrem Kundenkonto aktivieren lassen können (bei Maschinensucher etwa unter dem Menüpunkt “Sicherheit”). Beim Login wird dann nach zwei Authentifizierungsschlüsseln gefragt, die an zwei voneinander unabhängige Geräte gesendet werden. In aller Regel genügen aber schon ein starkes Passwort und eine ausgeprägte Vorsicht vor Phishing, um die Zahl der Betrugsversuche drastisch zu reduzieren.
Wie sicher ist mein Passwort?
Dass Passwörter gut zu merken sein müssen, ist eine alte Weisheit. Doch genau da liegt die Krux: Wenn Ihr Zugangsschlüssel zu allgemein gehalten ist, können nicht nur Sie sich gut daran erinnern. Der Software-Hersteller NordPass veröffentlicht jährlich eine Liste der am häufigsten verwendeten Passwörter — und die Ergebnisse sind wenig überraschend. Zu den beliebtesten Passwörtern in Deutschland gehören regelmäßig “123456”, “passwort” oder “hallo”. Auch bestimmte Muster, die leicht zu erraten sind, sollte man vermeiden.
Vorsicht vor diesen Passwörtern
- Zahlen- oder Buchstabenreihen auf der Tastatur (z.B. “qwertz”)
- Namen, Geburtsdaten oder Geburtsorte
- Sportmannschaften
- Filme und Videospiele
- Autos
- Lebensmittel
Ihr Passwort auf Maschinensucher passt in eine dieser Kategorien? Dann empfehlen wir Ihnen dringend, ein neues zu vergeben.
Einzigartige Passwörter nutzen
Vergewissern Sie sich außerdem, dass Sie niemals dasselbe Passwort für mehrere Dienste verwenden. Denn wenn Ihr Passwort durch ein Datenleck einmal in die falschen Hände geraten ist, können sich Hacker damit automatisiert durch sämtliche anderen Accounts testen. Vor allem zentrale Konten wie der Online-Banking-Account, das E‑Mail-Postfach (über das Hacker jedes beliebige Passwort zurücksetzen können), das Google-Konto oder die Apple ID, häufig genutzte Online-Shops mit hinterlegten Zahlungsinformationen und natürlich auch der Maschinensucher-Account sollten grundsätzlich mit starken und einzigartigen Passwörtern geschützt werden.
Wie erstelle ich ein sicheres Passwort?
Was viele überrascht: Sichere Passwörter müssen nicht unbedingt komplex sein. Manchmal reicht es schon aus, ein möglichst langes ohne viele Sonderzeichen zu erstellen. Alternativ können Sie sich auch ein kurzes, aber komplexes Kennwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ausdenken. Hier sind einige Tipps und Tricks, mit denen sich beide Varianten erstellen lassen.
Eselsbrücken bauen
Lange Passwörter können Sie am besten mit einer kleinen Geschichte erstellen. Erinnern Sie sich zum Beispiel an Ihre letzte Urlaubsreise und listen Sie alle Aktivitäten auf, die Sie am ersten Tag unternommen haben, zum Beispiel: “fliegen+stadtrundgang+kaffee_trinken+abendessen”. Achten Sie darauf, dass Ihr Passwort aus mindestens 20 bis 25 Zeichen besteht.
Für kurze Passwörter denken Sie sich einen beliebigen Satz aus, der frei erfunden ist und in keinem Wörterbuch steht, zum Beispiel: “Warum macht die große, lila Hündin jeden Morgen 10 Liegestütze?”. Setzen Sie Ihr Passwort nun aus den Anfangsbuchstaben, den Sonderzeichen und den Zahlen Ihres Satzes zusammen: “Wmdg,lHjM10L?”. Für solche komplexen Passwörter sind in der Regel acht Zeichen ausreichend.
Passwort-Generator nutzen
Mittlerweile gibt es zahlreiche Tools, die Ihnen per Zufall ein Passwort generieren. Einige sind direkt in den Browser integriert und schlagen Ihnen automatisch ein geeignetes Kennwort vor, wenn Sie auf einer Website zur Registrierung aufgefordert werden. Andere Tools sind online verfügbar.
Der größte Vorteil von Passwort-Generatoren liegt darin, dass sie sämtliche Kriterien eines sicheren Passwortes erfüllen. Allerdings lassen sich solche zufällig entworfenen Kennwörter oft schwer bis gar nicht merken.
Bei der Wahl eines geeigneten Passwort-Generators haben Sie freie Hand, denn die Kennwörter werden in der Regel nicht gespeichert. Darüber hinaus weiß der Generator nicht, für welches Konto und mit welchem Benutzernamen Sie das Kennwort verwenden möchten. Eine hohe Benutzerfreundlichkeit mit vielen optionalen Einstellungen bietet etwa der Passwort-Generator der Universität Münster.
Wie merke ich mir mein Passwort?
Man kann Passwörter auf viele Arten verwalten — und die schlechteste ist der berühmte Zettel am Bildschirm oder unter der Tastatur. Ebenso ist es wenig ratsam, wichtige Passwörter direkt im Browser zu speichern. Merken Sie sich Ihr Kennwort besser mit diesen Mitteln:
Passwort-Manager verwenden
Passwort-Manager wie KeePass funktionieren wie ein Tresor und sind die sicherste Variante der Passwortverwaltung. Dort pflegen Sie sämtliche Zugangsdaten ein und vergeben anschließend ein Master-Passwort, mit dem Sie die Datenbank öffnen können. Alle Passwörter werden verschlüsselt und lokal auf Ihrem PC gespeichert, sodass es kaum Einfallstore für Hacker gibt. Meist sind Passwort-Manager auch mit allerlei Zusatzfunktionen ausgestattet, wie zum Beispiel der Möglichkeit, die Datenbank auf CDs oder USB-Sticks abzulegen (besonders hilfreich bei defekten Festplatten) oder ein optionales Ablaufdatum für Kennwörter festzulegen.
Manuell notieren
Ein manuell notiertes Passwort kann zwar eher verloren gehen als ein digital verwaltetes, ist aber trotzdem ein guter Kompromiss zwischen Sicherheit und einfacher Zugänglichkeit. Sammeln Sie jedoch nie alle Passwörter an demselben Ort und achten Sie darauf, dass dieser Aufbewahrungsort für Fremde nicht leicht zu erraten ist. Brieftaschen, Kalender oder der eigene PC sind hierfür ungeeignet.
Zusätzlich bietet es sich an, nicht das komplette Kennwort jedes Accounts zu notieren. Dahinter steckt folgende Strategie: Setzen Sie jedes Passwort aus zwei Teilen zusammen. Der erste Teil besteht aus sechs bis acht Zeichen, ist für alle Konten gleich und leicht zu merken. Nur der zweite Teil unterscheidet sich für jedes Konto. Auf Ihren Merkblättern notieren Sie jeweils nur den zweiten Teil des Passworts — den ersten haben Sie sich schließlich gemerkt. Sollten die Merkblätter nun doch einmal in die falschen Hände geraten, kann niemand das komplette Passwort zusammensetzen und sich unbefugt Zugang zu Ihrem Konto verschaffen.
Fazit: Ein sicheres Passwort ist…
- … für jedes Konto einzigartig.
- … entweder lang und wenig komplex oder kurz und sehr komplex.
- … schwer zu erraten, weil es nicht aus persönlichen Bezügen besteht.
- … geheim gehalten, verschlüsselt abgespeichert und wird weder mündlich noch schriftlich an Dritte weitergegeben.
- … nur auf der Website einzugeben, für die es angelegt wurde (Vorsicht vor Phishing).