Das Passwort ist nach wie vor der häufigste Schlüssel zu Ihren Online-Konten, und genau deshalb ranken sich um das Thema so viele Halbwahrheiten. Muss ein gutes Passwort möglichst viele Sonderzeichen enthalten? Sollte man es regelmäßig ändern? Ist es sicher, wenn man es im Browser speichert? Dieser Leitfaden räumt mit verbreiteten Irrtümern auf und erklärt, worauf es wirklich ankommt: auf Länge statt verschachtelter Komplexität, auf einzigartige Passwörter für jeden Dienst, auf einen Passwort-Manager und auf eine zweite Anmeldestufe.
Wichtig ist auch zu verstehen, was auf der Gegenseite geschieht. Ein gut gebauter Dienst speichert Ihr Passwort niemals so, wie Sie es eingeben. Stattdessen verwandelt er es in einen Fingerabdruck, der sich nicht zurückrechnen lässt. Wer dieses Prinzip kennt, versteht besser, warum manche Empfehlungen so wichtig sind und warum ein Datenleck nicht automatisch bedeutet, dass Ihr Passwort sofort missbraucht wird.
Was ein Passwort stark macht
Die wirksamste Eigenschaft eines Passworts ist seine Länge. Jedes zusätzliche Zeichen vervielfacht die Zahl der möglichen Kombinationen, die ein Angreifer durchprobieren müsste. Ein langes Passwort aus mehreren zufälligen Wörtern ist daher in der Regel sicherer und zugleich leichter zu merken als ein kurzes mit kreuz und quer eingestreuten Sonderzeichen. Die jahrelang gepredigte Regel, Passwörter müssten vor allem viele Symbole und wechselnde Groß- und Kleinschreibung enthalten, hat sich als wenig hilfreich erwiesen. Sie führt zu schwer merkbaren Zeichenketten, die Menschen dann doch wieder notieren oder mehrfach verwenden.
Länge schlägt Komplexität
Ein praktischer Ansatz ist die sogenannte Passphrase: vier oder fünf zufällig gewählte Wörter ohne inhaltlichen Zusammenhang, etwa nach dem Vorbild eines bekannten Comics, das diese Idee populär machte. Eine solche Phrase ist lang, hat einen großen Suchraum und bleibt dennoch im Kopf. Entscheidend ist, dass die Wörter wirklich zufällig sind und nicht aus einem Zitat oder einem Liedtext stammen, denn solche Vorlagen probieren Angreifer gezielt durch.
Was Sie vermeiden sollten
Unbrauchbar sind Passwörter, die einen persönlichen Bezug haben: Namen von Familienmitgliedern oder Haustieren, Geburtsdaten, der Name des Lieblingsvereins. Solche Angaben lassen sich oft mit wenig Recherche erraten. Ebenso ungeeignet sind Tastaturmuster und Klassiker wie aufsteigende Zahlenfolgen, die in jeder Angriffsliste ganz oben stehen. Und auch das raffinierteste Passwort verliert seinen Wert, wenn Sie es bei mehreren Diensten gleichzeitig einsetzen.
Einzigartig für jeden Dienst
Die vielleicht wichtigste Regel lautet: Verwenden Sie jedes Passwort nur ein einziges Mal. Der Grund liegt in der Funktionsweise vieler Angriffe. Wird bei einem Dienst ein Passwort offengelegt, probieren Angreifer dieselbe Kombination automatisiert bei zahllosen anderen Diensten durch. Dieses Vorgehen heißt Credential Stuffing und scheitert nur dann, wenn jedes Konto sein eigenes Passwort hat. Einzigartige Passwörter sorgen dafür, dass ein Leck bei einem Anbieter nicht zum Flächenbrand über all Ihre Konten wird.
