Als der Räuberhauptmann „Sesam öffne dich“ ruft, um so die Felsentür zur Schatzhöhle zu öffnen, rechnet er nicht damit, dass Ali Baba im Gebüsch kauernd das Passwort mithört. Ali wartet, bis die Räuber wieder fortgeritten sind, und kann dank des erlauschten Schlüsselworts in den Besitz einiger der Schätze in der Höhle gelangen.
Die alte Geschichte von Ali Baba und den vierzig Räubern zeigt, dass Probleme mit Passwörtern schon deutlich älter sind als Logins bei Webshops, Facebook oder Google. Allerdings gilt es heutzutage nicht nur einen einzigen Schatz in einer einzigen Höhle abzusichern, sondern viele. Und das macht die Sache nicht eben leichter. Wir geben Tipps, wie du sichere Passwörter erstellen, speichern, verwalten und schützen kannst.
Warum sind sichere Passwörter wichtig?
Das Beispiel von Ali Baba und den 40 Räubern zeigt: Oft ist es nur ein Passwort oder eine Passphrase, die zwischen unseren Accounts mit all unseren persönlichen Daten und Berechtigungen und Cyberkriminellen stehen. Für Hacker sind Passwörter daher ein lohnendes Ziel – und nicht nur für eigene Raubzüge: Erbeutete Daten oder geknackte Berechtigungen lassen sich auch teuer im Darknet verkaufen oder für Identitätsdiebstähle nutzen. Mit solch einer gestohlenen Identität werden dann Geheimnisse ausspioniert, Unternehmen und Privatpersonen sabotiert oder auf Rechnung anderer Einkäufe im Internet getätigt. Um zu verhindern, dass ein Hacker deine persönlichen Daten erbeutet, um damit dich oder andere zu schädigen, solltest du sie also mit möglichst sicheren Passwörtern schützen.
Welche Arten von Passwort-Angriffen gibt es?
Die Anzahl der Cyberangriffe steigt kontinuierlich. Im Jahr 2023 erlebten laut einer Bitkom-Umfrage 35 Prozent der Befragten Versuche, persönliche Informationen wie Passwörter zu erbeuten. Cyberkriminelle bedienen sich dabei verschiedener Methoden.
Brute-Force-Angriffe
Eine der häufigsten Angriffe sind Brute-Force-Angriffe. Bei dieser Versuch-und-Irrtum-Methode werden mithilfe von Hacker-Tools und Hochleistungsrechnern in kürzester Zeit unzählige Passwort-Kombinationen ausprobiert (bis zu Milliarden Passwort-Kombinationen pro Minute). Listen oft genutzter oder kompromittierter Passwörter aus dem Darknet erleichtern diese Arbeit. Um schneller zum Ziel zu gelangen, können sich Angreifer dabei auf bestimmte Vorlieben des Account-Inhabers wie Passwortlängen oder Zeichenkombinationen konzentrieren (sog. Password-Mask-Angriffe) oder den Inhalt umfangreicher Wortlisten abarbeiten (sog. Wörterbuchangriffe).
Credential-Stuffing-Angriffe
Beim Credential-Stuffing nutzen Angreifer die immer noch weit verbreitete Gewohnheit von Nutzern, mehrere Konten mit demselben Passwort abzusichern. Dabei verwenden sie schon kompromittierte Informationen zu Passwörtern und Passwort-Benutzername-Kombinationen (z. B. eines Facebook- oder Google-Kontos), um Zugriff auf andere Konten zu erhalten.
Phishing
Phishing ist eine spezielle Social-Engineering-Technik, die sich gefälschter E-Mails, Webseiten oder Kurznachrichten („Smishing“) bedient, welche aus scheinbar seriösen Quellen stammen. So sollen Account-Inhaber dazu bewegt werden, die Zugangsdaten ihrer Benutzerkonten herauszugeben. Üblicherweise werden Phishing-Nachrichten massenhaft versendet, es gibt aber auch gezielte Angriffe: Beim sogenannten Spear-Phishing werden dafür Informationen aus den sozialen Medien genutzt, z. B. über Interessen oder soziale Kontakte der Zielpersonen. So bauen die Angreifer Vertrauen auf, um dich zur Herausgabe von Kontozugangsinformationen zu bewegen. Experten erwarten, dass solche Angriffe durch die Möglichkeiten von KI stark zunehmen und immer raffinierter werden.
