Passwortsicherheit – Alles, was Sie wissen müssen
Passwörter werden immer wichtiger. Wir beantworten die wichtigsten Fragen rund um die Passwortsicherheit, damit Sie im Internet sicher unterwegs sind.
Heute ist Welt-Passwort-Tag – Grund genug, sich einmal genau mit der Sicherheit von Passwörtern auseinanderzusetzen. Denn Kennwörter sind längst zu einem festen Bestandteil des Alltags geworden und jeder sammelt in seinem digitalen Leben unzählige verschiedene Passwörter an. Sie bieten Zugang zu Benutzerkonten in allen möglichen Lebensbereichen - vom Streaming-Dienst über das E-Mail-Konto bis zum Online-Banking. Wenig überraschend versuchen Kriminelle daher regelmäßig, Passwörter zu knacken. Aber wie geht das überhaupt? Und wie können Sie sich und ihre Kennwörter vor unbefugten Zugriffen schützen? Diese und andere Fragen klären wir in unserer FAQ.
Warum ist ein sicheres Passwort so wichtig?
Ein Passwort ist der erste Schutzwall gegen Kriminelle, die sich Zugang zu einem Ihrer Benutzerkonten verschaffen möchten, und – wenn keine Zwei-Faktor-Authentifizierung aktiviert ist – oft auch der einzige Schutz. Können die Kriminellen diesen Schutz allerdings überwinden, haben sie uneingeschränkten Zugriff auf alle Daten, die in dem jeweiligen Konto gespeichert sind. Das sind im „besten“ Fall nur unwichtige Dateien, immer wieder aber auch private Bilder, E-Mails oder der Zugang zu Ihrem Online-Banking.
Passwörter schützen also im Kern Ihre Daten. Prinzipiell sollten natürlich alle verwendeten Kennwörter sicher sein, bei bestimmten Benutzerkonten sollten Sie aber besonders Wert auf ein sicheres Passwort legen. Das ist vor allem der Fall bei allen Konten, die sensible Daten enthalten können. Dazu zählen unter anderem:
- Ihr E-Mail-Konto: Die E-Mail-Adresse ist nicht nur für die persönliche Kommunikation wichtig, sondern dient oft auch als Benutzername für andere Internet-Accounts. Daher kann man sie in vielen Fällen für die „Passwort zurücksetzen“-Funktion nutzen. Wenn sich also jemand Zugang zu Ihrem E-Mail-Konto verschafft, kann er potenziell auch alle anderen Konten übernehmen, bei denen Sie sich mit Ihrer E-Mail-Adresse angemeldet haben. Schützen Sie Ihr E-Mail-Konto daher unbedingt mit einem sicheren Passwort.
- Ihr Online-Banking: Banken stellen in der Regel sicher, dass Zugangsdaten für die Online-Banking-Funktionen sicher sind. Überprüfen Sie trotzdem, ob das Passwort für Ihr Online-Banking sicher ist, damit niemand auf Ihr Konto zugreifen kann.
- Ihr WLAN: Über Ihr privates Netzwerk kann man potenziell auf alle verbundenen Geräte zugreifen. Um das zu verhindern, sollten Sie neben einer WPA2- oder WPA3-Verschlüsselung unbedingt ein langes und sicheres Passwort verwenden. Für einen effektiven Schutz sollte das Passwort mindestens 20 Zeichen lang sein. Tipp: Damit Sie das Kennwort nicht jedes Mal von Hand eingeben müssen, wenn Sie ein neues Gerät mit dem WLAN verbinden möchten, können Sie auch einen QR-Code mit dem WLAN-Zugang erstellen. Scannen Sie diesen mit einem Smartphone, verbindet es sich automatisch mit dem jeweiligen Netz.
- Ihr Google-Konto oder Ihre Apple-ID: Smartphones sind längst zentraler Bestandteil des Lebens geworden. Damit Android-Handys gut funktionieren, muss man sich in der Regel mit einem Google-Konto anmelden; bei iPhones nimmt eine Apple-ID diesen Platz ein. Über den Google- oder Apple-Account kann das Gerät zum Beispiel geortet, gesperrt oder gelöscht werden. Daher sollten Sie diese Konten durch ein sicheres Passwort schützen.
- Konten, bei denen Zahlungsinformationen hinterlegt sind: Bei Onlineshopping-Seiten werden Zahlungsinformationen oft im Benutzerkonto gespeichert. Legen Sie bei solchen Konten besonderen Wert auf ein sicheres Passwort, um zu verhindern, dass jemand etwas auf Ihre Kosten bestellen kann.
Was macht ein sicheres Passwort aus? Und wie erstelle ich ein geeignetes Passwort?
