Passwörter
Wie sollte ein sicheres Passwort aussehen?
Die wichtigsten Eigenschaften eines sicheren Passwortes sind Länge (Anzahl der Zeichen) und Komplexität (Anzahl der Zeichenarten: Klein-, Großbuchstaben, Zahlen, Sonderzeichen). Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt:
- 20 - 25 Zeichen aus zwei Zeichenarten
- 8-12 Zeichen aus vier Zeichenarten
- 8 Zeichen aus drei Zeichenarten, wenn 2FA verwendet wird
Darüber hinaus sollte ein Passwort nicht aus Eselsbrücken wie Geburtsjahr des Kindes, Name des Haustiers oder sonstigen Wörtern aus dem Wörterbuch bestehen. Allerdings ist es möglich, 5-7 willkürlich gewählte Wörter zu nehmen, welche mit bspw. Leerzeichen, Bindestrich (-) oder Unterstrich (_) getrennt werden.
Beispiel:
Blaubeere-Saft-Konzentrat-Gerade-Oligarchie-Fahrenheit
Für den Fall, dass Anbieter Opfer eines Datenleaks werden, sollten unterschiedliche Passwörter für jeden Account verwendet werden.
Wie kann ich meinen Account noch sicherer machen? Sollte ich regelmäßig mein Passwort ändern?
Inzwischen wird es nicht mehr empfohlen, sein Passwort regelmäßig zu ändern. Es kann dazu verleiten, einfachere, leichter zu erratenden Passwörter zu wählen. Wenn der Anbieter allerdings Opfer eines Datenleaks wird, sollte das Passwort einmalig geändert werden. Eine Änderung des Passwortes kann auch nicht schaden, wenn festgestellt wird, dass es unsicher ist oder häufig verwendet wird.
Stattdessen ist es sinnvoller, aus 2FA zu setzen, oder mit Hilfe eines Passkeys ganz auf Passwörter zu verzichten.
Was ist 2-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA)?
Authentifizierung bedeutet nichts anderes, als dass du, bei der Anmeldung, dem Anbieter beweist, dass der angegebene Account tatsächlich dir gehört. Dies geschieht mit den folgenden Authentifizierungs-Faktoren:
- Besitz (z. B. Code auf dem Handy)
- Wissen (z. B. Pin, Passwort)
- Biometrie (z. B. Fingerabdruck)
Bei der 2FA werden zwei dieser Faktoren eingesetzt. Bspw. wird ein Passwort eingegeben (Wissen) und der Fingerabdruck gescannt (Biometrie).
Was ist ein Passkey?
Der Begriff bezeichnet eine Möglichkeit, sich ganz ohne Passwort zu authentifizieren. Das Gerät, mit welchem du dich anmeldest, speichert einen privaten Schlüssel, der zu einem öffentlichen Schlüssel des Anbieters gehört. Sobald die Authentifizierung mit Passkey eingerichtet ist, kann bspw. ein Fingerabdruckscan verwendet werden. Damit werden mind. zwei Faktoren abgedeckt (in dem Fall Besitz und Biometrie). Es ist möglich, physische Sicherheitskopieren herzustellen oder Keys mit der Cloud zu synchronisieren, um für den Fall des Verlustes des Keys abgesichert zu sein.
Aktuell bieten leider noch nicht viele Dienste die Möglichkeit, Passkeys einzurichten.
Wie verwende ich Passkeys?
Um Passkeys für die Anmeldung einzurichten, benötigt man einen Authenticator (Achtung! Nicht verwechseln mit den Authenticator-Apps \[ Verweis auf Frage zu Auth-Apps\]). Das kann ein sog. Hardwaretoken sein, bspw. ein FIDO2-Stick. Hier hat man einen USB-Stick, der sich um die Generierung und Speicherung der Passkeys kümmert.
Alternativ kann man eine Software verwenden. Welche man benötigt, hängt vom benutzten Betriebssystem ab. Die Verbraucherzentrale NRW hat dafür einen Vergleich aufgestellt:
| Betriebssysteme/Hersteller | Authenticator-Modul | Speicherort | Backup | Synchronisierung zwischen mehreren Geräten? | Verwendung für Systeme anderer Hersteller? |
|---|---|---|---|---|---|
| Apple | iCloud-Schlüsselbund | Cloud | iCloud-Schlüsselbund | ja | ja |
| Google (Android) | Google Passwortmanager | Cloud | Google Passwortmanager | ja | ja |
| Windows | TPM (sicheres Hardwaremodul des Gerätes) | lokal | Passwort als Fallback-Lösung, FIDO2-Sicherheitsschlüssel | nein | ja |
Verbraucherzentrale NRW, Artikel vom 25.04.2024, abgerufen am 28.05.2025
Was kann ich machen, um mir Passwörter merken zu können?