Warum Dienste Passwörter hashen und salzen
Ein seriöser Dienst speichert Ihr Passwort nicht im Klartext. Würde er das tun, hätten Angreifer bei einem Datenleck sofort alle Zugangsdaten in der Hand. Stattdessen wird das Passwort durch eine Hashfunktion geschickt, die daraus einen Fingerabdruck fester Länge erzeugt. Dieser Fingerabdruck lässt sich nicht zurückrechnen. Bei jeder Anmeldung berechnet der Dienst den Hashwert des eingegebenen Passworts erneut und vergleicht ihn mit dem gespeicherten Wert. Stimmen beide überein, war das Passwort richtig, ohne dass der Dienst das Passwort selbst je dauerhaft kennen musste.
Damit dieses Verfahren wirklich schützt, kommt ein Salt hinzu. Ein Salt ist ein zufälliger Wert, der vor dem Hashen an jedes Passwort angehängt wird. Dadurch erhalten selbst zwei Nutzer mit identischem Passwort völlig verschiedene Hashwerte. Das Salt vereitelt vorberechnete Angriffstabellen, sogenannte Rainbow Tables, mit denen Angreifer sonst massenhaft gängige Passwörter auf einen Schlag rückrechnen könnten. Jeder Hash muss so einzeln angegriffen werden, was den Aufwand enorm erhöht.
Ein dritter Punkt ist die Wahl der richtigen Hashfunktion. Für Passwörter nimmt man bewusst keine schnelle Funktion, sondern ein absichtlich langsames, speicherintensives Verfahren wie bcrypt, scrypt oder Argon2. Was beim normalen Hashing ein Nachteil wäre, ist hier ein Vorteil: Je länger eine einzelne Berechnung dauert, desto teurer wird das massenhafte Durchprobieren für Angreifer. Wie Hashfunktionen im Detail arbeiten, welche Eigenschaften sie erfüllen müssen und warum manche von ihnen als gebrochen gelten, vertieft unser Bereich Kryptografie.
Für Sie als Nutzer hat das eine wichtige Konsequenz. Wird ein gut abgesicherter Dienst kompromittiert, geraten nicht Ihre Passwörter selbst, sondern nur deren gesalzene Hashwerte in Umlauf. War Ihr Passwort lang und einzigartig, ist es selbst aus einem solchen Leck praktisch nicht zu rekonstruieren. War es kurz oder verbreitet, kann es dennoch fallen. Das ist ein weiterer Grund, auf Länge zu setzen.
Passwort-Manager: das Werkzeug für den Alltag
Die Regeln klingen einleuchtend, scheitern aber an einer praktischen Hürde: Niemand kann sich Dutzende lange, einzigartige Passwörter merken. Genau diese Lücke schließt ein Passwort-Manager. Das Programm erzeugt für jeden Dienst ein langes Zufallspasswort, speichert es verschlüsselt und füllt es bei Bedarf automatisch aus. Sie selbst müssen sich nur noch ein einziges Passwort merken, das Hauptpasswort, mit dem der Manager seinen Tresor entschlüsselt.
Dieses eine Hauptpasswort sollte dafür besonders stark sein, idealerweise eine lange Passphrase, die Sie nirgendwo sonst verwenden. Den Tresor selbst sichern gute Manager zusätzlich mit einer zweiten Anmeldestufe ab. Ein angenehmer Nebeneffekt: Weil der Manager Anmeldedaten an die hinterlegte Adresse einer Website bindet, füllt er sie auf einer gefälschten Phishing-Seite gar nicht erst aus. Das verschafft Ihnen einen stillen, aber wirksamen Schutz gegen genau die Tricks, die im Leitfaden zu Phishing-Angriffen beschrieben sind.
Die häufigste Sorge gilt der Frage, ob es klug ist, alle Passwörter an einem Ort zu bündeln. Für die allermeisten Menschen lautet die Antwort eindeutig ja. Das tatsächliche Risiko im Alltag besteht in wiederverwendeten und schwachen Passwörtern, und genau das löst ein Manager. Ein gut umgesetzter Manager verschlüsselt den Tresor lokal, sodass selbst der Anbieter Ihre Daten nicht im Klartext sieht. Der Sicherheitsgewinn durch lauter einzigartige, lange Passwörter überwiegt das theoretische Risiko bei Weitem.
Zwei-Faktor-Authentifizierung als zweite Schicht
Selbst das beste Passwort kann durch ein Datenleck oder eine geschickte Täuschung in falsche Hände geraten. Damit ein gestohlenes Passwort allein nicht genügt, gibt es die Zwei-Faktor-Authentifizierung, kurz 2FA. Sie verlangt bei der Anmeldung neben dem Passwort einen zweiten, unabhängigen Nachweis. Die gängige Einteilung unterscheidet drei Arten von Faktoren: etwas, das Sie wissen (das Passwort), etwas, das Sie besitzen (ein Gerät oder ein Schlüssel), und etwas, das Sie sind (ein biometrisches Merkmal).
In der Praxis stützt sich der zweite Faktor meist auf den Besitz. Eine Authenticator-App auf Ihrem Smartphone erzeugt alle dreißig Sekunden einen neuen Einmalcode, den Sie zusätzlich eingeben. Noch stärker sind Hardware-Sicherheitsschlüssel, kleine Geräte, die Sie anstecken oder anhalten, um die Anmeldung zu bestätigen. Sie gelten als besonders widerstandsfähig gegen Phishing, weil sie die Echtheit der Website kryptografisch prüfen. Per SMS versendete Codes sind besser als gar kein zweiter Faktor, aber die schwächste Variante, da SMS unter bestimmten Umständen umgeleitet oder abgefangen werden können.
Aktivieren Sie 2FA überall, wo es möglich ist, und beginnen Sie bei den wichtigsten Konten. An erster Stelle steht das E-Mail-Postfach, denn über die Funktion zum Zurücksetzen von Passwörtern ist es der Generalschlüssel zu vielen weiteren Diensten. Es folgen Bankzugänge, der Passwort-Manager und alle Konten, die mit Zahlungen oder sensiblen Daten verbunden sind. Bewahren Sie die bei der Einrichtung angebotenen Wiederherstellungscodes an einem sicheren Ort auf, damit Sie sich nicht aussperren, falls Sie Ihr zweites Gerät verlieren.
Häufige Fragen
Ist es sicherer, Passwörter regelmäßig zu ändern?
Erzwungene regelmäßige Wechsel gelten heute als wenig hilfreich. Sie führen oft dazu, dass Menschen nur kleine, vorhersehbare Änderungen vornehmen. Sinnvoller ist es, ein langes, einzigartiges Passwort zu verwenden und es nur dann zu ändern, wenn es einen konkreten Anlass gibt, etwa ein bekannt gewordenes Leck.
Sind im Browser gespeicherte Passwörter sicher genug?
Die Passwortspeicher moderner Browser sind deutlich besser als wiederverwendete Passwörter und für viele Menschen ein vernünftiger Einstieg. Ein eigenständiger Passwort-Manager bietet meist mehr Funktionen, etwa geräteübergreifende Nutzung, eine stärkere Trennung vom Browser und bessere Werkzeuge zum Erkennen schwacher oder doppelter Passwörter.
Warum sollte ich kein Sonderzeichen-Wirrwarr verwenden?
Solche Passwörter sind schwer zu merken und verleiten zur Wiederverwendung, ohne wirklich sicherer zu sein. Eine lange Passphrase aus zufälligen Wörtern bietet einen größeren Suchraum und bleibt dennoch im Kopf. Länge ist der wichtigste Faktor, nicht die Verschachtelung von Symbolen.
Was passiert mit meinem Passwort bei einem Datenleck?
Bei einem gut abgesicherten Dienst geraten nur gesalzene Hashwerte in Umlauf, nicht die Passwörter selbst. Ein langes, einzigartiges Passwort lässt sich daraus kaum rekonstruieren. Trotzdem sollten Sie es nach einem bekannt gewordenen Leck wechseln. Mehr dazu im Leitfaden zu Datenlecks.
