Wie wähle ich ein sicheres Passwort?
Mit genügend Rechenleistung und Zeit lässt sich jedes Passwort knacken. Doch an sicheren Passwörtern beissen sich Hacker:innen auch mit modernen Computern die Zähne aus. Mit Passwortmanagern können Sie nahezu unknackbare Passwörter erstellen. Hier erfahren Sie wie.
Gibt es ein 100 % sicheres Passwort? Nein! Alle Passwörter können mit genügend Zeit und Rechenleistung geknackt werden. Aber es gibt ziemlich sichere Passwörter. Ziemlich sicher ist ein Passwort, für das eine Angreifer:in viele Jahre braucht, um es zu knacken. Falls Sie Passphrasen und einen Passwort-Manager verwenden, steigt der Aufwand für Cyberkriminelle noch einmal deutlich.
Die Wichtigkeit sicherer Passwörter
Passwörter sind unsere digitalen Schlüssel. Wer sie kennt, kann die Türen zu den gespeicherten Daten öffnen – oft unbemerkt. Für den Schutz Ihrer Daten sind Passwörter also zentral. Neben Ihrer Privatsphäre schützen Sie damit auch Ihre Finanzen.
Jedes Gerät, jede Festplatte, jeder Account, jedes Netzwerk sollten Sie unbedingt mit einem eigenen Passwort sichern, das Sie sonst nirgendwo verwenden.
Ein hinreichend sicheres Passwort ist mindestens zwölf Zeichen (bei Passphrasen vier zufällige Wörter) lang, beinhaltet Klein- und Grossbuchstaben, Zahlen und Sonderzeichen. Zudem darf es sich nicht einfach aus personenbezogenen Angaben wie Namen, Geburtstag oder Wohnort herleiten lassen. Denn Profile auf sozialen Netzwerken sind für Betrüger:innen dankbare Quellen, um an Worthinweise oder Antworten auf Sicherheitsfragen zu gelangen (Name Ihres Haustiers, Zitat Ihrer Lieblingsband). Auf keinen Fall sollten Sie ein unsicheres Passwort wie «12345», «admin», «passwort», «abc123»,«qwertz» oder den Namen Ihres WLAN-Netzwerks wählen.
So funktionieren Programme, die Passwörter knacken
Wer an einer Passwortabfrage vorbei will, versucht es mit allen theoretisch möglichen Passwörtern.
Wenn die Cyberkriminellen nicht über zusätzliches Wissen (z.B. aus einem Datenleck) verfügen, beginnen sie meist mit oft verwendeten Passwörtern. Dazu nutzen Sie Programme und teils sogar Webdienste. Anschliessend werden Wörter und Phrasen (und deren Kombinationen) aus verschiedensprachigen Wörterbüchern durchgetestet. Ist das gesuchte Passwort immer noch nicht gefunden, so geht das Programm dazu über, beliebte Buchstaben durch Sonderzeichen oder Zahlen zu ersetzen bzw. hinzuzufügen (z.B. «1Pa$$w0rt!»).
Wenn auch das nicht klappt, bleibt nur noch die «Brute Force» (engl. rohe Gewalt) Methode übrig. Dabei werden sämtliche Aneinanderreihungen von Buchstaben, Zahlen und Sonderzeichen durchprobiert. Aufgrund der gigantischen Anzahl an Kombinationsmöglichkeiten steigt die Zeit, die für das Knacken eines Passworts nötig ist, mit jedem zusätzlichen Zeichen um ein Vielfaches. Entsprechend ist die Passwortlänge ein zentrales Merkmal für ein sicheres Passwort.
Sichere Passwörter wählen
Die Vorgaben einiger Webseiten, wonach ein Passwort mindestens 12 Zeichen, Gross- und Kleinbuchstaben und ein Sonderzeichen enthalten sollte, sind nicht unumstritten. Manche Personen können sich solche Passwörter schlicht nicht merken. Auch führt es oft dazu, dass die Nutzer:innen den ersten Buchstaben grossschreiben und das Sonderzeichen (meist «!» oder «?») am Ende platzieren. Das Passwort wird dadurch kaum sicherer, weil Angreifer:innen dieses Verhalten vorhersehen.
Abhilfe schaffen Passwort-Manager, mit denen sich sichere Passwörter erstellen lassen. Sie als Nutzer:in müssen sich damit nur noch ein sehr sicheres Masterpasswort merken. Passwort-Manager können Sie sich als einen Safe für Passwörter vorstellen, wobei das Masterpasswort die Zahlenkombination ist. Anders als beim schwer erreichbaren, physischen Safe muss das Masterpasswort jedoch deutlich komplexer sein – idealerweise nutzen Sie eine Passphrase.
