Sicheres Passwort
6 Tipps für Passwörter, an denen sich Hacker die Zähne ausbeißen

Wer ein unsicheres Passwort wählt, reicht Hackern den Schlüssel zu seinen Daten. Die größten Sicherheitsrisiken - und wie Sie Passwörter erstellen, die Hacker verzweifeln lassen.

,

Wer kein sicheres Passwort wählt, reicht Hackern den Schlüssel zu seinen Daten.

Die beiden größten Sicherheitsrisiken bei Passwörtern

1. Mehrfach genutzte Passwörter

Viele Nutzer finden es lästig, sich für jeden Dienst ein anderes Passwort zu merken. Sie nutzen daher Passwörter mehrfach – und genau das ist brandgefährlich. Denn immer wieder verschaffen sich Hacker Zugang zu den Passwort-Datenbanken von Unternehmen und veröffentlichen die gehackten Passwörter anschließend im Internet.

Andere Hacker können mit Hilfe dieser „geleakten“ Informationen ausprobieren, ob die Kombination aus E-Mail-Adresse und Passwort auch auf anderen Seiten genutzt wird. Ist das der Fall, können sie sich so Zugang zu den Benutzerkonten verschaffen.

Die Dimensionen des Problems sind gewaltig: „2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter sind allein durch die unter dem Namen ‚Collection #1-#5‘ bekannt gewordenen Datensammlungen veröffentlicht worden“, sagt Christoph Meinel, Direkter der Hasso-Plattner-Instituts der Universität Potsdam.

Ob man Opfer eines Datendiebstahls geworden ist, lässt sich mit dem „Identity Leak Checker“ des Hasso-Plattner-Instituts leicht prüfen. Unter https://sec.hpi.de/ilc können Internetnutzer ihre E-Mail-Adresse eingeben und kostenlos prüfen lassen, ob Identitätsdaten im Internet kursieren und missbraucht werden könnten.

2. Leicht zu erratende Passwörter

Daneben nutzen Hacker Werkzeuge, die automatisch Zeichenkombinationen ausprobieren und den Inhalt ganzer Wörterbücher einschließlich gängiger Kombinationen aus Worten und angefügten Zahlen testen. Daher sollte man solche Passwörter vermeiden.

Wie leicht es viele Internetnutzer Hackern immer noch machen, Daten zu klauen, zeigt eine Untersuchung des Hasso-Plattner-Instituts (HPI) zu den meistgenutzten Passwörtern 2019: Auf Platz 1 steht demnach 123456. Die HPI-Untersuchung umfasst 500.000 Zugangsdaten aus dem Bestand des HPI Identity Leak Checkers.

Die meisten Passwörter auf der HPI-Liste sind einfache Zahlenfolgen, die auf der Tastatur direkt nebeneinanderliegen. Auch die anderen Passwörter fallen eher in die Kategorie „Leicht zu merken, aber auch leicht zu hacken“:

Wurde mein Passwort geraubt?
Mit dem "Identity Leak Checker" des Hasso-Plattner-Instituts kann jeder überprüfen, ob seine persönlichen Identitätsdaten betroffen sind. Wer seine E-Mail-Adresse eingibt, erfährt nach einem Abgleich sofort, ob diese in Verbindung mit anderen persönlichen Daten (z. B. Passwörtern oder Kontonummern) offengelegt wurde und so missbraucht werden könnte.
  1. 123456
  2. 123456789
  3. 12345678
  4. 1234567
  5. password
  6. 111111
  7. 1234567890
  8. 123123
  9. 000000
  10. abc123

 

Auch in den USA sorgen schwache Passwörter für Datendiebstähle: Das US-amerikanische Passwort-Ranking des Sicherheitsunternehmens Splashdata teilt sich den ersten Platz mit der deutschen Hitliste: „123456“.

6 Tipps für ein sicheres Passwort

Tipp 1: Ein komplexes Passwort erstellen

Ein sicheres Passwort sollte lang genug sein – das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens acht Zeichen. Bei Verschlüsselungen für WLAN sollten es mindestens 20 Zeichen sein. Darüber hinaus sollten Kombinationen aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern verwendet werden.

Laut BSI sollten diese nach Möglichkeit nicht in Wörterbüchern vorkommen. Namen von Familienmitgliedern, Freunden oder Haustieren sind ebenfalls tabu. Außerdem sollten keine gängigen Tastenfolgen auf der Tastatur – zum Beispiel qwertz1234 – verwendet werden.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Das BSI spricht von einem sicheren Passwort, wenn es beispielsweise:

  • 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern).
  • 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden.
  • 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (siehe Tipp 6).

Tipp 2: Passwort nicht aufschreiben

Auch wenn Tasten-, Buchstaben- und Sonderzeichenkombinationen schwer zu merken sind: Passwörter sollten laut BSI nirgendwo notiert oder gar ungesichert auf dem Computer abgespeichert werden. Auch per E-Mail sollte man keine Passwörter versenden, empfehlen die Experten.

