Jeder verfügt heute über mehrere Online-Benutzerkonten (Accounts), sei dies für E-Mails, Einkäufe im Internet, Social Media oder E-Banking. Überall soll ein möglichst sicheres Passwort verwendet werden und überall ein anderes. Dies überfordert die meisten Menschen, wodurch sie häufig zu einfache Passwörter benutzen oder für jedes Benutzerkonto dasselbe Passwort. Beides gilt als äusserst unsicher.

Unbefugte, kriminelle Personen nutzen Programme, mit denen sie vollautomatisch alle möglichen Zeichenkombinationen als Passwörter durchtesten können (Brute-Force-Angriff). Getestet werden können auch (Teil-)Wörter oder Kombinationen aus mehreren Wörtern aus Wörterbüchern verschiedenster Sprachen (Wörterbuch-Angriff) oder bereits in der Vergangenheit entwendete und veröffentlichte Passwörter, gängige Kombinationen von Zahlen und Buchstaben oder auch einfach verfügbare persönliche Informationen von Nutzern.

Nicht selten werden sie dabei fündig. Der auf diese Weise erlangte Zugang zu Benutzerkonten und die daraus gestohlenen Daten können auf vielfältigste Weise missbraucht werden. So können Unbefugte beispielsweise sämtliche Kontaktdaten abgreifen, verkaufen oder unter falscher Identität E-Mails verschicken, Geldströme umleiten, im grossen Stil Waren erwerben oder die betroffenen Personen gar erpressen und sich so bereichern. Der Schutz der Benutzerkonten mit möglichst sicheren Passwörtern ist daher extrem wichtig.

Darauf spezialisierte Recherchedienste (z.B. https://haveibeenpwned.com) halten eine Liste von im Internet gestohlenen Passwörtern und Zugangsdaten und stellen kostenlose Abfragemöglichkeiten für mögliche betroffene Personen zur Verfügung. Nutzer können dort ihre E-Mail-Adresse oder auch Benutzernamen überprüfen und unmittelbar feststellen, ob das Benutzerkonto oder Passwort kompromittiert sein könnte. Hat eine betroffene Person den Verdacht, dass ein Passwort oder auch andere Zugangsdaten gestohlen wurden, sollte sie – ungeachtet des Ergebnisses der Recherchedienste – das Passwort rasch ändern.
  • Sicherheit von Passwörtern

    Damit Passwörter als sicher gelten, müssen sie die unterschiedlichsten Anforderungen erfüllen.

    • Länge: Eine wichtige Anforderung für die Sicherheit und Stärke eines Passwortes ist seine Länge. Um ein 20-stelliges Passwort zu knacken, brauchen moderne Computer meist Jahre. Ein gutes Passwort für wichtige Konten oder Verschlüsselungen sollte daher mindestens zwölf oder im Idealfall 20 und mehr Zeichen lang sein.
    • Komplexität / Einzigartigkeit: Ein sicheres Passwort sollte ausserdem Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Darüber hinaus sollte es nicht im Wörterbuch auffindbar sein (besser sind zufällige Buchstabenkombinationen, ungewöhnliche Wortkombinationen oder ganze Sätze) und auch nicht aus einfachen Zahlen- oder Buchstabenreihen bestehen (z.B. 1234, abcd oder asdfgh). Auch leicht zu erratende persönliche Informationen stellen kein sicheres Passwort dar (z.B. Geburtsdatum, Name oder Haustiername). Zahlen kommen zudem am besten irgendwo in der Mitte des Passwortes vor und nicht einfach am Ende.

      Ein leicht zu merkendes, gutes Passwort kann beispielsweise aus einem einfachen Satz gebildet werden, aus dem man mit den jeweils ersten (oder letzten) Buchstaben der Wörter sowie dem Ersetzen von gewissen Wörtern durch Zahlen und Sonderzeichen ein Passwort generiert. So ein Satz könnte etwa lauten:

      Meine Katze fängt jeden Tag mindestens eine Maus und zwei Vögel!

      Das entsprechende Passwort wäre dann: MKfjTm1M&2V!

      Achtung: Verwenden Sie keine Zitate oder Liedzeilen, da diese auch in Lexika stehen können.

      Eine gute Alternative, um sichere Passwörter zu erstellen, ist die Verwendung eines Zufallsgenerators. Um dabei nicht die Übersicht zu verlieren, empfiehlt sich ein Passwort-Manager.

    • Unterschiedlichkeit: Jedes Benutzerkonto (E-Mail-Konto, Social Media Profil oder Warenkorb) sollte mit einem anderen Passwort geschützt sein. Sonst haben Unberechtigte bereits nach dem Erraten eines einzigen Passworts Zugriff auf sämtliche Konten und Informationen.

