Viel hilft viel. Wählen Sie möglichst lange Passwörter mit einer Mischung aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen. © Getty Images/iStockphoto
Passwörter nerven. Gerade deshalb nutzen viele Menschen schwache Kennwörter. Wir zeigen, wie Sie Ihre so stark machen, dass Sie sie möglichst nie mehr ändern müssen.
Nie wieder das Passwort wechseln: Das ist das Ziel des alljährlichen „Ändere-dein-Passwort“-Tages am 1. Februar. Der Name des Aktionstages ist inzwischen irreführend, denn Fachleute sind sich längst einig, dass es besser ist, wenn Nutzerinnen und Nutzer nicht ständig ihr Kennwort wechseln.
Früher hielt man regelmäßige Änderungen für eine gute Idee. Doch in der Praxis zeigte sich, dass das kein Plus an Sicherheit bringt: Menschen greifen oft zu schwachen Kennwörtern, wenn sie sie ständig ändern müssen. Kein Wunder, schließlich muss man sie sich ja irgendwie merken können. Daher rät unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Jahren vom routinemäßigen Passwort-Wechsel ab.
Am „Ändere-dein-Passwort“-Tag geht es deshalb inzwischen eher darum, alle Online-Konten ein für alle Mal so abzusichern, dass man die Kennwörter möglichst nie mehr ändern muss. Mit den folgenden Methoden und Tipps kann das gelingen.
Methode 1: Zwei-Faktor-Schutz
Eine der sichersten Login-Methoden ist die Zwei-Faktor-Authentifizierung (2FA). Hier kommt zum Passwort ein zweites Element hinzu: Sei es ein per Authentifizierungs-App übermittelter Zahlencode oder ein spezieller 2FA-Stick.
Der Faktor Wissen (Passwort) wird also durch den Faktor Besitz (Gerät) ergänzt: Nutzende brauchen entweder ihr Handy, um den Zahlencode zu empfangen oder eben einen 2FA-Stick. Angreifer müssten so nicht nur das Passwort kennen, sondern auch noch Zugriff auf die Hardware ihres Opfers haben. Beides zusammen ist ziemlich unwahrscheinlich. Dennoch sollte man auch bei 2FA-Nutzung starke Passwörter verwenden (siehe Methode 4).
Der Zwei-Faktor-Schutz funktioniert viel einfacher als es klingen mag – oft dauert die Eingabe des zweiten Faktors nur eine Sekunde. Sehr viele Online-Dienste ermöglichen inzwischen 2FA, bei einigen Anbietern ist die Methode sogar Pflicht – etwa beim Online-Banking.
Methode 2: Passkeys
Ähnlicher sicher wie der Zwei-Faktor-Schutz, aber bequemer sind sogenannte Passkeys. Diese Technik ist auch als „passwortlose Anmeldung“ bekannt. Nutzende brauchen sich dabei gar kein Kennwort mehr zu merken.
Stattdessen identifizieren sie sich über biometrische Methoden wie Gesichts-Scans oder das Einlesen ihres Fingerabdrucks. Das funktioniert meist über das eigene Handy oder den Computer. Passkeys sind noch relativ neu, gelten aber als Technik der Zukunft und sind bereits auf vielen Portalen verfügbar.
Methode 3: Passwortmanager
Passwortmanager lösen zwei Probleme auf einmal: Sie erstellen sehr lange und komplexe Passwörter – und sie nehmen Nutzenden die Last ab, sich all diese Kennwörter zu merken. Stattdessen muss man nur noch ein einziges Kennwort im Kopf behalten: das Masterpasswort. Dieses schließt den Passwortmanager auf – und der trägt das jeweils benötige Account-Kennwort dann auf Nachfrage eigenständig in Apps und auf Webseiten ein.
Das ist ein doppelter Fortschritt gegenüber selbst festgelegten Kennwörtern, die relativ einfach sein müssen, weil man sie sich sonst nicht merken kann. Passwortmanager lassen sich unter anderem als App, im Browser oder als Teil des Betriebssystems nutzen.