Sicher verwalten lassen sich Passwörter in einem Passwortmanager. Wer ein solches Programm verwendet, muss sich statt unzähliger verschiedener Passwörter nur ein – möglichst komplexes – Masterpasswort merken. Dieses ermöglicht dann den Zugang zum Passwortmanager, in dem sich alle Zugangsdaten verschlüsselt speichern lassen. Außerdem kann man mit Hilfe von Passwortmanagern starke Passwörter generieren.

Tipp 3: Sätze als Eselsbrücken fürs Passwort ausdenken

Um ein sicheres Passwort zu erstellen, das man sich dennoch leicht merken kann, empfiehlt das BSI eine einfache Methode: Man denkt sich einen Satz aus, benutzt dann von jedem Wort nur einen Buchstaben – und wandelt anschließend bestimmte Buchstaben in Zahlen oder Sonderzeichen um.

Der Satz „Ich gehe morgens ins Büro und mache um 18 Uhr Feierabend“ dann zu „IgmiBumu18UF“. Buchstaben kann man darüber hinaus durch ähnlich aussehende Zahlen ersetzen („I“ wird zu „1“, „E“ wird zu „3“). Und Sonderzeichen bringt man ins Spiel, wenn man beispielsweise „und“ durch das &-Zeichen ersetzt.

Wichtig ist bei dieser Methode, dass man sich tatsächlich selbst einen Satz ausdenkt – und nicht etwa bekannte Zitate aus der Literatur verwendet.

Tipp 4: Voreingestellte Passwörter ändern

Bei der Registrierung auf Internetseiten werden häufig voreingestellte Passwörter zum ersten Einloggen verschickt. Diese Passwörter sollte man nach dem ersten Login tatsächlich umgehend ändern – auch wenn sie aus Zeichenkombinationen bestehen.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.

Tipp 5: Jedes Passwort nur einmal verwenden

Ein einheitliches Passwort für alle Accounts ist leicht zu merken – aber auch ein hohes Sicherheitsrisiko. Wird ein Zugang geknackt, macht man Datendieben so den Zugriff auf andere Konten leicht.

Deshalb gilt die Regel: Pro Account jeweils ein eigenes, sicheres Passwort.

Tipp 6: Doppelte Sicherheitsstufe nutzen

Wenn die Möglichkeit besteht, sollte man den Account so einrichten, dass er die Identität mehrfach überprüft. Hacker haben es so schwerer, an Daten zu gelangen.

