Das Passwort ist nach wie vor der h\u00e4ufigste Schl\u00fcssel zu Ihren Online-Konten, und genau deshalb ranken sich um das Thema so viele Halbwahrheiten. Muss ein gutes Passwort m\u00f6glichst viele Sonderzeichen enthalten? Sollte man es regelm\u00e4\u00dfig \u00e4ndern? Ist es sicher, wenn man es im Browser speichert? Dieser Leitfaden r\u00e4umt mit verbreiteten Irrt\u00fcmern auf und erkl\u00e4rt, worauf es wirklich ankommt: auf L\u00e4nge statt verschachtelter Komplexit\u00e4t, auf einzigartige Passw\u00f6rter f\u00fcr jeden Dienst, auf einen Passwort-Manager und auf eine zweite Anmeldestufe.<\/p>\n
Wichtig ist auch zu verstehen, was auf der Gegenseite geschieht. Ein gut gebauter Dienst speichert Ihr Passwort niemals so, wie Sie es eingeben. Stattdessen verwandelt er es in einen Fingerabdruck, der sich nicht zur\u00fcckrechnen l\u00e4sst. Wer dieses Prinzip kennt, versteht besser, warum manche Empfehlungen so wichtig sind und warum ein Datenleck nicht automatisch bedeutet, dass Ihr Passwort sofort missbraucht wird.<\/p>\n
Die wirksamste Eigenschaft eines Passworts ist seine L\u00e4nge. Jedes zus\u00e4tzliche Zeichen vervielfacht die Zahl der m\u00f6glichen Kombinationen, die ein Angreifer durchprobieren m\u00fcsste. Ein langes Passwort aus mehreren zuf\u00e4lligen W\u00f6rtern ist daher in der Regel sicherer und zugleich leichter zu merken als ein kurzes mit kreuz und quer eingestreuten Sonderzeichen. Die jahrelang gepredigte Regel, Passw\u00f6rter m\u00fcssten vor allem viele Symbole und wechselnde Gro\u00df- und Kleinschreibung enthalten, hat sich als wenig hilfreich erwiesen. Sie f\u00fchrt zu schwer merkbaren Zeichenketten, die Menschen dann doch wieder notieren oder mehrfach verwenden.<\/p>\n
Ein praktischer Ansatz ist die sogenannte Passphrase: vier oder f\u00fcnf zuf\u00e4llig gew\u00e4hlte W\u00f6rter ohne inhaltlichen Zusammenhang, etwa nach dem Vorbild eines bekannten Comics, das diese Idee popul\u00e4r machte. Eine solche Phrase ist lang, hat einen gro\u00dfen Suchraum und bleibt dennoch im Kopf. Entscheidend ist, dass die W\u00f6rter wirklich zuf\u00e4llig sind und nicht aus einem Zitat oder einem Liedtext stammen, denn solche Vorlagen probieren Angreifer gezielt durch.<\/p>\n
Unbrauchbar sind Passw\u00f6rter, die einen pers\u00f6nlichen Bezug haben: Namen von Familienmitgliedern oder Haustieren, Geburtsdaten, der Name des Lieblingsvereins. Solche Angaben lassen sich oft mit wenig Recherche erraten. Ebenso ungeeignet sind Tastaturmuster und Klassiker wie aufsteigende Zahlenfolgen, die in jeder Angriffsliste ganz oben stehen. Und auch das raffinierteste Passwort verliert seinen Wert, wenn Sie es bei mehreren Diensten gleichzeitig einsetzen.<\/p>\n
Die vielleicht wichtigste Regel lautet: Verwenden Sie jedes Passwort nur ein einziges Mal. Der Grund liegt in der Funktionsweise vieler Angriffe. Wird bei einem Dienst ein Passwort offengelegt, probieren Angreifer dieselbe Kombination automatisiert bei zahllosen anderen Diensten durch. Dieses Vorgehen hei\u00dft Credential Stuffing und scheitert nur dann, wenn jedes Konto sein eigenes Passwort hat. Einzigartige Passw\u00f6rter sorgen daf\u00fcr, dass ein Leck bei einem Anbieter nicht zum Fl\u00e4chenbrand \u00fcber all Ihre Konten wird.<\/p>\n
