Passwörter sind die erste Verteidigungslinie gegen unbefugten Zugriff auf unsere digitalen Konten. Trotzdem werden sie von den meisten Menschen stiefmütterlich behandelt. "123456", "passwort" und "qwerty" sind weiterhin die am häufigsten genutzten Passwörter weltweit. In einer Zeit, in der wir Dutzende Online-Konten haben, ist eine gute Passwortstrategie unerlässlich geworden.
Was macht ein sicheres Passwort?
Ein starkes Passwort ist lang, einzigartig und enthält verschiedene Zeichenarten. Die Mindestlänge sollte 12 Zeichen betragen, besser sind 16 oder mehr. Es sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Wörter aus dem Wörterbuch, Namen, Geburtsdaten und einfache Muster sind tabu. Ein Passwort wie "T3st!ng$ecur1ty2025" ist deutlich schwerer zu knacken als "Thomas1985". Unser Passwort-Generator erstellt solche sicheren Passwörter automatisch.
Passwort-Manager nutzen
Bei 50 bis 100 Online-Konten ist es unmöglich, sich für jedes Konto ein sicheres Passwort zu merken. Passwort-Manager wie Bitwarden, 1Password oder KeePass lösen dieses Problem. Sie speichern alle Passwörter verschlüsselt und füllen sie automatisch auf Websites ein. Man muss sich nur noch ein einziges Master-Passwort merken. Dieses sollte besonders stark sein und idealerweise aus einem Satz bestehen, den man sich leicht merkt, aber der für andere schwer zu erraten ist.
Zwei-Faktor-Authentifizierung
Selbst das stärkste Passwort ist nutzlos, wenn es in einem Datenleck auftritt. Zwei-Faktor-Authentifizierung (2FA) schützt dagegen: Neben dem Passwort wird ein zweiter Faktor benötigt, etwa ein Code aus einer Authenticator-App auf dem Smartphone oder ein per SMS zugesandter Code. Selbst wenn ein Angreifer Ihr Passwort kennt, kommt er ohne Ihr Handy nicht in Ihr Konto. Die Authenticator-App ist dabei sicherer als SMS, da SIM-Karten geklont werden können.
Regelmäßig sollte man prüfen, ob die eigenen Passwörter in bekannten Datenlecks aufgetaucht sind. Dienste wie haveibeenpwned.com erlauben es, seine E-Mail-Adresse zu prüfen. Ist man betroffen, sollte das betroffene Passwort sofort geändert werden, und zwar nicht nur auf der einen Website, sondern auf allen Websites, auf denen dasselbe Passwort verwendet wurde.