Passwörter sollten weder analog noch digital unverschlüsselt notiert werden. Es bietet sich an, einen sog. Passwortmanager einzusetzen (z. B. Keepass, Nordpass). Dieser bietet nicht nur die Möglichkeit, Passwörter sicher verschlüsselt zu speichern, sondern macht dich bspw. auf doppelte oder unsichere Passwörter aufmerksam. Ein integrierter Passwortgenerator ist ebenfalls vorhanden.
Es gibt auch verschiedene Möglichkeiten, das Merken von einzelnen Passwörter zu erleichtern. Bspw. kann man sich einen langen Satz überlegen und die Anfangsbuchstaben der Wörter und Satzzeichen als Passwort verwenden.
Beispiel:
Netzmelden ist eine innovative Plattform des youthprotect e.V., die sich dem Schutz und der Unterstützung von jungen Menschen im digitalen Raum widmet
→ NieiPdyeV,dsdSudUvjMidRw.
Jetzt kann man z. B. noch ein paar Buchstaben mit Zahlen ersetzen (hier e → 3, i→1)
→ N131Pdy3V,dsdSudUvjM1dRw.
Was sind Authenticator-Apps und welche gibt es?
Authenticator-Apps können eingesetzt werden, um seinen Account noch sicherer zu machen. Nach Eingabe des Passworts öffnet man eine App auf bspw. seinem Handy, in welcher für jeden registrierten Anbieter ein Code bereitliegt. Dieser aktualisiert sich regelmäßig. Dafür muss man seinen Account beim jeweiligen Anbieter erst einrichten. Man erhält einen QR-Code, den man einscannen, oder einen Zahlen-Code, den man eingeben kann.
Damit setzt man nicht nur auf den Faktor Wissen (Passwort) sondern auch auf auf den Faktor Besitz (Handy). I.d.R gibt ein die App auch die Möglichkeit, Backups zu erstellen, um für den Fall des Verlust des Gerätes abgesichert zu sein.
Wir empfehlen einen dieser Authenticator-Apps:
- Microsoft Authenticator
| + | - |
|---|---|
| Kein separater Account notwendig - man kann aber seinen Microsoft Account verwenden | kein Support für Wearables |
| integrierter Passwort-Manager |
- Google Authenticator
| + | - |
|---|---|
| von sehr vielen Anbietern unterstützt | Backups sind umständlich |
| kein Account notwendig - kann aber mehrere Google-Accounts verwalten | sammelt sehr viele Daten |
| Sicherheit zweifelhaft - 2020 wurden Sicherheitslücken bekannt | |
| sehr kurze Codes |
- Stratum
| + | - |
|---|---|
| offline benutzbar | Nur für Android |
| sehr einfache Backups | |
| sammelt keine Daten |
- Authy
| + | - |
|---|---|
| von sehr vielen Anbietern unterstützt | Übertragen von Tokens (Code, den man vom Anbieter erhält) umständlich |
| auch am PC verwendbar | |
| an mehreren Geräten verwendbar |
Ich kann mir meine Passwörter nicht merken! Was kann ich machen?
In diesem Fall bietet sich ein Passwort-Manager an. In diesem kann man alle Passwörter, die man verwendet, eintragen. Diese werden mit einem sog. Master-Passwort geschützt und verschlüsselt gespeichert.
Browser bieten einem die Möglichkeit, Passwörter zu speichern. Diese Funktion sollte man aber nicht verwenden, da diese oft unverschlüsselt oder unsicher verschlüsselt abgespeichert werden. Im schlimmsten Fall können Schadprogramme oder Hacker diese ohne großen Aufwand auslesen.
Wir empfehlen einen dieser Passwort-Manager
- Nordpass
| + | - |
|---|---|
| einfache Bedienung | keine lokalen Backups |
| sehr sicher | teuer - kostenlose Version eher unbrauchbar |
| Android/IOS Version sammelt Daten |
- KeePass
| + | - |
|---|---|
| kostenlos - dabei eine sehr gute Ausstattung | Passwörter werden nicht auf Sicherheit geprüft |
| Synchronisierung über mehrere Passwort-Quellen | für Anfänger schwierig |
| Unterstützt Security-Keys, Passkeys und 2FA |
- Bitwarden
| + | - |
|---|---|
| gute kostenlose Version | Passwort-Sharing unsicher |
| einfache Bedienung |
- Proton Pass