Wie erkenne ich Phishing-Versuche, die darauf abzielen, meine Passwörter zu stehlen?
Die wichtigste Zutat für die erfolgreiche Abwehr von Phishing-Angriffen ist gesundes Misstrauen. Jede E-Mail, die dich zu einer Aktion, insbesondere zur Herausgabe von Informationen auffordert, solltest du genau untersuchen – auch und vor allem dann, wenn sie angeblich von deiner Bank oder einem Dienstleister oder von deinen Freunden stammt.
Anzeichen für Phishing-Mails sind:
- Die Absender-Adresse der E-Mail stimmt nicht mit dem behaupteten Absender überein.
- Im Text oder der Betreffzeile häufen sich Rechtschreib- und Grammatikfehler.
- Die Betreffzeile versucht, eine Alarmstimmung zu verbreiten oder Angst zu machen.
- Die E-Mail enthält Links oder Anhänge, auf die du klicken sollst.
Mehr dazu, wie du gefälschte E-Mails erkennen kannst, erfährst du in unserem Blogbeitrag „4 Möglichkeiten, eine gefälschte E-Mail zu erkennen“.
Was ist ein sicheres Passwort?
Gegen Brute-Force-Angriffe und Credential Stuffing helfen vor allem sichere bzw. starke Passwörter. Jetzt fragst du dich vielleicht: Wann ist ein Passwort sicher und wie sicher ist mein Passwort?
Laut der jährlichen Passwortauswertung von Nord Security waren 2023 in Deutschland die beliebtesten Passwörter „admin“ und „12345“. Falls auch du eines der Wörter aus der Nord-Security-Liste nutzt, solltest du sie schleunigst ändern. Um ein Passwort wie 12345 zu knacken, braucht ein Hacker mit einem handelsüblichen Rechner nämlich nicht einmal eine Sekunde. Denn es entspricht in keiner Hinsicht den Mindestanforderungen an Passwort-Sicherheit.
Entscheidend für die Passwortsicherheit ist vor allem die Länge. Auch die Komplexität, also der Pool der möglichen Zeichen, aus denen es gebildet wird (Zahlen, Klein- und Großbuchstaben, Sonderzeichen), ist nicht unwichtig.
Im Leitfaden „Sichere Passwörter erstellen“ empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI):
- Passwörter sollten eine Länge von mindesten 8 Zeichen haben, die aus allen vier oben genannten Zeichenarten bestehen.
- Auch eine geringere Komplexität kann sicher sein, wenn sie mit einer Zwei-Faktor-Authentifizierung (siehe unten) kombiniert wird.
- Je länger ein Passwort wird, desto unwichtiger wird die Komplexität – Passwörter mit einer Mindestlänge von 20 Zeichen können beispielsweise auch nur aus Groß- und Kleinbuchstaben gebildet werden.
- Namen von Familienmitgliedern, Freunden, Lieblingsstars, Hobbys etc., die sich beispielsweise aus deinen Social-Media-Accounts ableiten lassen, sind tabu.
Auch Wörter aus Wörterbüchern sind nicht sicher, egal wie komplex sie scheinen. Selbst ein Passwort wie „Donau-Dampfschifffahrtsgesellschaft“ kann recht leicht per Wörterbuchangriff geknackt werden. Mehr zu sicheren Passwörtern erfährst du hier.
Wie kann ich ein sicheres Passwort erstellen?