Passwort-Generator
Wenn Sie keine Idee haben, welches Passwort Sie wählen könnten, das die oben genannten Anforderungen erfüllt, können Sie einen Passwort-Generator verwenden, um ein zufälliges Passwort zu erstellen. Daneben wir Ihnen angezeigt, wie sicher ein Passwort ist bzw. wie lange ein Computer bräuchte, um das Passwort zu erraten. Die Website generiert die Passwörter direkt in Ihrem Browser, die Website-Betreiberin (Proton AG) sieht die Passwörter also nicht.
Passwort-Manager
Passwort-Manager sind praktisch, weil Sie unmerkbare Passwörter wie bRqD(kPT.pP2)u[ep07WCC;D@b7q!MC%8&u!Bp]f (Beispiel, nicht verwenden!) sicher darin verstauen können. So müssen Sie sich die sicheren Passwörter nicht merken, können aber für all Ihre Zugänge starke Passwörter verwenden. Ausserdem benachrichtigen Sie gute Passwort-Manager darüber, wenn Ihre Zugangsdaten in einem Datenleck auftauchen oder schon zu lange nicht mehr ersetzt wurden.
Mittlerweile sind in Internetbrowsern bereits standardmässig Passwort-Manager eingebaut. Diese sind zwar praktisch und komfortabel, können aber unter Umständen unbemerkt von Cyberkriminellen abgegriffen werden. Beim Kassensturz-Test haben die von Haus aus integrierten Passwort-Manager in den Browsern Microsoft Edge und Google Chrome schlechte Resultate erzielt.
Auf ihren Smartphones bieten Apple und Google eigene Passwort-Manager an. Bedenken Sie bei deren Nutzung, dass die Passwortdaten auch auf US-Servern gespeichert sind. Aufgrund des CLOUD-Acts ist es möglich, dass ein US-Geheimdienst auf Ihre Passwortdatenbank zugreifen kann. Bei Aktivierung des erweiterten Datenschutzes für iCloud hat Apple nach eigenen Angaben keine Möglichkeit mehr, auf Ihre Passwortdatenbank zuzugreifen.
Am sichersten ist deshalb die Nutzung eines Passwort-Managers, der die Passwörter lokal und verschlüsselt abspeichert. Besonders empfehlenswert ist die Open-Source Lösung KeePass. Beachten Sie dabei, dass Sie bei einem Verlust des Datenträgers mit der Passwortdatenbank auch all Ihre Passwörter verlieren. Wir empfehlen Ihnen deshalb, regelmässige Backups der Datenbank auf einem separaten Speichermedium zu erstellen.
Wenn Ihnen das zu aufwändig ist, können Sie einen Passwort-Manager nutzen, der die Passwörter Ende-zu-Ende verschlüsselt abspeichert. Zum Beispiel die Open-Source Lösungen Bitwarden oder Proton Pass, deren Sicherheit unabhängig überprüft wurde.
Sichere Passwörter vs. Passphrasen
Neben den bekannten Passwörtern haben sich Passphrasen als sichere Authentifizierungsmöglichkeit etabliert. Anders als Passwörter bestehen sie aus mehreren Wörtern einer beliebigen Sprache, die z.T. auch konjugiert wurden.
Passphrasen sind für Menschen meist einfacher merkbar. Statt 25 wahllos aneinandergereihte Buchstaben und Symbole müssen Sie sich nur 6 wahllos aneinandergereihte Wörter merken. Am sichersten ist es, wenn sie diese Wörter zufällig nach dem Diceware-Verfahren auswählen. Dazu benötigen Sie mindestens einen sechsseitigen Würfel und eine deutsche Wörterliste.
Es gibt aber auch Online-Generatoren für Passphrasen, bei denen Sie die Anzahl Wörter auswählen können.
Beispiele für Passphrasen:
bananen schlafend triangel walhai tagliatelle
stiftung-safe-reeder-passt-city-dreh-ringer
optik trieft verein firma firmen gelbe alibi hinz
rande hingabe exempel verlor wettlauf tyrannen tamsweg gemahlin
Gemäss passwortcheck.ch würde das Knacken dieses Passworts mehrere Millionen Jahre dauern.
Bitte benutzen Sie keine dieser Passphrasen.
Gerade bei besonders wichtigen Logins (z.B. für den Passwort-Manager) machen Passphrasen Sinn. Falls Sie unserer Empfehlung folgen und einen Passwort-Manager verwenden, können Sie darin absurd lange, sichere Passwörter erstellen lassen. Da Sie sich diese ohnehin nicht merken müssen, spielt die Einprägsamkeit des Passworts keine Rolle mehr.
2-Faktor-Authentifizierung
Wir empfehlen
Benötigen Sie weitere Informationen? Vereinbaren Sie einen Beratungstermin:
