Sind Ihre Passwörter wirklich sicher? Was die meisten Menschen falsch machen
Beginnen wir mit einer unbequemen Frage: Wie viele Ihrer Online-Konten teilen sich dasselbe Passwort?
Wenn die Antwort mehr als eins ist, sind Sie nicht allein. Studien zeigen durchgängig, dass die durchschnittliche Person Passwörter für mindestens fünf Konten wiederverwendet. Viele Menschen nutzen dasselbe Passwort – oder leichte Variationen davon – für Dutzende von Diensten. Dies ist eines der größten Sicherheitsrisiken, denen die meisten Menschen online ausgesetzt sind, und es ist vollständig vermeidbar.
Die wahre Gefahr: Datenlecks und Credential Stuffing
Die meisten Menschen denken bei Hacking an jemanden, der sie gezielt angreift, ihr Passwort errät oder ihr Konto mit Brute Force knackt. Die Realität sieht ganz anders aus.
Die überwiegende Mehrheit der Kontokompromittierungen geschieht durch Datenlecks. Ein Unternehmen, bei dem Sie ein Konto haben, wird gehackt. Die Datenbank mit Benutzernamen und Passwörtern wird gestohlen und im Internet veröffentlicht oder im Darknet verkauft. Das passiert bei großen Unternehmen mit alarmierender Regelmäßigkeit.
Hier wird die Passwort-Wiederverwendung katastrophal. Angreifer nehmen die geleakten E-Mail-Passwort-Kombinationen und probieren sie automatisch bei Hunderten anderer Dienste aus: Gmail, Amazon, Banking-Seiten, soziale Medien. Das nennt sich Credential Stuffing, und es funktioniert, weil so viele Menschen überall dasselbe Passwort verwenden.
Achtung Wenn Sie dasselbe Passwort für ein kleines Online-Forum, das gehackt wurde, und für Ihr primäres E-Mail-Konto verwendet haben, hat ein Angreifer, der die Forum-Datenbank erhält, nun Zugriff auf Ihre E-Mail. Von Ihrer E-Mail aus können sie Passwörter für praktisch jedes andere Konto zurücksetzen, das Sie besitzen.
Die häufigsten Passwort-Fehler
1. Passwörter wiederverwenden
Dies ist die Kardinalsünde der Passwortsicherheit. Wenn Sie ein Passwort wiederverwenden, gefährdet ein Datenleck bei einem Dienst jeden Dienst, bei dem Sie dieses Passwort verwendet haben.
2. Schwache Passwörter verwenden
Trotz jahrelanger Aufklärungskampagnen bleiben die häufigsten Passwörter erschreckend einfach. „123456", „password", „qwerty" und „admin" stehen durchgängig an der Spitze der Listen. Diese können in unter einer Sekunde geknackt werden.
3. Vorhersagbare Muster
Viele Menschen denken, sie seien clever mit Mustern wie:
- Eine „1" oder ein „!" am Ende eines gewöhnlichen Worts anhängen
- Nur den ersten Buchstaben großschreiben
- Ein Basispasswort mit dem Seitennamen verwenden (z.B. „MeinPasswort-facebook")
- Buchstaben durch Zahlen ersetzen („p@ssw0rd")
Angreifer kennen all diese Muster. Ihre Tools sind speziell darauf ausgelegt, diese Variationen auszuprobieren. Ein Passwort, das für einen Menschen komplex aussieht, kann für ein automatisiertes Knack-Tool trivial sein.
4. Persönliche Informationen verwenden
Tiernamen, Geburtstage, Jahrestage, Kindernamen, Lieblingssportvereine. All diese Informationen sind oft öffentlich in sozialen Medien verfügbar. Wenn Ihr Passwort „fluffy2019" ist und Ihr Instagram voller Katzenfotos mit #FluffyDieKatze, sind Sie nicht so sicher, wie Sie denken.
5. Kompromittierte Passwörter nie ändern
Selbst nachdem sie über ein Datenleck informiert wurden, ändern viele Menschen ihre Passwörter nicht. Das gibt Angreifern ein erweitertes Zeitfenster, um die geleakten Zugangsdaten auszunutzen.
Wussten Sie? Das größte bekannte Datenleck hat über 3,2 Milliarden E-Mail- und Passwortkombinationen in einem einzigen Leak offengelegt. Es besteht eine erhebliche Wahrscheinlichkeit, dass mindestens eines Ihrer Passwörter in einem früheren Datenleck offengelegt wurde – auch wenn Sie nie benachrichtigt wurden.
Was macht ein Passwort stark?
Ein starkes Passwort hat drei Schlüsseleigenschaften:
- Länge. Dies ist der wichtigste Faktor. Ein 16-Zeichen-Passwort ist exponentiell schwerer zu knacken als ein 8-Zeichen-Passwort, unabhängig von der Komplexität.
- Zufälligkeit. Es sollte keine Wörterbuchwörter, Namen, Daten oder erkennbare Muster enthalten.
- Einzigartigkeit. Es muss für ein Konto und nur ein Konto verwendet werden.