Beim Erstellen solltest du also diese Empfehlungen im Auge behalten. Dann braucht es eigentlich nur noch ein wenig Fantasie. Allerdings haben wir nicht selten – bewusst oder unbewusst – Vorlieben für bestimmte Kombinationen, Längen oder Zeichen. Diese kann man vermeiden, indem man Merksätze oder eingängige Sätze „kodifiziert“. Wenn du beispielsweise die Wortanfänge des Satzes „Eine Schubkarre hat ein Rad, eine Ladefläche und zwei Griffe“ zu einem Passwort kombinierst, Zahlwörter durch Zahlen und das Komma durch ein Fragezeichen ersetzt, kommt „1Sh1R?1Lu2G“ heraus. Auch die Anfänge deines Lieblingsbuchs oder deines Lieblingssongs kannst du auf diese Weise zu Passwörtern machen.
Eine andere Möglichkeit besteht darin, beliebige Wörter zu Passphrasen zu kombinieren. Wichtig dabei: Die Wörter müssen willkürlich kombiniert sein und keinen Sinnzusammenhang bilden. Die findest du zum Beispiel, indem du zufällig auf eine Buchseite tippst: violettWesenHochwasserpegel.
Nützliches Werkzeug: Password Generator
Noch leichter geht es, wenn du einen Online-Passwort-Generator z. B. von Datenschutz.org oder LastPass.com nutzt. Beim Einrichten eines neuen Accounts bieten dir zudem inzwischen viele Onlineshops und Dienstleister eine automatische Erstellung eines Passworts an. Hier hast du den Vorteil, dass diese integrierten Passwort-Generatoren dir keine Passwörter mit nicht akzeptierten Sonderzeichen vorschlagen.
Abschließend kannst du mit über den Passwort-Checker haveibeenpwnd noch prüfen, ob dein Passwort noch nicht geknackt wurde.
Mehr Tipps für das Erstellen findest du in unserem Blogbeitrag „10 Tipps, wie du ein starkes und sicheres Passwort erstellen kannst“.
Welche Empfehlungen gibt es für die Passwortrichtlinien in Unternehmen?
Unternehmen sollten bei diesem Thema zusätzliche Aspekte beachten. So ist es wichtig, den eigenen Mitarbeitern klare Passwortrichtlinien (z. B. die Passwortempfehlungen des BSI) an die Hand zu geben, wenn es um Passwörter für das Unternehmensnetzwerk oder bestimmte Zugriffsberechtigungen geht. Insbesondere dürfen Passwörter keine Begriffe aus dem Unternehmensumfeld (z. B. Firmen- oder Produktnamen, Hostnamen etc.) enthalten. Darüber hinaus sollten Mitarbeiter regelmäßig zu den Themen Passwortsicherheit und Phishing geschult werden.
Unternehmen sind zudem rechtlich für den Schutz der Daten ihrer Kunden verantwortlich. Das gilt insbesondere für Online-Shops oder auch Betreiber von Websites mit Kommentar- und Bewertungsfunktionen, geschützten Kundenbereichen und ähnlichem. Tipps, wie du deine Website und die Daten deiner Kunden schützen kannst, findest du in unserem Beitrag „Die 7 wichtigsten Regeln gegen Website-Hacking: So schützt du dich richtig“.
Wie sicher ist mein Passwort? Password Checker
Nützliche Werkzeuge sind Passwort-Checker, die u. a. von diversen Herstellern von Anti-Malware- oder Passwort-Management-Lösungen angeboten werden. Diese Tools, zum Beispiel Kaspersky Password Checker, G-Data Passwort Check oder NordPass Secure Password, zeigen dir an, ob dein Passwort stark genug ist, Brute-Force-Angriffen standzuhalten, und ob es bereits kompromittiert wurde, also im Darknet aufgetaucht ist. Alle genannten Tools nutzen für Letzteres ebenfalls haveibeenpwned.com.
Ist die Verwendung derselben Passwörter für verschiedene Konten gefährlich?
Neben der Neigung zu einfachen, leicht einzugebenden Passwörtern wie „12345“ oder „qwertz“ ist auch die Gewohnheit weit verbreitet, ein und dasselbe Passwort für unterschiedliche Konten zu verwenden. Laut Statista tun das in Deutschland etwa die Hälfte aller Internetnutzer. Der Vorteil liegt auf der Hand: Man muss sich weniger Passwörter merken und kann sie auch nicht ganz so schnell vergessen, da man sie ja öfter eingibt.
Allerdings wiegen die Nachteile deutlich schwerer: Ist nämlich solch ein Mehrfach-Passwort erst einmal geknackt, ist auch der Zugang zu allen anderen damit gesicherten Accounts frei (siehe oben: Credential Stuffing). Das kann dir auch ganz ohne eigene Schuld passieren, wenn ein von dir genutzter Dienst seine Datenbank mit Anmeldedaten nicht ausreichend schützt. Deine Passwörter solltest du daher immer nur exklusiv für ein Konto verwenden. Auch das leichte Verändern eines bestehenden Passworts für ein neues Konto (etwa durch Anhängen eines Sonderzeichens) ist nicht zu empfehlen, da solche Veränderungen keine nennenswerte Hürde für Hacker darstellen.
Wenn deine Passwörter wirklich sicher sein sollen, führt also nichts daran vorbei, ein Google-Passwort zu verwenden, das komplett anders ist als das Instagram-Passwort, und das sollte wieder gar nichts mit den Passwörtern gemein haben, die du für deine Online-Shopping-Konten verwendest.
Wie verwalte ich sicher meine Passwörter?
Aber wie um alles in der Welt soll man sich all die langen, grundverschiedenen, komplexen Zeichenreihen merken? Auch hier hat das BSI einige praktische Empfehlungen, wie du dir Passwörter Schritt für Schritt merken kannst, die unter anderem auf der oben vorgestellten Methode des Kodifizierens von Sätzen basiert. Allerdings dürften diese Empfehlungen bei der heutzutage üblichen Menge notwendiger Passwörter auch bald an ihre Grenzen stoßen.
Ist es sicher, Passwörter aufzuschreiben?
Eine einfache Möglichkeit wäre natürlich, Passwörter aufzuschreiben. Dass Passwörter-Klebezettel am Handy, unter der Tastatur oder hinter dem Monitor tabu sind, sollte dabei eigentlich selbstverständlich sein. Allerdings verweist das BSI bei seinen Passwort-Merkempfehlungen ausdrücklich auch auf die Möglichkeit, Passwortlisten zu führen. Dabei wird jeweils ein Teil des Passworts in eine Liste eingetragen. Ein zweiter Teil, der sogenannte Masteraccount, ist für alle Passwörter gleich und wird nicht in der Liste notiert. Auf diese Weise musst du dir für alle Konten nur den Masteraccount merken. Außerdem musst du natürlich daran denken, die Liste immer griffbereit zu haben, wenn du sie brauchst. Falls du also unterwegs schnell mal etwas im Internet einkaufen möchtest … Zudem gilt: Auch wenn eine Hälfte der notierten Passwörter nicht eingetragen ist, sollte die Liste natürlich nicht durch andere Personen einsehbar sein. Bei all diesen Bedingungen scheint die Praktikabilität dieser Methode doch eher beschränkt zu sein.
Ist es empfehlenswert, Passwörter im Browser zu speichern?
Die Anbieter der gängigen Browser sind längst auf das Problem der Passwortverwaltung aufmerksam geworden und bieten browserintegrierte Möglichkeiten an, Passwörter zu speichern. Auf diese Weise musst du dir nichts merken und kannst auch nichts verwechseln. Wenn du deinen Browser auf allen Endgeräten synchronisierst, kannst du auch in allen wichtigen Alltagssituationen auf deine Passwörter zugreifen. Mit einem ebenfalls integrierten Passwort-Generator können neue Passwörter zudem mit einem einzigen Klick automatisch erstellt werden. Passwortmanagement per Browser ist also nicht nur praktisch, sondern auch komfortabel.