Ein seri\u00f6ser Dienst speichert Ihr Passwort nicht im Klartext. W\u00fcrde er das tun, h\u00e4tten Angreifer bei einem Datenleck sofort alle Zugangsdaten in der Hand. Stattdessen wird das Passwort durch eine Hashfunktion geschickt, die daraus einen Fingerabdruck fester L\u00e4nge erzeugt. Dieser Fingerabdruck l\u00e4sst sich nicht zur\u00fcckrechnen. Bei jeder Anmeldung berechnet der Dienst den Hashwert des eingegebenen Passworts erneut und vergleicht ihn mit dem gespeicherten Wert. Stimmen beide \u00fcberein, war das Passwort richtig, ohne dass der Dienst das Passwort selbst je dauerhaft kennen musste.<\/p>\n
Damit dieses Verfahren wirklich sch\u00fctzt, kommt ein Salt hinzu. Ein Salt ist ein zuf\u00e4lliger Wert, der vor dem Hashen an jedes Passwort angeh\u00e4ngt wird. Dadurch erhalten selbst zwei Nutzer mit identischem Passwort v\u00f6llig verschiedene Hashwerte. Das Salt vereitelt vorberechnete Angriffstabellen, sogenannte Rainbow Tables, mit denen Angreifer sonst massenhaft g\u00e4ngige Passw\u00f6rter auf einen Schlag r\u00fcckrechnen k\u00f6nnten. Jeder Hash muss so einzeln angegriffen werden, was den Aufwand enorm erh\u00f6ht.<\/p>\n
Ein dritter Punkt ist die Wahl der richtigen Hashfunktion. F\u00fcr Passw\u00f6rter nimmt man bewusst keine schnelle Funktion, sondern ein absichtlich langsames, speicherintensives Verfahren wie bcrypt, scrypt oder Argon2. Was beim normalen Hashing ein Nachteil w\u00e4re, ist hier ein Vorteil: Je l\u00e4nger eine einzelne Berechnung dauert, desto teurer wird das massenhafte Durchprobieren f\u00fcr Angreifer. Wie Hashfunktionen im Detail arbeiten, welche Eigenschaften sie erf\u00fcllen m\u00fcssen und warum manche von ihnen als gebrochen gelten, vertieft unser Bereich Kryptografie<\/a>.<\/p>\n F\u00fcr Sie als Nutzer hat das eine wichtige Konsequenz. Wird ein gut abgesicherter Dienst kompromittiert, geraten nicht Ihre Passw\u00f6rter selbst, sondern nur deren gesalzene Hashwerte in Umlauf. War Ihr Passwort lang und einzigartig, ist es selbst aus einem solchen Leck praktisch nicht zu rekonstruieren. War es kurz oder verbreitet, kann es dennoch fallen. Das ist ein weiterer Grund, auf L\u00e4nge zu setzen.<\/p>\n Die Regeln klingen einleuchtend, scheitern aber an einer praktischen H\u00fcrde: Niemand kann sich Dutzende lange, einzigartige Passw\u00f6rter merken. Genau diese L\u00fccke schlie\u00dft ein Passwort-Manager. Das Programm erzeugt f\u00fcr jeden Dienst ein langes Zufallspasswort, speichert es verschl\u00fcsselt und f\u00fcllt es bei Bedarf automatisch aus. Sie selbst m\u00fcssen sich nur noch ein einziges Passwort merken, das Hauptpasswort, mit dem der Manager seinen Tresor entschl\u00fcsselt.<\/p>\n Dieses eine Hauptpasswort sollte daf\u00fcr besonders stark sein, idealerweise eine lange Passphrase, die Sie nirgendwo sonst verwenden. Den Tresor selbst sichern gute Manager zus\u00e4tzlich mit einer zweiten Anmeldestufe ab. Ein angenehmer Nebeneffekt: Weil der Manager Anmeldedaten an die hinterlegte Adresse einer Website bindet, f\u00fcllt er sie auf einer gef\u00e4lschten Phishing-Seite gar nicht erst aus. Das verschafft Ihnen einen stillen, aber wirksamen Schutz gegen genau die Tricks, die im Leitfaden zu Phishing-Angriffen<\/a> beschrieben sind.<\/p>\n Die h\u00e4ufigste Sorge gilt der Frage, ob es klug ist, alle Passw\u00f6rter an einem Ort zu b\u00fcndeln. F\u00fcr die allermeisten Menschen lautet die Antwort eindeutig ja. Das tats\u00e4chliche Risiko im Alltag besteht in wiederverwendeten und schwachen Passw\u00f6rtern, und genau das l\u00f6st ein Manager. Ein gut umgesetzter Manager verschl\u00fcsselt den Tresor lokal, sodass selbst der Anbieter Ihre Daten nicht im Klartext sieht. Der Sicherheitsgewinn durch lauter einzigartige, lange Passw\u00f6rter \u00fcberwiegt das theoretische Risiko bei Weitem.