Vom Online-Shop bis zum sozialen Netzwerk: Ein gutes Passwort ist oft die erste Bastion gegen unrechtmäßigen Zugriff auf unsere verschiedenen Accounts im Netz. Das wissen zwar die meisten Internetnutzer:innen, trotzdem werden aber regelmäßig Konten geknackt, weil die Passwörter, die sie schützen sollen, nicht stark genug waren oder diese anderweitig in Umlauf gerieten, etwa durch Hackerangriffe.

Sicher geht anders: Die beliebtesten Passwörter 2021

  1. 123456
  2. passwort
  3. 12345
  4. hallo
  5. 123456789
  6. qwertz
  7. schatz
  8. basteln
  9. berlin
  10. 12345678

Wie groß die Lücke zwischen theoretischem Sicherheitswissen und praktischem Handeln bei vielen ist, zeigt auch ein Blick auf die beliebtesten Passwörter in Deutschland. Einmal im Jahr veröffentlicht etwa das Hasso-Plattner-Institut eine Liste, und der Überblick ist für Datenschützer:innen jedes Mal zum Haare raufen. Nicht nur, weil die beliebtesten Passwörter erschreckend einfach zu erraten sind, sondern auch, weil die Liste seit Jahren praktisch unverändert bleibt.

 

Wer die eigenen Passwörter in der Liste wiederfindet, sollte dringend weiterlesen. Denn gerade naheliegende Zahlenkombinationen (z.B. „123456“) oder Begriffe aus dem Wörterbuch (z.B. „passwort“, „hallo“ oder „schatz“) sind ein Fest für Hacker, denn sie können besonders leicht geknackt werden.

Wie müssen sichere Passwörter aussehen?

Ein Passwort muss nicht nur lang, sondern auch komplex sein. Folgende 6 Grundregeln sollten alle Nutzer:innen kennen und beachten:

  1. Niemals ein Passwort doppelt verwenden: Das ist die wahrscheinlich wichtigste Regel der Online-Sicherheit. Ein sicheres Passwort ist immer einmalig und sollte niemals für mehr als ein Konto verwendet werden. Denn wird die Nutzerdatenbank eines Online-Dienstes gehackt und das Passwort ausgelesen, sind im schlimmsten Fall auch alle anderen Nutzerkonten schlagartig gefährdet.
  2. Länge von mindestens 10 Zeichen: Bei vielen Online-Diensten muss ein Passwort mindestens acht Zeichen oder mehr haben. Wir empfehlen eine Länge von mindestens 10 Zeichen.
  3. Keine Wörter aus dem Duden: Nutzen Sie für Ihre Passwörter keine Begriffe aus einem Wörterbuch. Egal wie abwegig sie auch scheinen mögen oder wie lang und kompliziert ein Begriff ist: Wenn er im Duden oder anderen Wörterbüchern steht, hat die Hacking-Community Tools und Möglichkeiten, sie zu ermitteln. Ein Wort wie „Dunstabzugshaube“ ist zwar lang, aber nicht sicher.
  4. Sonderzeichen und Groß- und Kleinbuchstaben: Verwenden Sie verschiedene Sonderzeichen in Ihrem Passwort. Variieren Sie Groß- und Kleinbuchstaben. Je „wilder“ das Passwort erscheint, umso sicherer ist es. Aber: Keine Buchstaben durch naheliegende Sonderzeichen und Zahlen ersetzen – etwa das „O“ durch eine „0“ oder das „i“ durch ein „!“. Diesen „Trick“ kennen die Hacker.
  5. Keine naheliegenden Zahlenkombinationen: Auch Zahlenreihen, die leicht erraten werden können, sind tabu. Dazu zählen etwa Geburtsdaten oder Postleitzahlen und Vorwahlen. Entscheiden Sie sich stattdessen für absurde, nicht nachvollziehbare Reihen aus Buchstaben, Zahlen und Sonderzeichen.
  6. Besonders sicher für sensible Konten: Schenken Sie wichtigen Online-Konten besondere Aufmerksamkeit bei der Passwortvergabe. Das Online-Banking und das Mail-Postfach sollten beispielsweise besonders gut geschützt werden.

DiFü-Themenbereich „Datenwelt“

Jetzt im DiFü-Lernangebot alles zu sicheren Passwörtern, zur Zwei-Faktor-Authentisierung und zu Hilfsmitteln erfahren, die den Umgang mit vielen Passwörtern erleichtern.

Wie kann ich mir ein komplexes Passwort merken?

Wir alle können uns mithilfe von Gedankenstützen Dinge besser merken. Aus diesem Grund sind Eselsbrücken oder Merksätze bei der Wahl eines sicheren Passworts sehr nützlich – und weil sie etwas ganz Persönliches sind, kann sie kaum ein Algorithmus knacken. Ein Spruch, eine Zeile aus einem Lied oder einem Gedicht, eignen sich hervorragend als Basis für das Erstellen sicherer Passwörter.

