Im ersten Abschnitt des zweiten Teils (Teil 2: 1/2) dieser Blogserie haben wir gezeigt, was Betreiber:innen tun können, um Konten gegen Angriffe abzusichern – von der Erkennung verdächtiger Loginversuche bis zur sicheren Speicherung von Passwörtern. Doch auch als Nutzer:in haben Sie es in der Hand, Ihre Konten bestmöglich zu schützen. In diesem Beitrag erfahren Sie, wie Sie ein sicheres Passwort wählen – und warum Wiederverwendung nicht der richtige Weg ist.
Betreiber:innen müssen vieles richtig machen – doch Kontrolle haben sie nicht
Die meisten Menschen gehen davon aus, dass ihre Passwörter bei Online-Diensten sicher gespeichert werden. Doch ob das wirklich der Fall ist, wissen Sie als Nutzer:in nicht. Im schlimmsten Fall speichert der Dienst Passwörter im Klartext – und ein Datenleck führt direkt zum Zugriff auf Ihr Konto.
Deshalb gilt eine der wichtigsten Sicherheitsregeln überhaupt:
Verwenden Sie jedes Passwort nur einmal. Niemals doppelt.
So stellen Sie sicher, dass ein einziger Datenverlust nicht Ihre gesamte Online-Identität gefährdet.
Ein einfacher Test: Wird Ihr Passwort im Klartext gespeichert?
Sie können zwar nicht in die Datenbank des Anbieters schauen – aber mit einem kleinen Trick möglicherweise erkennen, ob dort unsicher gespeichert wird: Nutzen Sie die Funktion „Passwort zurücksetzen“.
- Wenn Sie eine E-Mail erhalten, in der Ihr altes Passwort im Klartext steht, wissen Sie garantiert, dass der Online-Dienst Ihr Passwort nicht sicher speichert (denn ansonsten könnte man Ihnen Ihr Passwort gar nicht im Klartext schicken). In diesem Fall sollten Sie sich überlegen, ob Sie diesem Dienst wirklich vertrauen wollen. Zumindest aber sollten Sie Ihr Passwort sofort ändern – denn es wurde soeben ungesichert übermittelt (die Sicherheit von E-Mails ist ein komplexes Thema, aber im Prinzip sind E-Mails kaum sicherer als Postkarten).
- Wenn Sie lediglich einen Link zum Zurücksetzen erhalten (aber kein Klartext-Passwort): gut – aber dennoch keine Garantie, dass der/die Betreiber:in im Hintergrund alles richtig macht.
Was macht ein sicheres Passwort aus?
Es ist also entscheidend, dass Sie ein sicheres Passwort wählen – doch was bedeutet das eigentlich genau?
Viele denken bei „sicher“ an Sonderzeichen, Zahlen und Großbuchstaben. Das ist nicht grundsätzlich falsch – greift aber zu kurz. Entscheidend ist vor allem eines:
Die Länge des Passworts.
Denn je länger ein Passwort ist, desto mehr mögliche Kombinationen muss ein Angreifer ausprobieren. Ein einfaches Beispiel:
- 10 Zeichen, nur Großbuchstaben (A-Z): rund 141 Billionen Möglichkeiten
- 5 Zeichen, mit Groß-/Kleinbuchstaben, Zahlen- und Sonderzeichen: „nur“ etwa 7 Millionen Möglichkeiten
Auch wenn beide Zahlen zunächst beeindruckend wirken: Moderne Computer können heute Millionen bis Milliarden Passwortkombinationen in kurzer Zeit durchprobieren. In einem aktuellen Sicherheitstest ist es uns gelungen, mit einer handelsüblichen Instanz eines Cloud-Anbieters 250 Milliarden Passwörter pro Sekunde durchzuprobieren. Solche Angriffskapazitäten sind mittlerweile erstaunlich kostengünstig verfügbar – und damit auch in der Praxis realistisch.
Entscheidend ist also die Unvorhersagbarkeit und Vielfalt der möglichen Passwörter.
Ein starkes Passwort sollte deshalb:
- lang genug sein (mindestens 16 Zeichen),
- keine vorhersehbaren Dinge wie etwa Firmenname, Name, Jahreszahl, Geburtsdatum, Zitat etc. enthalten
- und möglichst zufällig gewählt werden.
Fazit: Lieber ein langes, zufälliges Passwort mit wenigen Zeichentypen als ein kurzes Passwort mit vielen Sonderzeichen, das sich leicht erraten lässt.
Wie lang ist lang genug?
Nichtsdestotrotz sollten Sie unterschiedliche Zeichensätze verwenden. Aber eben stets in Kombination mit einer gewissen Passwortlänge. Verwendet man beispielsweise 16 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, so lässt dies über 4 x 1031 mögliche Passwörter zu – das ist eine Zahl mit 32 Stellen. Diese Anzahl kann auch ein moderner Computer nicht handhaben. Angreifer haben keine realistische Chance, ein solches Passwort zu erraten.
Tipp: Probieren Sie es selbst aus – mit unserem interaktiven Tool:
„What the Crack? – Wie lange braucht man, um Ihr Passwort zu knacken?“
Damit können Sie berechnen, wie lange ein Brute-Force-Angriff dauern würde, je nachdem wie Sie Ihr Passwort wählen und welche technischen Möglichkeiten zum Angriff zur Verfügung stehen. Aber ganz wichtig: Diese Berechnungen gehen davon aus, dass Sie Ihr Passwort wirklich zufällig auswählen! Wenn Ihr Passwort oder Teile davon leicht zu erraten sind (z. B. weil Sie vorhersehbare Daten wie Ihren Namen im Passwort verwenden), dann ändert sich die Situation, und selbst ein 30 Zeichen langes Passwort kann leicht erratbar sein.
Gute Passwortrichtlinien – auch aus Nutzersicht
Ein häufiger Frust: Dienste, die Ihre Passwörter künstlich einschränken. Beispiel: „Ihr Passwort darf maximal 20 Zeichen lang sein.“
Aus Sicherheitsgründen ergibt das keinen Sinn – im Gegenteil.
Auch als Nutzer:in sollten Sie Passwortrichtlinien kritisch hinterfragen.
Eine gute Richtlinie erlaubt lange Passwörter, vermeidet unnötige Zwangskomplexität und unterstützt den Einsatz von Passwortmanagern.
Empfehlungen dazu finden sich z. B. in den BSI-Grundschutz-Bausteinen (ORP.4.M22).
Es ist durchaus sinnig, sich auch als Nutzer:in zu informieren, wie eine gute Passwortrichtlinie aussehen sollte. Denn letztendlich können Sie hieraus auch ablesen, was ein gutes Passwort ist. Und: Nur weil ein Dienst eine schlechte Passwortrichtlinie vorgibt, heißt das ja nicht, dass Sie nicht selbst dennoch ein besseres Passwort wählen können (insofern die Richtlinie nicht so schlecht geschrieben ist, dass sie dies verhindert).
Fazit: Auch Nutzer:innen können zum Schutz ihres Kontos beitragen
Sie können zwar nicht verhindern, dass ein Anbieter Sicherheitslücken hat – aber Sie können verhindern, dass ein Passwortdiebstahl gleich alle Ihre Konten gefährdet.
Hier noch einmal das Wichtigste auf einen Blick:
- Verwenden Sie nie dasselbe Passwort zweimal.
- Setzen Sie auf Länge anstatt nur auf Komplexität.
- Seien Sie wachsam bei fragwürdigen Passwortvorgaben.
Wie geht die Blogserie weiter?
Im nächsten Teil unserer Blog-Reihe gehen wir auf weitere wichtige Fragen rund um Passwortsicherheit ein:
- Wie merke ich mir lange, sichere Passwörter und wie denke ich sie mir überhaupt aus?
- Was genau ist eigentlich Multi-Faktor-Authentifizierung?
- Wie oft sollte ich mein Passwort ändern?
- Und: Warum sollte ich ein und dasselbe Passwort nie mehrmals verwenden?
Bleiben Sie dran – der nächste Artikel unserer Blogserie „Passwortsicherheit“ erscheint bald.
Prof. Björn Kaidel