<\/p>\n Selbst das beste Passwort kann durch ein Datenleck oder eine geschickte T\u00e4uschung in falsche H\u00e4nde geraten. Damit ein gestohlenes Passwort allein nicht gen\u00fcgt, gibt es die Zwei-Faktor-Authentifizierung, kurz 2FA. Sie verlangt bei der Anmeldung neben dem Passwort einen zweiten, unabh\u00e4ngigen Nachweis. Die g\u00e4ngige Einteilung unterscheidet drei Arten von Faktoren: etwas, das Sie wissen (das Passwort), etwas, das Sie besitzen (ein Ger\u00e4t oder ein Schl\u00fcssel), und etwas, das Sie sind (ein biometrisches Merkmal).<\/p>\n In der Praxis st\u00fctzt sich der zweite Faktor meist auf den Besitz. Eine Authenticator-App auf Ihrem Smartphone erzeugt alle drei\u00dfig Sekunden einen neuen Einmalcode, den Sie zus\u00e4tzlich eingeben. Noch st\u00e4rker sind Hardware-Sicherheitsschl\u00fcssel, kleine Ger\u00e4te, die Sie anstecken oder anhalten, um die Anmeldung zu best\u00e4tigen. Sie gelten als besonders widerstandsf\u00e4hig gegen Phishing, weil sie die Echtheit der Website kryptografisch pr\u00fcfen. Per SMS versendete Codes sind besser als gar kein zweiter Faktor, aber die schw\u00e4chste Variante, da SMS unter bestimmten Umst\u00e4nden umgeleitet oder abgefangen werden k\u00f6nnen.<\/p>\n Aktivieren Sie 2FA \u00fcberall, wo es m\u00f6glich ist, und beginnen Sie bei den wichtigsten Konten. An erster Stelle steht das E-Mail-Postfach, denn \u00fcber die Funktion zum Zur\u00fccksetzen von Passw\u00f6rtern ist es der Generalschl\u00fcssel zu vielen weiteren Diensten. Es folgen Bankzug\u00e4nge, der Passwort-Manager und alle Konten, die mit Zahlungen oder sensiblen Daten verbunden sind. Bewahren Sie die bei der Einrichtung angebotenen Wiederherstellungscodes an einem sicheren Ort auf, damit Sie sich nicht aussperren, falls Sie Ihr zweites Ger\u00e4t verlieren.<\/p>\n Erzwungene regelm\u00e4\u00dfige Wechsel gelten heute als wenig hilfreich. Sie f\u00fchren oft dazu, dass Menschen nur kleine, vorhersehbare \u00c4nderungen vornehmen. Sinnvoller ist es, ein langes, einzigartiges Passwort zu verwenden und es nur dann zu \u00e4ndern, wenn es einen konkreten Anlass gibt, etwa ein bekannt gewordenes Leck.<\/p>\n Die Passwortspeicher moderner Browser sind deutlich besser als wiederverwendete Passw\u00f6rter und f\u00fcr viele Menschen ein vern\u00fcnftiger Einstieg. Ein eigenst\u00e4ndiger Passwort-Manager bietet meist mehr Funktionen, etwa ger\u00e4te\u00fcbergreifende Nutzung, eine st\u00e4rkere Trennung vom Browser und bessere Werkzeuge zum Erkennen schwacher oder doppelter Passw\u00f6rter.<\/p>\n Solche Passw\u00f6rter sind schwer zu merken und verleiten zur Wiederverwendung, ohne wirklich sicherer zu sein. Eine lange Passphrase aus zuf\u00e4lligen W\u00f6rtern bietet einen gr\u00f6\u00dferen Suchraum und bleibt dennoch im Kopf. L\u00e4nge ist der wichtigste Faktor, nicht die Verschachtelung von Symbolen.<\/p>\n Bei einem gut abgesicherten Dienst geraten nur gesalzene Hashwerte in Umlauf, nicht die Passw\u00f6rter selbst. Ein langes, einzigartiges Passwort l\u00e4sst sich daraus kaum rekonstruieren. Trotzdem sollten Sie es nach einem bekannt gewordenen Leck wechseln. Mehr dazu im Leitfaden zu Datenlecks<\/a>.<\/p>\nPasswort-Manager: das Werkzeug f\u00fcr den Alltag<\/h2>\n
Zwei-Faktor-Authentifizierung als zweite Schicht<\/h2>\n
H\u00e4ufige Fragen<\/h2>\n
Ist es sicherer, Passw\u00f6rter regelm\u00e4\u00dfig zu \u00e4ndern?<\/h3>\n
Sind im Browser gespeicherte Passw\u00f6rter sicher genug?<\/h3>\n
Warum sollte ich kein Sonderzeichen-Wirrwarr verwenden?<\/h3>\n
Was passiert mit meinem Passwort bei einem Datenleck?<\/h3>\n