Ein Passwort sollte unbedingt so sicher wie möglich sein, um Ihr Benutzerkonto effektiv gegen Angreifer zu schützen. Glücklicherweise gibt es einige einfache Leitlinien, an denen Sie sich bei der Erstellung eines neuen Passworts orientieren können.
- Nutzen Sie für jeden Online-Dienst ein unterschiedliches Passwort. Wurde ein Kennwort einmal kompromittiert, sind auch alle anderen Accounts, bei denen Sie mit diesem angemeldet sind, gefährdet. Um dieses Risiko zu minimieren, sollten Sie unbedingt für jede Anmeldung ein eigenes Passwort nutzen.
- Passwörter sollten nicht leicht zu erraten sein. Gerade, wenn man sich viele verschiedene Kennwörter merken muss, scheint eine einfache Variation eines Passworts verlockend (zum Beispiel „MartinFacebook1“ und „MartinGoogle1“). Solche Kennwörter sind allerdings leicht zu erraten, spätestens nachdem das erste dieser Passwörter kompromittiert wurde. Das Kennwort sollte auch nicht vollständig in einem Wörterbuch zu finden sein („ApfelBaum“) – 4 oder 5 Wörter aus dem Duden hintereinander sind aber ein starkes Passwort, das keiner erraten kann. Häufig benutze Kombinationen („abcdefg123“) sind ebenfalls tabu. Hier lesen Sie, welche Passwörter 2021 am beliebtesten waren.
- Je länger ein Passwort ist, desto besser. Natürlich gibt es dabei eine Grenze durch die Praktikabilität, wenn Sie ein Kennwort regelmäßig eingeben müssen. Je mehr Stellen ein Passwort jedoch hat, desto länger dauert es für Angreifer, es zu erraten. Damit Sie sich ein langes Passwort noch merken können, bieten sich Passphrasen an, also Sätze, die Sie als Kennwort nutzen (zum Beispiel „ichlesegerneheiseonlineundct“). Deren Sicherheit wird noch verbessert, wenn Sie Groß- und Kleinschreibung nutzen, Sonderzeichen einfügen und einzelne Wörter weglassen oder ersetzen (zum Beispiel „Ich<3HeiseOnline&c’t“). Alternativ können Sie einen Passwort-Manager nutzen. Was es damit auf sich hat, lesen Sie weiter unten in dieser FAQ.
- Überprüfen Sie die Sicherheit des Passworts. Tatsächlich müssen Sie Ihr Passwort nicht regelmäßig ändern. Dieser Mythos hält sich zwar hartnäckig, stimmt so aber nicht. Solange Ihre Passwortinformationen sicher und geheim sind, besteht dafür keine Notwendigkeit. Das ändert sich allerdings, sobald das Passwort kompromittiert wurde. Dann sollten Sie das Passwort so schnell wie möglich ändern. Wie Sie Ihre Konten zusätzlich zum Passwort absichern können, zeigen wir Ihnen im nächsten Abschnitt.
Was kann ich noch tun, um meine Benutzerkonten abzusichern?
- 2-Faktor-Authentifizierung aktivieren: Die 2-Faktor-Authentifizierung (kurz 2FA) schützt Ihre Konten selbst dann, wenn Ihr Passwort in falsche Hände geraten ist. Dabei müssen Sie zur Anmeldung neben dem Passwort auch noch eine zweite Anmeldebestätigung eingeben. Häufig handelt es sich hierbei um einen Code, der an Ihr Handy geschickt wird. Ohne das Handy reicht das Passwort den Kriminellen also nicht, um in Ihr Konto zu gelangen. Diese Methode macht den Login-Vorgang zwar etwas umständlicher, führt aber auch zu zusätzlicher Sicherheit. Deshalb sollten Sie 2FA zumindest bei wichtigen Konten mit sensiblen Daten verwenden.
- Windows Defender und VPN verwenden: Neben den herkömmlichen Viren, die einfach nur Schaden auf Ihrem Computer anrichten, gibt es noch weitere Varianten. Dazu zählen zum Beispiel Keylogger. Diese zeichnen Ihre Tastatur-Eingaben auf, sodass auch eigentlich gesicherte Benutzerdaten abgegriffen werden können. Den Befall Ihres Computers verhindern Sie durch einen aktivierten Windows Defender. Ein VPN-Programm hilft gegen Sniffing, wenn Sie in einem öffentlichen WLAN surfen. Beim Sniffing überprüft ein unbefugter Dritter Ihren gesamten Datentransfer - und kann so womöglich auch auf sensitive Daten zugreifen. Ein VPN verschlüsselt Ihre Daten.
