12 Dinge, die Sie über Passwörter wissen sollten

Passwörter schützen unser digitales Leben. Trotzdem machen wir uns kaum Gedanken darüber. Dabei ist der richtige Umgang entscheidend für unsere Sicherheit. Wir erklären Ihnen 12 Dinge, die Sie über Passwörter wissen sollten.

Passwörter sind die Türschlüssel zu unserem digitalen Leben. Wenn Sie online einkaufen, E-Mails abrufen oder Ihre Lieblingsserie streamen, benötigen Sie dafür fast immer ein Passwort.

Aber leider gehen viele nach wie vor viel zu sorglos mit ihren Zugangsdaten um. Die Folgen sind gehackte Konten, gestohlene Daten oder sogar Identitätsbetrug und finanzielle Schäden.

Wir erklären, was ein gutes Passwort ausmacht, wie Sie sich vor Betrug schützen und welche neuen, sicheren Alternativen es heute schon gibt.

1 Was sind die häufigsten Passwörter?

Laut NordPass gehören «123456», «12345678», «admin» oder «password» immer noch zu den verbreitetsten Passwörtern weltweit. Diese sind vielleicht leicht zu merken, aber absolut unsicher. Denn solche einfachen Kombinationen lassen sich in wenigen Sekunden erraten. Daher sollten Sie einfache Passwörter unbedingt vermeiden.

2 Wie werden Passwörter gestohlen?

Passwörter können auf verschiedene Arten gestohlen werden und oft ohne, dass Sie es merken.

Mit Hacking-Software lassen sich Passwörter beispielweise automatisch herausfinden. Dabei probiert die Software in Sekundenschnelle automatisch Millionen Passwörter durch, darunter die häufigsten und Kombinationen davon, bis sie das richtige findet. Je schwächer ein Passwort ist, desto schneller gelingt das.

Bei Phishing wiederum verschicken Betrüger täuschend echte E-Mails oder Nachrichten, die scheinbar von Ihrer Bank, einem Online-Shop oder einem Paketdienst stammen. Darin werden Sie aufgefordert, auf einen Link zu klicken und sich dort auf einer täuschend echt wirkenden Website einzuloggen. Geben Sie dann Ihre Zugangsdaten ein, können die Kriminellen damit auf Ihr echtes Konto zugreifen und grossen Schaden anrichten.

Aber auch Online-Dienste und deren Datenbanken selbst werden gehackt. Dann geraten oft Millionen Passwörter in Umlauf. Diese Daten werden schliesslich im Darknet an andere Kriminelle verkauft oder veröffentlicht.

3 Was passiert, wenn mein Passwort gehackt wird?

Wenn jemand Ihr Passwort kennt, kann sich diese Person als Sie ausgeben. Damit kann sie zum Beispiel auf Ihr E-Mail-Konto zugreifen und Informationen über Sie abgreifen. Die Person kann aber auch Bestellungen in Ihrem Namen auslösen, Ihre gespeicherten Kreditkartendaten verwenden oder Ihre E-Mail-Adresse gar für weiteren Betrug nutzen.

Zudem können Täter mit Ihrem E-Mail-Konto die Zugänge zu anderen Konten zurückzusetzen (über einen «Passwort vergessen»-Link). Damit können die Kriminellen ein neue Passwörter für Ihr Konten festlegen. Sie verlieren dann sehr schnell die Kontrolle über Ihre eigene digitale Identität.

4 Wie kann ich prüfen, ob mein Passwort gestohlen wurde?

Es gibt verschiedene Möglichkeiten, um zu überprüfen, ob ein Passwort gestohlen wurde.

Auf haveibeenpwned.com können Sie z. B. Ihre E-Mail-Adresse eingeben und sehen sofort, ob diese in einem bekannten Datenleck vorkommt. Die Seite sammelt Milliarden Einträge aus öffentlich bekannten Datenlecks. Der von Sicherheitsexperten empfohlene Dienst arbeitet unter anderem mit dem FBI und Mozilla zusammen. Allerdings deckt er zwar viele, aber nicht alle Datenlecks ab – also keine Darkweb-Lecks oder sehr neuen Lecks.

