Sichere Passwörter erstellen
Wer die Wahl hat, hat die Qual – heißt es. Besonders bei der Wahl der richtigen Passwörter tun sich viele Internetnutzerinnen und -nutzer schwer. Wen wundert's da, dass schlecht gewählte Passwörter wie "123456" oder "qwert" auf der Hitliste besonders häufiger IT-Sicherheitsdefizite ganz weit oben stehen?
Auch interessant: Passkeys - Anmelden ohne Passwort
Bei denen, die sich stattdessen die Mühe machen, ein etwas komplizierteres Passwort zu nutzen, kommt es nicht selten vor, dass ein und dasselbe Passwort für viele verschiedene Programme, Dienste beziehungsweise Zugänge genutzt wird.
Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.
Wie sicher ist mein Passwort?
Hacker haben Werkzeuge, die vollautomatisch alle möglichen Zeichenkombinationen ausprobieren, ganze Wörterbücher einschließlich gängiger Kombinationen aus Wörtern und angefügten Zahlen testen oder einmal im Internet veröffentlichte Zugangsdaten bei allen möglichen Diensten durchprobieren. Um das zu verhindern, sollte ein Passwort bestimmte Qualitätsanforderungen erfüllen und immer nur für einen Zugang genutzt werden.
Hinzu kommt, dass Passwörter nicht nur zum Schutz von vertraulichen Daten dienen. Ein Beispiel: Inzwischen ist es üblich, dass man sich bei unterschiedlichen Anbietern im Internet jeweils ein Konto oder einen Zugang (Account) anlegen kann. Die Anmeldung an diesem Account wird mit einem Passwort geschützt. Was könnte passieren, wenn sich jemand unter Ihrem Namen dort anmeldet? Wer möchte schon gerne, dass Fremde unter dem eigenen Namen E-Mails verschicken oder teure Waren im Internet ersteigern können?
Zwei-Faktor-Authentisierung für höhere Sicherheit:
Mittlerweile bieten viele Online-Dienstleister Verfahren an, mit denen die Nutzerinnen und Nutzer sich zusätzlich zur Passworteingabe identifizieren können, wenn sie sich in ein Konto einloggen. Diese sogenannte Zwei-Faktor-Authentisierung gibt es in zahlreichen Varianten, die vom individuellen Code per SMS bis zu einem hardware-gestützten TAN-Generator reichen können. In jedem Fall bietet ein Log-In mit einem zweiten Faktor ein höheres Maß an Sicherheit als nur die Eingabe von Benutzername und Passwort. Dabei bieten vor allem hardware-gestützte Verfahren ein hohes Maß an Sicherheit und sollten wenn möglich ergänzend zu einem starken Passwort genutzt werden.
Passwort Check – Tipps für ein gutes Passwort
- Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können. Hierfür gibt es unterschiedliche Hilfsstrategien: Der eine merkt sich einen Satz und benutzt von jedem Wort nur den ersten Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5-6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort.
- Grundsätzlich gilt: Je länger, desto besser. Für ein gutes Passwort sind Länge und Komplexität entscheidend. Ein kurzes und komplexes Passwort sollte mindestens acht Zeichen lang sein und aus vier verschiedenen Zeichenarten (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) bestehen. Ein langes und weniger komplexes Passwort sollte mindestens 25 Zeichen lang sein. Bei Verschlüsselungsverfahren für WLAN wie zum Beispiel WPA2 oder WPA3 sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren.
- Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…). Manche Anbieter von Onlinediensten machen technische Vorgaben für die verwendbaren bzw. zu verwendenden Zeichen. Wenn Ihr System Umlaute zulässt, bedenken Sie, dass bei Reisen ins Ausland auf landestypischen Tastaturen diese Zeichen eventuell nicht vorhanden sind.
- Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Passwörter sollten zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie "asdfgh" oder "1234abcd" bestehen. Manche Anbieter gleichen Passwörter gegen eine sogenannte "black list" ab, in der genau solche nicht geeigneten Passwörter hinterlegt sind. Möchte man sie nutzen, erhält man einen Hinweis, dass das Passwort in dieser Form nicht zugelassen bzw. nicht sicher ist.
- Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen "$, !, ?, #" am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert.
- Nutzen Sie einen Passwortmanager, um Ihre unterschiedlichen Passwörter gut verwalten zu können – und Ihr starkes Passwort, um diesen abzusichern. So müssen Sie sich nur ein gutes Passwort merken und können trotzdem sehr starke, überall unterschiedliche Passwörter verwenden.
- Auf besonders in unserer Sprache verwendete Zeichen und Umlaute wie z.B. "ä,ö,ü, ß, €, ¢," sollten Sie verzichten, da diese bei (nicht deutschsprachigen) Diensten und Tastaturen manchmal nicht verwendbar bzw. nicht verfügbar sind oder anders kodiert werden.
Länge und Komplexität: zwei entscheidende Merkmale
Ein starkes Passwort kann "kürzer und komplex" oder "lang und weniger komplex" sein. Doch wie lang und wie komplex sollte es mindestens sein? Folgende Beispiele geben Orientierung:
Ein Passwort ist sicher, wenn es beispielsweise
- 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern). Es ist dann lang und weniger komplex.
- 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden. Es ist dann kürzer und komplex.
- 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert.
Tipps finden Sie in unserem Faktenblatt zu sicheren Passwörtern – im praktischen DINA4-Format passt es an jede Pinnwand: Hier geht es zum Download des Faktenblattes
Der Cybersicherheits-Lotse ist eine Orientierungshilfe für Verbraucherinnen und Verbraucher, die gezielt und über das Informations- und Beratungsangebot des BSI hinausgehend zu weiteren Akteuren im Digitalen Verbraucherschutz und deren Unterstützungsangeboten vermittelt. Wenn Sie uns Feedback zu unserem neuen Tool geben möchten, hier geht es zu einer kurzen Umfrage.
- Kurz-URL:
- https://www.bsi.bund.de/dok/6596574