- Keine Passwörter weitergeben: Bestenfalls sollten Sie die einzige Person sein, die eines Ihrer Passwörter kennt. Auch wenn es verlockend ist, sollten Sie Ihre Kennwörter nicht mit anderen teilen. Ist es doch einmal unumgänglich, sollten Sie die Passwörter am besten mündlich mitteilen. Verschicken Sie keine Passwörter, denn diese Daten können im schlimmsten Fall von anderen Leuten abgegriffen werden. Sollten Sie doch ein Passwort versenden müssen, sollten Sie es nicht unverschlüsselt weitergeben, zum Beispiel in einer E-Mail.
- Sichern Sie Ihren Computer mit einem Passwort: Natürlich ist es wieder ein Passwort mehr, das Sie sich merken müssen, allerdings schützen Sie so sämtliche Daten gegenüber Dritten, die unbeaufsichtigt an Ihren Rechner gehen könnten. Zusätzlich sollten Sie einstellen, dass das Passwort nicht nur beim erstmaligen Login erscheint, sondern der Computer auch automatisch gesperrt wird, wenn der Bildschirmschoner angeht. Das ist insbesondere der Fall, wenn der Computer in einem öffentlichen Raum steht. So verhindern Sie, dass jemand auf die dort gespeicherten Informationen oder gespeicherten Passwörter zugreifen kann.
Wie kann ein Passwort geknackt werden?
Prinzipiell gibt es zwei Wege, wie sich Kriminelle mit Ihrem Passwort Zugriff auf Ihre Konten verschaffen können: Zum einen, indem sie das Passwort abfangen und es so stehlen. Dafür gibt es eine Vielzahl von Methoden, die an verschiedenen Stellen im Anmeldeprozess ansetzen. Wir stellen Ihnen im Folgenden die üblichsten vor:
- Phishing: Beim Phishing wird mithilfe von Täuschungen versucht, Anmeldedaten von Nutzern abzugreifen. Dazu werden etwa Phishing-E-Mails verschickt, die Nutzer zur Eingabe ihres Passworts auf einer - natürlich gefälschten - Website auffordern. Damit das funktioniert, sieht die Website meist täuschend echt aus. Phishing funktioniert aber auch per Telefon. Dann fragt beispielsweise ein angeblicher Kundensupport die Anmeldedaten für einen bestimmten Account ab. Wie Sie sich effektiv gegen Phishing-Angriffe schützen können, erfahren Sie in diesem Artikel.
- Keylogger: Sogenannte Keylogger sind Schadprogramme, die auf Ihrem Computer installiert werden. Sie zeichnen alle Eingaben auf, die Sie auf Ihrer Tastatur tätigen - darunter eben auch Passwörter. Kriminelle müssen die Passwörter dann nur noch aus dem Transkript extrahieren und erhalten so Zugang zu Ihren Accounts. Gegen Keylogger können Sie sich glücklicherweise recht effektiv mit dem in Windows bereits integrierten Windows Defender. Stellen Sie also sicher, dass dieser aktiviert ist: Geben Sie dazu "Windows-Sicherheit" in das Windows-Suchfeld ein und klicken Sie anschließend auf "Viren- & Bedrohungsschutz".
- Sniffing: Wenn Sie ein Passwort für einen Online-Dienst an Ihrem Computer eingeben, muss es natürlich zunächst zu dem jeweiligen Anbieter übertragen werden. Hier setzt das sogenannte Sniffing an. Kriminelle fangen den gesamten Datenverkehr zwischen Ihrem Computer und dem Internet ab und extrahieren daraus die Anmeldedaten. Zum Problem kann das werden, wenn Sie in einem ungesicherten, öffentlichen WLAN unterwegs sind – nicht so sehr im gesicherten Heimnetzwerk. Sind Sie in einem öffentlichen WLAN eingeloggt, nutzen Sie am besten ein VPN.
Zum anderen können Hacker das Passwort „knacken“. Sie kennen das Passwort in diesem Fall nicht, sondern versuchen, es mit verschiedenen Methoden zu erraten. Die Herangehensweise ist grundsätzlich immer ähnlich: Die Kriminellen geben so lange mögliche Passwörter ein, bis eines funktioniert. In welcher Reihenfolge mögliche Passwörter probiert werden, variiert allerdings zwischen den Methoden:
- Passwort aus einer Datenbank: Hierbei werden zunächst solche Passwörter probiert, die bereits bei einem Datenleak veröffentlicht wurden. Nach den Leaks kursieren im Darknet meist Datenbanken mit riesigen Mengen von Passwörtern. Darin sind natürlich besonders die Passwörter, die häufig von anderen Nutzern verwendet werden. Wenn Sie Pech haben, enthält die Datenbank aber auch genau das Passwort, das Sie für ein Benutzerkonto verwenden. Übrigens: Auch wenn eine Datenbank von einem bestimmten Online-Anbieter stammt, nutzen Kriminelle sie durchaus auch für andere Dienste. Wurde eines Ihrer Passwörter kompromittiert, sollten Sie es also unbedingt bei allen Accounts austauschen, bei denen Sie es verwenden.