  • Eselsbrücke finden: Nehmen wir zum Beispiel eine Zeile aus einem Gedicht von Heinz Erhardt: „Hinter eines Baumes Rinde wohnt die Made mit dem Kinde“. Überlegen Sie sich nun eine Logik, wie Sie aus diesem Satz ein Passwort bilden. Sie könnten als Ausgangspunkt etwa die Anfangsbuchstaben der Worte aus der Gedichtzeile nehmen. Das ergäbe dann das relativ sichere Passwort „HeBRwdMmdK“. Oder Sie bilden ein Passwort mit den jeweils ersten zwei Buchstaben einiger Wörter: „HieiBaRiwodiMa“.
  • Ziffern und Sonderzeichen einbauen: Die meisten Online-Dienste verlangen aber auch Ziffern und/oder Sonderzeichen. Sie könnten etwa das „B“ durch eine „3“ ersetzen und am Ende noch ein Ausrufezeichen hinzufügen. So ergibt sich ein sicheres Passwort, dass Sie sich leicht merken können und die gängigen Mindestanforderungen erfüllt: „He3RwdMmdK!“
  • Eselsbrücke mit Zusatz: Natürlich kommt das Prinzip Eselsbrücke bei vielen Nutzerkonten schnell an seine Grenzen. Ein Passwort sollte schließlich immer einmalig sein. Aber wer kann und will sich schon zu zehn Nutzerkonten zehn Eselsbrücken oder Merksätze einprägen? Ein einfacher und nützlicher Trick ist es, eine Art Master-Passwort mit einer Reihe von Zeichen zu ergänzen, die für den jeweiligen Dienst stehen – ein YouTube-Konto könnte etwa den Zusatz „&YoTu“ bekommen. Zusammen mit unserem Beispiel-Passwort ergäbe sich dann folgende Kombination: „He3RwdMmdK!&YoTu“
Passwort-Merkhilfe visualisiert: So erstellen und merken Sie sich auch komplexe Passwörter. Bild: DiFü

Wie helfen mir Passwort-Manager und Passwort-Generator?

Es gibt aber auch Tools, kleine digitale Helfer, die uns das Merken ersparen. Zum Beispiel sogenannte Passwort-Manager als App für Smartphone und Tablet oder als Browsererweiterung. Diese speichern alle Passwörter in einem virtuellen Tresor, geschützt durch ein zentrales Master-Passwort – das natürlich entsprechend sicher sein muss. Denn das Master-Passwort ist der Generalschlüssel: Damit schließen Sie Ihren Passwort-Tresor auf, können Log-In-Daten löschen, ändern oder Passwörter neu zuordnen.

Die meisten Passwort-Manager haben auch gleich einen Passwort-Generator an Bord. Der erstellt bei der ersten Anmeldung bei einem neuen Dienst automatisch ein sehr sicheres Passwort, in der Regel eine völlig willkürliche Abfolge aus Zeichen, Buchstaben und Ziffern. Merken kann man sich die zwar nicht, aber dafür ist die App ja da.

Nur für Apple-Nutzer: iCloud Keychain​

Wer ausschließlich Apple-Produkte nutzt, etwa ein MacBook oder ein iPhone, hat mit der iCloud-Keychain einen kostenlosen Passwort-Manager für Apples Browser Safari zur Hand. Das System schlägt beim erstmaligen Einloggen sichere Passwörter vor und synchronisiert diese mit allen Geräten. Zugang zur iCloud-Keychain bekommen Nutzer:innen mit ihrem Fingerabdruck oder per Gesichtserkennung.

Bekannte Angebote heißen zum Beispiel:

 

Einige Angebote sind kostenpflichtig und/oder nicht für alle Plattformen zu haben. Vor der Wahl eines Anbieters empfiehlt es sich, im Netz nach Bewertungen und Erfahrungsberichten zu suchen.

Außerdem gilt zu bedenken: Die anbietenden Unternehmen speichern Ihre Passwörter – und können natürlich ebenfalls gehackt werden.

Viele Browser bieten ebenfalls an, Passwörter zu speichern, sodass sie beim nächsten Login nicht erneut eingegeben werden müssen. Das klingt praktisch, birgt aber Risiken: Die Passwörter sind im Browser-Speicher nämlich in der Regel schlechter gegen Angriffe gesichert als bei einem seriösen Passwort-Manager, der seine Aufgabe gut erfüllt.

Was ist die Zwei-Faktor-Authentisierung?

Viele Online-Dienste setzen inzwischen neben einem sicheren Passwort auch auf doppelte Absicherung mittels 2-Faktor-Authentisierung (2FA). Dabei müssen Sie Ihre Identität zusätzlich zum Login mittels Passwort und Nutzer:innennamen in einem zusätzlichen Schritt bestätigen, eben mit einem zweiten Faktor – etwa indem Sie einen Code eingeben, der per SMS aufs Handy geschickt wird oder den eine App auf dem Smartphone generiert. Es gibt auch spezielle USB-Sticks dafür, die sogenannten U2F-Sticks. Einmal eingerichtet, steckt man sie an den Rechner an und bestätigt den Login per Knopfdruck am Stick.

Grundsätzlich gilt: Die Zwei-Faktor-Authentisierung einzurichten klingt zwar kompliziert, ist aber meistens in wenigen Schritten getan und muss für jeden Dienst nur einmal erledigt werden. Dieser Extra-Schritt lohnt sich in jedem Fall, denn er erhöht die Sicherheit unserer Online-Konten deutlich. Deshalb sollte man überall dort, wo 2FA angeboten wird, diese Methode auch nutzen.

Analoger Helfer: die DsiN-Passwortkarte

Deutschland sicher im Netz (DsiN) hat eine Alternative für alle Nutzer:innen, die beim Passwort-Management weder auf Apps noch auf Eselsbrücken und Merksätze setzen wollen: die DsiN-Passwortkarte. Sie hilft beim Bilden von komplexen und sicheren Passwörtern und beim Merken und Aufbewahren. Die Karte enthält ein Koordinatensystem mit Buchstaben, Zahlen und Sonderzeichen – und mit ihrem Bankkarten-Format passt sie in jeden Geldbeutel. Wer die DsiN-Passwortkarte ausprobieren will, kann sie über obigen Link kostenlos bestellen oder als PDF herunterladen.

Dieser Artikel ist in Zusammenarbeit mit Thaddeus Herrmann entstanden.

In der DiFü-Lernzentrale erfahren, wie man seine Accounts mit sicheren Zugangsdaten schützt.