Ausserdem können Sie integrierte Dienste wie solche in Smartphones und Passwort-Managern nutzen. Auf dem iPhone finden Sie zum Beispiel die Funktion unter «Einstellungen» und dann  «Passwörter». Die Passwortüberwachung von Apple prüft und erkennt auf iOS und macOS gespeicherte Passwörter automatisch und zeigt Warnungen an.

Bei einem Google-Konto wiederum können Sie mit dem im Chrome-Browser und Android integrierten Passwort-Check prüfen, ob gespeicherte Zugangsdaten gefährdet sind. Denn wie Apple scannt Google automatisch gespeicherte Passwörter auf Probleme und warnt vor Datenlecks.

Ebenso gibt es bei Passwort-Managern wie Bitwarden, 1Password etc. entsprechende Funktionen, die das Darkweb scannen und Lecks und schwache Passwörter erkennen und melden.

Wenn Sie den Verdacht haben, dass ein Passwort betroffen ist, ändern Sie es sofort – am besten durch ein komplett neues und sicheres.

5 Wie sieht ein sicheres Passwort heute aus?

Ein gutes Passwort schützt dann, wenn es schwer zu knacken ist. Achten Sie insbesondere auf diese Punkte:

Ein Passwort sollte:

• mindestens 12 bis 16 Zeichen haben, besser mehr
• grosse und kleine Buchstaben, Zahlen und Sonderzeichen enthalten
• keine echten Wörter, keine Namen, keine Geburtstage etc. beinhalten
• keine Wiederholungen oder Tastaturmuster wie «1234» oder «asdf» etc. aufweisen

6 Wie erstelle ich ein sicheres Passwort?

Ein sicheres Passwort erstellen Sie am einfachsten mit der sogenannten Satzmethode:

1. Denken Sie sich einen Satz mit mindestens einer Zahlenangabe aus.
2. Nutzen Sie daraus Anfangsbuchstaben, Zahlen und Sonderzeichen, um das Passwort zu bilden.

Ein Beispiel:

«Mein liebstes Café in Zürich hat 15 feine Sorten Kuchen!» ergibt das Passwort «MLCiZh15fSK!». Suchen Sie sich aber unbedingt einen eigenen Merksatz, denn dieser hier ist öffentlich.

Noch bequemer geht es mit einem Passwort-Manager. Diese praktischen Tools können sichere Passwörter automatisch generieren und für Sie speichern.

Online-Passwortgeneratoren sollten Sie hingegen meiden. Bei solchen ist nicht immer klar, ob sie datenschutzkonform arbeiten und was mit den generierten Daten geschieht.

7 Wie speichere ich Passwörter sicher?

Viele schreiben Passwörter in Notiz-Apps, in Word-Dokumente oder speichern sie direkt im Browser. Das ist zwar bequem, aber riskant. Wird das Gerät gestohlen oder gehackt, sind alle Zugangsdaten frei einsehbar.

Verwenden Sie besser einen Passwort-Manager wie Bitwarden, 1Password oder KeePass. Diese speichern alle Ihre Zugangsdaten für jeden Online-Dienst verschlüsselt ab. Der grosse Vorteil: Sie müssen sich dann nur noch ein einziges, starkes Master-Passwort – das des Passwort-Managers – merken. Dieses bilden Sie am besten mit der oben beschriebenen Satzmethode, damit Sie es sich gut merken können.

8 Soll ich überall das gleiche Passwort verwenden?

Viele Anwenderinnen und Anwender machen einen grossen Fehler: Sie verwenden für alle Zugänge dasselbe Passwort. Wenn Kriminelle dieses aber herausfinden, testen sie es sofort auf allen möglichen Websites.

Wenn Sie also dasselbe Passwort bei E-Mail, Facebook, Online-Banking und anderen Anwendungen nutzen und dieses gehackt wurde, sind auf einen Schlag gleich alle Konten in Gefahr.