Allerdings gibt es ein nicht geringes Sicherheitsproblem. Hat nämlich jemand Zugriff auf dein Endgerät und ist im Betriebssystem angemeldet, kann sie oder er alle im Browser gespeicherten Passwörter auslesen. Ist dir dieses Risiko zu hoch, solltest du zur Verwaltung deiner Passwörter lieber einen Passwort-Manager nutzen und die gegebenenfalls bereits im Browser gespeicherten Passwörter löschen. Wie du gespeicherte Passwörter löschen kannst, erfährst du hier.
Welche Passwort-Manager sind empfehlenswert?
Passwort-Manager bieten die Möglichkeit, den Benutzernamen und das jeweilige Passwort in verschlüsselter Form abzuspeichern. Abgesichert wird solche Password-Storage-Software durch ein Masterpasswort – das einzige Passwort, das du dir noch merken musst. Gespeichert werden deine Passwörter entweder auf deinem Gerät – z. B. beim kostenlosen Open-Source KeePass Password Safe – oder in einer gesicherten Cloud – wie z. B. bei 1Password oder LastPass.
Die meisten Passwort-Manager bringen darüber hinaus noch nützliche Zusatzfunktionen wie einen automatischen Passwort-Generator mit. Je nach Anbieter gehören auch weitere Funktionen wie etwa eine Darknet-Überwachung zum Funktionsumfang. Hier findest du mehr Infos und Tipps zu Passwort-Managern.
Wie kann ich meine Passwörter auf verschiedenen Geräten synchronisieren?
Damit deine Passwortstrategie möglichst praxisnah ist, solltest du mit jedem deiner Geräte (deinem Arbeitsplatzrechner, deinem Laptop, deinem Smartphone) Zugriff auf deine Passwörter haben. Das geht, wie bereits beschrieben, indem du die Passwort-Funktionen deines Internet-Browsers nutzt und den Browser auf allen deinen Endgeräten synchronisierst.
Alternativ können Apple-Nutzer ihre Passwörter per Cloud-Schlüsselbund in der iCloud speichern und andere Apple-Geräte für den Zugriff autorisieren. Wie das genau funktioniert, erfährst du im iPhone-Benutzerhandbuch. Windows bietet mit dem OneDrive-Tresor eine ähnliche cloudbasierte Option. Eine besonders sichere und komfortable Möglichkeit sind aber die im vorangegangenen Kapitel vorgestellten Passwort-Manager mit Cloud-Speicher. Mit ihnen kannst du überall und endgeräteunabhängig per verschlüsselter Verbindung auf die Datenbank deines Passwort-Managers zugreifen.
Wie oft sollte ich meine Passwörter ändern?
Früher wurde empfohlen, diese möglichst häufig zu ändern – unter anderem, damit Hacker nicht alle Zeit der Welt haben, um Zugangsinformationen zu knacken. Inzwischen raten Experten aber dazu, lieber von vornherein auf lange, starke Passwörter oder Passphrasen zu setzen. Auch das BSI empfiehlt das. Bei entsprechend sicheren Passwörtern wird dann ein jährlicher Passwortwechsel als ausreichend betrachtet.
Allerdings empfiehlt es sich, wichtige Passwörter regelmäßig per haveibeenpwnd daraufhin zu prüfen, ob sie auf einer Blacklist bereits geknackter Passwörter verzeichnet sind. Falls sich ein Passwort als kompromittiert erweist, solltest du es natürlich umgehend ändern.
Passwort-Reset: Wie gehe ich vor?
Um ein Passwort zurückzusetzen bzw. zu ändern, musst du dich in das jeweilige Konto einloggen. In der Kontoverwaltung findest du wahrscheinlich einen Menüpunkt „Passwort ändern“ oder „Passwort zurücksetzen“ (möglicherweise unter „Sicherheitseinstellungen“ o. ä.). Folge einfach den dortigen Anweisungen, um dein Passwort wiederherzustellen. Wie du das bei deinem GoDaddy-Passwort machst, erfährst du hier.