- Passwörter aus einem Wörterbuch: Diese Methode ähnelt sehr der vorherigen, nur, dass Angreifer in diesem Fall anstelle einer Datenbank ein Wörterbuch als Grundlage nutzen. Sie probieren dann mögliche Wörter und Wortkombinationen als Passwort aus. Auch leichte Abwandlungen, etwa durch das Hinzufügen einer Zahlenfolge am Ende („ApfelBirne123“), werden probiert.
- Brute-Force-Attacke: Bei einer Brute-Force-Attacke probieren Kriminelle „mit roher Gewalt“, ein Passwort zu erraten. Dafür werden alle möglichen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen ausprobiert, bis das richtige Passwort gefunden wurde. Das geht bei kurzen unkomplizierten Passwörtern oft recht schnell, dauert bei komplexen und langen Kennwörtern aber selbst mit moderner Hardware deutlich länger.
Wie merke ich, ob ein Passwort kompromittiert wurde?
Ganz offensichtlich wird die Kompromittierung, wenn Ihr Account übernommen wurde. Wie genau Sie das erkennen und was Sie in diesem Fall tun können, lesen Sie in dieser FAQ: So schützen Sie sich vor Account-Hijacking.
Häufig merken Sie aber gar nicht sofort, dass Kriminelle Ihre Daten abgegriffen haben. Deshalb sollten Sie checken, ob die E-Mail-Adresse, die Sie für Anmeldungen verwenden, in einem Datenleak gefunden wurde. In diesem Fall können Sie davon ausgehen, dass wohl auch das Passwort betroffen ist. Ändern Sie daher umgehend das Passwort bei dem betroffenen Account. Verwenden Sie das Passwort noch bei einer anderen Website, ändern Sie es unbedingt auch dort! Ihre E-Mail-Adresse können Sie zum Beispiel auf der Website https://haveibeenpwned.com oder mit dem Identity Leak Checker des Hasso-Plattner-Instituts unter https://sec.hpi.de/ilc/search überprüfen.
Auch die Passwortsicherheit lässt sich theoretisch präventiv überprüfen. Obwohl das auf den ersten Blick nach einer guten Idee klingt, sollten Sie Ihr Passwort dabei aber nicht einfach bei einer Website eingeben, die verspricht, es auf seine Sicherheit zu prüfen. Denn selbst, wenn die Website an sich vertrauenswürdig ist, könnte das Passwort bei der Übertragung immer noch abgefangen werden. Das war zum Beispiel vor Jahren bei der Website „Teste (d)ein Passwort“ der Fall, wie heise online berichtete.
Wie merke ich mir meine Passwörter?
Wenn Sie sich viele Passwörter merken müssen, können Sie schnell mal durcheinander kommen - erst recht, wenn sie auch noch lang und kompliziert sind. Für diesen Fall gibt es allerdings zwei Hilfsmittel:
Sie können sich die Passwörter offline mit Stift und Papier notieren. Verwahren Sie den Zettel dann an einem sicheren Ort. Um die Sicherheit zu erhöhen, versuchen Sie, Passwort und Benutzername nicht an einem Ort aufzuschreiben.
Möchten Sie Anmeldedaten digital speichern, stellen Sie unbedingt sicher, dass die Passwörter verschlüsselt abgespeichert werden. Sie können etwa in vielen Browsern standardmäßig ohne eine Passworteingabe auf gespeicherte Anmeldedaten zugreifen. Meist kann man allerdings ein Passwort festlegen, um die Login-Daten vor unbefugten Zugriffen zu sichern.
Alternativ können Sie einen Passwortmanager verwenden. Der speichert die Passwörter nicht nur, sondern hilft bei der Erstellung neuer Kennwörter, fügt Anmeldedaten häufig automatisch auf Websites ein und synchronisiert die Passwort-Bibliothek über verschiedene Geräte. Achten Sie bei einem Passwortmanager lediglich darauf, dass er aus einer vertrauenswürdigen Quelle stammt. Außerdem sollten Sie das Masterpasswort für den Passwortmanager möglichst sicher gestalten. Beachten Sie dazu auch unsere Hinweise oben. Tipp: Die Kollegen der c’t haben Passwortmanager im vergangenen Jahr umfangreich auf Funktionen und Datenschutz getestet.
(anka)