    • Zwei-Faktor-Authentifizierung: Je heikler die Daten, die in einem Benutzerkonto gespeichert sind, desto sicherer sollte das Passwort und somit der Schutz dieses Kontos sein (z.B. E-Mail-Konto, Benutzerkonten mit hinterlegten Kreditkartennummern oder Privatinformationen, die erpressbar machen usw.). Allein mit dem Zugriff auf das E-Mail-Konto können Unbefugte ausserdem in viele andere Benutzerkonten eindringen, indem sie dort die Passwörter zurücksetzen. Daher empfiehlt sich bei solchen Konten eine Zwei-Faktor-Authentifizierung. Das bedeutet, dass zusätzlich zum Passwort noch ein weiterer Schlüssel benötigt wird, um sich einzuloggen. Dieser Schlüssel wird am besten durch eine App auf dem Smartphone generiert, besteht aber häufig auch aus einem Code per SMS oder einem Fingerabdruck-Scan. Diebe müssen dann nebst dem Benutzernamen und dem Passwort auch noch Zugriff etwa auf das Smartphone haben, um sich Zugang zu einem Konto zu verschaffen, was sehr viel unwahrscheinlicher ist.

    • Änderung des Passwortes: Die regelmässige Änderung des Passwortes ist heute eher umstritten. Um sich die wechselnden Passwörter merken zu können, neigen die meisten Menschen dazu, zu simple Passwörter zu verwenden. In jedem Fall sollten Passwörter aber geändert werden, wenn in den Medien oder von Providern Hinweise darauf erfolgen, dass Passwörter entwendet oder Benutzerkonten illegal geknackt wurden.

    • Geheimhaltung: Wichtig ist auch, Passwörter keinem Dritten anzuvertrauen. Dazu gehört auch, ein Passwort nicht per E-Mail zu verschicken, da E-Mails keine sichere Kommunikationsart darstellen. Sie können jederzeit abgefangen oder mitgelesen werden.

    • Sicherheitsfragen: Oft werden Konten zusätzlich zum Passwort noch mit Sicherheitsfragen geschützt. Die korrekten Antworten sind jedoch häufig relativ einfach aus Einträgen in Social Media oder sonstigen öffentlich zugänglichen Quellen zu erraten. Dies sollte man im Hinterkopf behalten, wenn man die Wahl zwischen verschiedenen Fragen hat. Eine Option zur Verbesserung der Sicherheit solcher Fragen wäre, bewusst „falsche“ Antworten zu geben.

    • Passwort-Manager: Da sich die meisten Menschen nicht unbegrenzt viele Passwörter merken können, und da das Aufschreiben auch keine sichere Methode ist (schon gar nicht auf einem Notizzettel am Bildschirm oder unter dem Mouse Pad!), wird heute von vielen IT-Experten der Gebrauch von Passwort-Managern empfohlen.

  • Passwort-Manager

    Passwort-Manager sind Programme, die es erlauben, verschiedene Passwörter an einem einzigen Ort verschlüsselt zu speichern und bei Bedarf abzurufen. Es wird dann nur mehr ein einziges zentrales, möglichst starkes „Master-Passwort“ benötigt, um Zugriff auf die im Passwort-Manager abgelegten Passwörter zu erhalten und sie direkt zu verwenden.

    Die Vorteile von Passwort-Managern liegen in der einfachen Verwaltung verschiedenster Anmeldeinformationen und Passwörter mittels eines einzelnen, verschlüsselten Programms. Passwort-Manager unterstützen den Nutzer vielfach auch in der Passwortvergabe, da sie komplexe, einzigartige Zufalls-Passwörter generieren können. Zugleich lassen sich diese Passwörter meist mittels Synchronisation auf verschiedene Geräte übertragen. Schliesslich können Passwort-Manager den Nutzer auch vor gefährlichen Websites und Phishing-Attacken warnen.

    Die Nachteile von Passwort-Managern liegen darin, dass man alle Zugriffe auf Benutzerkonten verlieren kann, wenn man das zentrale Master-Passwort verliert. Auch können Passwort-Manager selbst mittels Cyber-Angriff attackiert werden. Schliesslich gilt es zu beachten, dass beim Speichern der Daten in der sogenannten „Cloud“ zur vereinfachten Synchronisation über mehrere Geräte in der Regel ein Dritter beteiligt ist. Dessen Richtlinien zum Datenschutz sollten daher genaue Beachtung finden.

    Die Stiftung Warentest hat verschiedene Passwort-Manager getestet. Ebenso hat der Zürcher Datenschutzbeauftragte ein Merkblatt veröffentlicht, wo die wichtigsten Passwort-Manager und ihre Eigenschaften vorgestellt werden.