Nutzen Sie daher für jedes Konto ein eigenes, starkes Passwort. Wie oben beschrieben, lassen sich diese mit einem Passwort-Manager ganz einfach erstellen und verwalten.

9 Wie oft sollte ich Passwörter ändern?

Früher hat man empfohlen, Passwörter so oft wie möglich zu ändern. Heute sagen Sicherheitsexperten, man soll Passwörter nur ändern, wenn es einen konkreten Anlass gibt. Wenn Sie also etwa einen Verdacht auf Diebstahl haben oder ein bekanntes Datenleck eines Ihrer Passwörter enthält, ändern Sie es umgehend.

Viel wichtiger ist, dass Sie sichere, lange und einzigartige Passwörter verwenden. Dann müssen Sie diese nicht ständig wechseln. Für besonders sensible Konten (z. B. E-Mail, Online-Banking etc.) lohnt sich aber eine regelmässige Aktualisierung. Etwa einmal im Jahr gilt als angebracht. Damit das nicht vergessen geht, können Sie zum Beispiel in Ihrem Kalender einen wiederkehrenden Eintrag setzen – dabei aber natürlich das entsprechende Passwort nicht im Kalender eintragen.

10 Was kann ich tun, wenn ich ein Passwort vergessen habe?

Das ist kein Grund zur Panik. Fast jeder Online-Dienst bietet die Funktion «Passwort vergessen» an. Über Ihre registrierte E-Mail-Adresse oder Mobile-Nummer können Sie so ein neues anfordern. Sie erhalten dann üblicherweise einen Link, um dort ein neues Passwort zu festzulegen.

11 Warum reicht ein Passwort allein oft nicht aus?

Ein starkes Passwort ist wichtig, aber noch sicherer wird es mit einer zweiten oder mehreren Schutzschichten. Die nennt sich Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA). Dabei brauchen Sie zusätzlich zum Passwort noch mindestens einen zweiten Faktor zur Anmeldung. Das kann zum Beispiel ein einmaliger Code aus einer App oder SMS sein. Selbst wenn jemand Ihr Passwort kennt, kann er ohne diesen zweiten Faktor nichts anfangen.

Sehr verbreitet als zusätzlicher Faktor sind auch Authenticator-Apps (z. B. für Online-Banking), biometrische Verfahren wie Gesichtserkennung oder Fingerabdruck. Sie entsperren damit Ihr Gerät, die Banking-App oder den Passwort-Manager. Für Sie fühlt sich das an, als gäbe es gar kein Passwort mehr – im Hintergrund wird aber ein geheimer Schlüssel auf dem Gerät freigegeben, der von aussen nicht einsehbar ist.

12 Geht es auch ohne Passwort?

Es gibt tatsächlich mittlerweile eine Möglichkeit, sich bei gewissen Diensten ohne Passwort anzumelden. Sogenannte Passkeys sind eine moderne, relativ neue Lösung. Sie ersetzen das klassische Passwort ganz: Bei Online-Diensten, die Passkeys erlauben, benötigen Sie für die Anmeldung nur noch Ihren Fingerabdruck, Ihr Gesicht oder Ihren Geräte-PIN. Das Gerät (z. B. Smartphone) selbst weist sich dann mit einem digitalen Schlüssel gegenüber der richtigen Website aus. Damit lassen sich Phishing-Angriffe deutlich erschweren, denn es gibt kein Passwort zu erbeuten.

Für besonders wichtige Konten gibt es zudem kleine Sicherheitsschlüssel zum Anstecken oder Antippen (FIDO2-Token). Statt ein Passwort einzugeben, stecken Sie den Schlüssel ein und bestätigen die Anmeldung. Der Schlüssel übernimmt auch hier im Hintergrund die Rolle des «Ausweises».

Markus Häfliger

PR-Fachmann

Markus Häfliger ist PR-Fachmann und schreibt seit 2018 für iWay. Als ehemaliger IT-Journalist liest er sich in jedes Thema ein. Ihn fasziniert, wie IT unser Leben durchdringt und stets spannend bleibt.