Diese Methode bringt aber auch zwei potenzielle Probleme mit sich: Vergisst man das Masterpasswort oder verliert man das Gerät, auf dem der Passwortmanager läuft, ist man möglicherweise aus den eigenen Accounts ausgesperrt. Schließlich kennt man die einzelnen Passwörter ja gar nicht mehr. Und tritt bei einem Anbieter ein Datenleck auf, könnten auf einen Schlag alle Passwörter gestohlen werden, falls sie per Cloud synchronisiert werden – in der Vergangenheit gab es solche Lecks bereits.
Methode 4: Starke Passwörter
Die schwächste Methode besteht darin, sich ganz auf selbst gemachte Passwörter zu verlassen. Wer das tut, sollte zumindest einige grundlegende Regeln befolgen, um Hacker abzuwehren:
- Verwenden Sie bei jedem Konto ein anderes Passwort. Falls Sie ein und dasselbe Kennwort auf mehreren Portalen nutzen, gerät möglicherweise ein Account mit Bankdaten in Gefahr, nur weil Ihr Katzenforum gehackt wurde.
- Verwenden Sie nur Passwörter mit mindestens acht Zeichen – je mehr, desto besser.
- Nutzen Sie niemals Ihr Geburtsdatum, den Namen Ihrer Kinder oder Haustiere, andere leicht zu erratende Daten oder Trivial-Kennwörter wie „Passwort“, „12345678“, „abcdefg“, „qwertz“ oder „iloveyou“.
- Wählen Sie stets Kombinationen, in denen Klein- und Großbuchstaben, Ziffern und Sonderzeichen vorkommen. Ansonsten machen Sie es Angreifern leicht, da diese dann nur eine relativ geringe Anzahl von Zeichen ausprobieren müssen, um Ihr Passwort zu knacken.
Tipp: Basis-Sätze basteln
Da Sie wahrscheinlich Accounts auf zahlreichen Portalen haben, ist es sinnvoll, sich einen Basis-Satz zu bauen und diesen dann zu variieren.
Beispiel: Ihr Sohn heißt Alexander und lebt in Hamburg. Ihr Basis-Satz könnte daher lauten: „Unser erstes Kind Alexander wohnt in Hamburg“.
- Nehmen Sie von jedem Wort den ersten Buchstaben, aus „erstes“ machen Sie „1.“ Ihr Basis-Passwort wäre dann U1.KAwiH.
- Variieren Sie das Kennwort auf jeder Plattform – etwa, indem Sie vom Portalnamen stets den letzten Buchstaben und die Zeichenanzahl einbeziehen.
Beispiel: Der letzte Buchstabe von Netflix ist „x“ und der Name „Netflix“ besteht aus sieben Zeichen. Ihr Netflix-Passwort hieße dann also U1.KAwiHx7. - Die Kennwörter für Ihre E-Mail-Konten sollten besonders sicher sein. Das können Sie erreichen, indem Sie Ihren Basis-Satz noch um einen weiteren Satz ergänzen, etwa: „Mein Mail-Konto ist superduperextrasicher!“. Wenn Sie auch mit diesem Satz so verfahren wie oben geschildert, würde Ihr Kennwort für ein GMX-Postfach dann U1.KAwiHx3MM-Kisdes! lauten.
Weitere Tipps: Geräte und E-Mail-Konten schützen
Egal für welche Methode Sie sich entscheiden: Es gibt einige grundlegende Handgriffe, die Ihre Cybersicherheit stärken.
- Schützen Sie Ihre Handys, Tablets und Computer stets mit einem biometrischen Merkmal, einem Passwort oder einem Pin-Code. Ansonsten haben Fremde Zugriff auf Ihre Daten, falls Sie das Gerät verlieren oder es gestohlen wird.
- Schützen Sie Ihre E-Mail-Konten mit besonders starken Passwörtern. Denn: Wenn Sie bei einem Online-Dienst Ihr Passwort zurücksetzen, schickt Ihnen das jeweilige Portal meist eine E-Mail. Hat ein Krimineller Zugriff auf Ihren E-Mail-Account, kann er also einfach Ihre Passwörter ändern.
- Schützen Sie sich vor Phishing – dabei hilft Ihnen unser Phishing-Ratgeber. Phishing ist die wohl häufigste Angriffsform, mit der Passwörter gestohlen werden. Oft läuft das über täuschend echt wirkende Mails oder Messenger-Nachrichten: Die fordern Nutzerinnen und Nutzer auf, Links anzuklicken und dann auf den verlinkten Betrugs-Seiten ihre Anmelde-Daten einzugeben. So können die Täter sie stehlen.