Ebenfalls in der Kontoverwaltung kannst du gegebenenfalls eine Zwei-Faktor-Authentifizierung einrichten, die immer mehr Dienstleister und Onlineshops anbieten.
Was ist die Zwei-Faktor-Authentifizierung (2FA), und warum sollte ich sie verwenden?
Den Vorgang der Zwei-Faktor-Authentifizierung kennst du wahrscheinlich schon vom Online-Banking oder Online-Bezahlabwicklungen. Dabei benötigst du außer der üblichen Benutzernamen-Passwort-Kombination noch eine zweite Sicherheitsebene (den zweiten Faktor) für einen Login. Oft ist das beispielsweise ein Code, der per SMS auf dein Smartphone gesendet wird und der nur einmal und für kurze Zeit gültig ist. Die 2FA bringt deutlich mehr Sicherheit, denn Cyberkriminelle benötigen einen Zugriff auf deinen zweiten Faktor, um an ihr Ziel zu gelangen – ein gehacktes Passwort allein reicht nicht mehr. Wichtige, oft genutzte Konten solltest du daher per 2FA absichern.
Was kann ich tun, wenn ich mein Passwort vergessen habe?
In der Geschichte von Ali Baba gibt es auch einen gierigen Bruder, der mit List und Tücke das Passwort und die Lage der Schatzhöhle in Erfahrung bringt. Er verschafft sich also Zugang zur Höhle, vergisst aber über dem Anblick der Schätze das Passwort und bleibt so in der Höhle eingeschlossen, bis die Räuber eintreffen und ihn umgehend erschlagen.
Glücklicherweise hat ein vergessenes Passwort heutzutage keine solch dramatischen Folgen. Aber wenn man das Passwort vergessen hat, verpasst hat, es im Passwortmanager einzupflegen, oder nach einem Reset nicht das aktuelle Passwort notiert hat, bleibt auch heute noch das Tor zur Höhle versperrt.
Das kommt gar nicht so selten vor – und das wissen auch die Provider. Deshalb gibt es bei Online-Shops und -Diensten in der Regel entsprechende Hilfsfunktionen für alle Fälle, in denen der Login per Passwort nicht klappt. Im einfachsten Fall ist das ein „Passwort-vergessen“-Button, bei dem du einen zeitlich begrenzten Zugangscode für dein Konto an deine hinterlegte E-Mail-Adresse geschickt bekommst. So im Kundenbereich eingeloggt, kannst du dort ein neues Passwort anlegen. Das Problem bei diesen Vorgehensweisen: Haben Hacker Zugriff auf dein E-Mail-Konto, dann können Sie sich darüber sehr einfach Zugang zu deinen Online-Konten verschaffen, ohne dein Passwort zu kennen. Das ist auch einer der Gründe, warum du auf die Sicherheit deiner E-Mail-Konten besonders achten solltest.
Wie erstelle ich sichere Passwort-Wiederherstellungsfragen?
Manche Provider verlangen daher bei einem Passwort-Reset zusätzlich die richtige Antwort auf eine Passwort-Wiederherstellungsfrage, die du beim ersten Einrichten deines Kontos festgelegt hast. Um einen Reset durchführen zu können, musst du dann zum Beispiel dein Lieblingstier, deinen Lieblingsmusiker oder den Mädchennamen deiner Mutter angeben. In Zeiten von offenherzigen Selbstdarstellungen in den sozialen Medien können allerdings auch Hacker solche Antworten leicht erraten. Denk daran und lege beim Einrichten eines Kontos möglichst eine Frage an, auf die wirklich nur du die Antwort kennen kannst.
Und wenn alle Stricke reißen?
Sollte die Passwort-Wiederherstellung auf den beschriebenen Wegen nicht möglich sein oder missglücken, kannst du das Unternehmen kontaktieren, bei dem du das Konto unterhältst. Auf dessen Website findest du in der Regel eine E-Mail-Adresse, ein Kontaktformular oder eine Telefonnummer des Kunden-Services.
Titelmotiv: Photo by rc.xyz NFT gallery on Unsplash