So beeinflusst die Passwortlänge die Knackzeit bei einem zufälligen Passwort:
| Länge | Nur Kleinbuchstaben | Gemischt mit Zahlen + Sonderzeichen |
|---|---|---|
| 6 Zeichen | Sofort | ~5 Sekunden |
| 8 Zeichen | ~2 Minuten | ~8 Stunden |
| 12 Zeichen | ~200 Jahre | ~34.000 Jahre |
| 16 Zeichen | ~3 Millionen Jahre | Praktisch unknackbar |
Die Erkenntnis ist klar: Länge schlägt Komplexität. Ein 16-Zeichen-Zufallspasswort nur aus Kleinbuchstaben ist weit stärker als ein 8-Zeichen-Passwort mit Großbuchstaben, Zahlen und Sonderzeichen.
Die Lösung: Passwortmanager und einzigartige Passwörter
Der praktischste Weg, starke, einzigartige Passwörter für jedes Konto zu verwenden, ist ein Passwortmanager. Ein Passwortmanager speichert alle Ihre Passwörter in einem verschlüsselten Tresor, geschützt durch ein einziges Master-Passwort. Sie müssen sich nur ein Passwort merken; der Manager erledigt den Rest.
Beliebte Passwortmanager sind Bitwarden (kostenlos und Open Source), 1Password und KeePass. Die meisten Browser haben auch eingebaute Passwortmanager, die recht gut funktionieren.
So funktioniert ein Passwortmanager
- Wenn Sie ein Konto erstellen oder ein Passwort ändern, generiert der Manager ein langes, zufälliges Passwort.
- Das Passwort wird in Ihrem verschlüsselten Tresor gespeichert.
- Wenn Sie eine Website besuchen, füllt der Manager die Zugangsdaten automatisch aus.
- Sie müssen die einzelnen Passwörter nie merken, eintippen oder auch nur sehen.
Handeln Sie noch heute: Zwei Schritte, die Sie sofort umsetzen können
Sie müssen nicht Ihr gesamtes digitales Leben auf einmal umkrempeln. Beginnen Sie mit diesen zwei konkreten Maßnahmen.
Schritt 1: Prüfen Sie, ob Ihre Passwörter geleakt wurden
Finden Sie zunächst heraus, ob Ihre bestehenden Passwörter bereits in bekannten Datenlecks offengelegt wurden. So erfahren Sie, welche Konten unmittelbar gefährdet sind.
Tipp Sie können jetzt sofort kostenlos prüfen, ob Ihre Passwörter in bekannten Datenleck-Datenbanken auftauchen: Prüfen Sie, ob Ihr Passwort geleakt wurde. Die Prüfung erfolgt sicher – Ihr vollständiges Passwort wird nirgendwohin gesendet.
Schritt 2: Generieren Sie starke Passwörter für Ihre wichtigsten Konten
Beginnen Sie mit den Konten, die am meisten zählen: Ihre primäre E-Mail, Ihre Bank und jedes Konto, das Zahlungsinformationen speichert. Ersetzen Sie diese Passwörter durch starke, zufällig generierte.
Tipp Nutzen Sie unseren kostenlosen Passwortgenerator, um sofort starke, einzigartige Passwörter zu erstellen: Sicheres Passwort generieren. Sie können Länge und Zeichentypen an die Anforderungen jeder Website anpassen.
Über Passwörter hinaus: Zwei-Faktor-Authentifizierung aktivieren
Selbst das stärkste Passwort reicht nicht aus, wenn der Dienst, der es speichert, gehackt wird. Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Schutzebene hinzu: Nach Eingabe Ihres Passworts müssen Sie auch einen Code von Ihrem Handy, einer Authentifizierungs-App oder einem physischen Sicherheitsschlüssel bereitstellen.
Mit aktivierter 2FA reicht ein geleaktes Passwort allein nicht aus, damit ein Angreifer auf Ihr Konto zugreifen kann. Aktivieren Sie 2FA bei jedem Konto, das es anbietet – insbesondere E-Mail, Banking und soziale Medien.
Achtung SMS-basierte 2FA (Codes per SMS) ist besser als nichts, aber anfällig für SIM-Swapping-Angriffe. Authentifizierungs-Apps (Google Authenticator, Authy) oder Hardware-Schlüssel (YubiKey) sind deutlich sicherer.
Bessere Gewohnheiten aufbauen
Passwortsicherheit ist keine einmalige Korrektur. Es ist eine fortlaufende Praxis:
- Nutzen Sie einen Passwortmanager für alle Konten.
- Generieren Sie ein einzigartiges Passwort für jedes neue Konto.
- Aktivieren Sie 2FA überall dort, wo es verfügbar ist.
- Prüfen Sie auf Datenlecks regelmäßig, mindestens ein- oder zweimal im Jahr.
- Ändern Sie kompromittierte Passwörter sofort, wenn Sie über ein Datenleck informiert werden.
Beginnen Sie noch heute, Ihre Konten zu sichern:
Beide Tools sind kostenlos, laufen in Ihrem Browser und senden Ihre Daten nirgendwohin.