Bei einer solchen Mehr-Faktor-Authentifizierung wird beispielsweise per SMS ein Code ans Handy verschickt. Diesen muss man dann beim Login zusätzlich eingeben. Möglich ist auch eine Mehr-Faktor-Identifizierung durch durch Fingerabdruck, eine Bestätigung per App oder einen hardware-gestützen TAN-Generator. Letztere Variante ist laut BSI besonders sicher.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Die beiden größten Sicherheitsrisiken bei Passwörtern 1. Mehrfach genutzte Passwörter Viele Nutzer finden es lästig, sich für jeden Dienst ein anderes Passwort zu merken. Sie nutzen daher Passwörter mehrfach - und genau das ist brandgefährlich. Denn immer wieder verschaffen sich Hacker Zugang zu den Passwort-Datenbanken von Unternehmen und veröffentlichen die gehackten Passwörter anschließend im Internet. Andere Hacker können mit Hilfe dieser „geleakten“ Informationen ausprobieren, ob die Kombination aus E-Mail-Adresse und Passwort auch auf anderen Seiten genutzt wird. Ist das der Fall, können sie sich so Zugang zu den Benutzerkonten verschaffen. Die Dimensionen des Problems sind gewaltig: „2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter sind allein durch die unter dem Namen ‚Collection #1-#5‘ bekannt gewordenen Datensammlungen veröffentlicht worden“, sagt Christoph Meinel, Direkter der Hasso-Plattner-Instituts der Universität Potsdam. Ob man Opfer eines Datendiebstahls geworden ist, lässt sich mit dem „Identity Leak Checker“ des Hasso-Plattner-Instituts leicht prüfen. Unter https://sec.hpi.de/ilc können Internetnutzer ihre E-Mail-Adresse eingeben und kostenlos prüfen lassen, ob Identitätsdaten im Internet kursieren und missbraucht werden könnten. 2. Leicht zu erratende Passwörter Daneben nutzen Hacker Werkzeuge, die automatisch Zeichenkombinationen ausprobieren und den Inhalt ganzer Wörterbücher einschließlich gängiger Kombinationen aus Worten und angefügten Zahlen testen. Daher sollte man solche Passwörter vermeiden. Wie leicht es viele Internetnutzer Hackern immer noch machen, Daten zu klauen, zeigt eine Untersuchung des Hasso-Plattner-Instituts (HPI) zu den meistgenutzten Passwörtern 2019: Auf Platz 1 steht demnach 123456. Die HPI-Untersuchung umfasst 500.000 Zugangsdaten aus dem Bestand des HPI Identity Leak Checkers. Die meisten Passwörter auf der HPI-Liste sind einfache Zahlenfolgen, die auf der Tastatur direkt nebeneinanderliegen. Auch die anderen Passwörter fallen eher in die Kategorie "Leicht zu merken, aber auch leicht zu hacken": 123456 123456789 12345678 1234567 password 111111 1234567890 123123 000000 abc123   Auch in den USA sorgen schwache Passwörter für Datendiebstähle: Das US-amerikanische Passwort-Ranking des Sicherheitsunternehmens Splashdata teilt sich den ersten Platz mit der deutschen Hitliste: "123456". 6 Tipps für ein sicheres Passwort Tipp 1: Ein komplexes Passwort erstellen Ein sicheres Passwort sollte lang genug sein – das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens acht Zeichen. Bei Verschlüsselungen für WLAN sollten es mindestens 20 Zeichen sein. Darüber hinaus sollten Kombinationen aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern verwendet werden. Laut BSI sollten diese nach Möglichkeit nicht in Wörterbüchern vorkommen. Namen von Familienmitgliedern, Freunden oder Haustieren sind ebenfalls tabu. Außerdem sollten keine gängigen Tastenfolgen auf der Tastatur – zum Beispiel qwertz1234 – verwendet werden. Das BSI spricht von einem sicheren Passwort, wenn es beispielsweise: 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern). 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden. 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (siehe Tipp 6). Tipp 2: Passwort nicht aufschreiben Auch wenn Tasten-, Buchstaben- und Sonderzeichenkombinationen schwer zu merken sind: Passwörter sollten laut BSI nirgendwo notiert oder gar ungesichert auf dem Computer abgespeichert werden. Auch per E-Mail sollte man keine Passwörter versenden, empfehlen die Experten. Sicher verwalten lassen sich Passwörter in einem Passwortmanager. Wer ein solches Programm verwendet, muss sich statt unzähliger verschiedener Passwörter nur ein – möglichst komplexes – Masterpasswort merken. Dieses ermöglicht dann den Zugang zum Passwortmanager, in dem sich alle Zugangsdaten verschlüsselt speichern lassen. Außerdem kann man mit Hilfe von Passwortmanagern starke Passwörter generieren. Tipp 3: Sätze als Eselsbrücken fürs Passwort ausdenken Um ein sicheres Passwort zu erstellen, das man sich dennoch leicht merken kann, empfiehlt das BSI eine einfache Methode: Man denkt sich einen Satz aus, benutzt dann von jedem Wort nur einen Buchstaben – und wandelt anschließend bestimmte Buchstaben in Zahlen oder Sonderzeichen um. Der Satz „Ich gehe morgens ins Büro und mache um 18 Uhr Feierabend“ dann zu „IgmiBumu18UF“. Buchstaben kann man darüber hinaus durch ähnlich aussehende Zahlen ersetzen („I“ wird zu „1“, „E“ wird zu „3“). Und Sonderzeichen bringt man ins Spiel, wenn man beispielsweise „und“ durch das &-Zeichen ersetzt. Wichtig ist bei dieser Methode, dass man sich tatsächlich selbst einen Satz ausdenkt – und nicht etwa bekannte Zitate aus der Literatur verwendet. Tipp 4: Voreingestellte Passwörter ändern Bei der Registrierung auf Internetseiten werden häufig voreingestellte Passwörter zum ersten Einloggen verschickt. Diese Passwörter sollte man nach dem ersten Login tatsächlich umgehend ändern – auch wenn sie aus Zeichenkombinationen bestehen. Tipp 5: Jedes Passwort nur einmal verwenden Ein einheitliches Passwort für alle Accounts ist leicht zu merken – aber auch ein hohes Sicherheitsrisiko. Wird ein Zugang geknackt, macht man Datendieben so den Zugriff auf andere Konten leicht. Deshalb gilt die Regel: Pro Account jeweils ein eigenes, sicheres Passwort. Tipp 6: Doppelte Sicherheitsstufe nutzen Wenn die Möglichkeit besteht, sollte man den Account so einrichten, dass er die Identität mehrfach überprüft. Hacker haben es so schwerer, an Daten zu gelangen. Bei einer solchen Mehr-Faktor-Authentifizierung wird beispielsweise per SMS ein Code ans Handy verschickt. Diesen muss man dann beim Login zusätzlich eingeben. Möglich ist auch eine Mehr-Faktor-Identifizierung durch durch Fingerabdruck, eine Bestätigung per App oder einen hardware-gestützen TAN-Generator. Letztere Variante ist laut BSI besonders sicher.