- Kontrollieren Sie mithilfe von Seiten wie HaveIbeenPwnd oder dem HPI Identity Leak Checker, ob Ihre Login-Daten bereits gestohlen wurden. Falls ja, sollten Sie die Passwörter der betroffenen Konten sofort ändern. Auch manche Sicherheitsprogramme informieren automatisch über bekanntgewordene Datenlecks.
- Vorsicht bei Sicherheitsfragen: Viele Portale stellen Ihnen Sicherheitsfragen, wenn Sie Ihr Passwort vergessen haben. Meiden Sie Fragen, deren Antworten Fremde leicht rausfinden können – etwa den Mädchennamen Ihrer Mutter.
Fazit: Zwei-Faktor-Schutz oder Passkeys
Nach aktuellem Stand der Technik sind die beiden erstgenannten Methoden – Zwei-Faktor-Schutz und Passkeys – die sichersten Wege, um Ihre Login-Daten vor Angriffen zu schützen. Wir raten dazu, eines dieser beiden Verfahren einzusetzen.
-
Doppelt hält besser
- Wer Online-Konten nur per Passwort sichert, macht es Hackern recht leicht. Authentifizierungs-Apps sorgen für doppelten Schutz – gratis. Zwei sind sehr nutzerfreundlich.
-
Betrüger setzen verstärkt auf Phishing-Links in Suchmaschinen
- Bei Phishing-Mails sind viele Menschen inzwischen vorsichtig. Datendiebe setzen zunehmend auf eine neue Masche – Links in der Trefferliste von Suchmaschinen.
-
So schützen Sie sich vor Phishing
- Angreifer fischen online nach Login-Daten. Wir erklären in 12 Schritten, wie Sie Ihr Geld und Ihre Konten schützen – und wann Bank oder Versicherung helfen.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Kommentarliste
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Test.de hat es ja schon kommentiert, aber ich will das auch noch einmal einordnen. Die 'Warnungen' vom 1.2. sind fachlich mindestens fragwürdig und auf dem Niveau von seichten Internetforen.
1. Keine Methode ist ausreichend sicher, um den Angriffsvektor Mensch / Social Engineering vollständig zu mitigieren.
2. Passwörter zu wechseln ist in der Fachwelt schon seit fast 10 Jahren nicht mehr Standard. Auch NIST und BSI sind hier konsequenterweise vor 3 Jahren nachgezogen.
3. Leider liegt die Umsetzung der Hinweise von Test überwiegend nicht in der Hoheit des Anwenders. Wenn der Server alle 90 Tage einen Pw Wechsel erzwingt, kann sich der Anwender auf den Kopf stellen, aber es ändert nichts daran.
4. Man weiß nicht, welche Maßnahmen serverseitig implementiert sind. Wenn die Passwörter gar nicht oder nur schwach verschlüsselt sind, kann man als Anwender nichts machen.
5. Transportverschlüsselung, und viele weitere Argumente,..
Disclosure: arbeite seit vielen Jahren in Bereich InfoSec
Lieber Eliasss72, Danke für Ihren Kommentar. In der Kürze, in der Sie das Ganze aktuell formulieren, haben Ihre Aussagen einen reinen Behauptungs-Charakter, der durch keinerlei Fakten unterfüttert wird. Gerne können Sie uns sowie anderen Lesenden erklären, warum Passkeys „auf gar keinen Fall“ verwendet werden sollten, obwohl die Technik unter anderem vom Bundesamt für Sicherheit in der Informationstechnik, der FIDO-Alliance, der Polizei, Verbraucherzentralen und dem US-amerikanische National Institute of Standards and Technology empfohlen wird. Unsere Lesenden wären sicherlich ebenfalls dankbar für einen Beleg zu Ihrer These, dass „ALLE Passwortmanager bereits sehr einfach gehackt“ worden sind. Besten Dank im Voraus!
Naja, woher haben Sie - test.de - Ihre Tipps her? :-/
Methode 1: Zwei-Faktor-Schutz = gut
Methode 2: Passkeys = auf gar kein Fall!
Methode 3: Passwortmanager = Ignorieren Sie diesen Tipp. ALLE Passwortmanager wurden bereits sehr einfach gehackt.
Methode 4: Starke Passwörter = ok