Passwörter sollten mit Bedacht gewählt werden. Denn für Hacker ist es oft ein leichtes Spiel, einfache Ziffernfolgen zu knacken. Diese Tipps sollten Sie beachten.
Ein sicheres Passwort lautet beispielsweise: "wEjfn30w9ei#6Kdn§f?$Ö". Nutzerinnen und Nutzer greifen der Einfachheit halber lieber auf einprägsamere Kennwörter zurück. Doch die Ziffernfolge "123456" wird schnell zur Gefahr.
Denn mehr als 50 Millionen Menschen nutzen diese Kombination, hat das Hasso-Plattner-Institut herausgefunden, das jährlich die beliebtesten - und auch unsichersten - Passwörter veröffentlicht. In den Top Ten des Jahres 2019 finden sich etwa auch "abc123" oder "password".
Hacker erbeuten E-Mail-Adressem
Wer so ein Kennwort benutzt, muss damit rechnen, dass Hacker den Zugang in Windeseile knacken, weiß Jennifer Kaiser, Expertin für Digitales bei der Verbraucherzentrale Rheinland-Pfalz. Oft haben die Diebe durch ein Datenleck E-Mail-Adressen erbeutet. Damit haben sie schon die Hälfte des Schlüssels zu einem Benutzerkonto.
Computerprogramme probieren dann alle möglichen Kombinationen durch, um den Zugang zu knacken. "Beliebte Abfolgen und Passwörter probieren die Programme zuerst. Die Hacker wissen zum Beispiel, dass viele Internetnutzer in Wörtern den Buchstaben S lediglich durch ein $ ersetzen", erklärt Kaiser.
Hacker nutzen Wörterbuch-Suche
Zum Standardprogramm der Hacker gehört außerdem die Wörterbuchsuche, sagt Prof. Christoph Meinel, Direktor des Hasso-Plattner-Instituts. "Computer rasen heute in großer Geschwindigkeit durch Wörterbücher durch. Wer also lediglich ein Wort benutzt, das dort vorkommt, ist aufgeschmissen." Auch einfach Zahlen oder Zeichen an ein Wort zu hängen, ist nicht sicher.
In Zeiten von sozialen Netzwerken ist es für Computerspezialisten außerdem keine große Herausforderung, die Lieblingsband, den Hochzeitstag oder die Namen der Kinder herauszufinden. Wörter mit persönlichem Bezug sollten Nutzer deshalb ebenfalls vermeiden.
Sichere Passwörter: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen nutzen
Kniffliger wird es für Datendiebe, wenn die Programme einzelne Buchstabenkombinationen durchprobieren müssen. "Hat das Passwort Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, dauert es umso länger, alle durchzuprobieren", sagt Meinel.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens acht Zeichen. Aber grundsätzlich gilt je länger, desto besser. Beim Erstellen eines Accounts helfen die Anbieter oft mit einer kleinen Ampel weiter, die die Passwortstärke farblich visualisiert. Die soll zeigen, wie sicher das gewählte Passwort ist.
Passwortstärke-Ampel ist nicht unbedingt verlässlich
Doch: "Darauf kann man sich nicht unbedingt verlassen", sagt Verbraucherschützerin Kaiser. In einem Marktcheck habe ihre Verbraucherzentrale unter anderem solche Ampel-Einschätzungen unter die Lupe genommen. "Manche Anbieter haben hohe Anforderungen an Kennwörter, andere eher nicht. Mitunter galt schon das Passwort 'qwertz' als mittelsicher. Die Buchstabenfolge der Tastatur gehört aber zum Standardrepertoire der Hacker."
Kryptisches Passwort mit Merksatz einprägen
Lieber also ein möglichst langes und kryptisches Passwort ausdenken. Um sich so ein Kennwort zu merken, rät Prof. Meinel zu einer Eselsbrücke. "Mit einem ganzen Passwortsatz ist das recht einfach. Von den Wörtern aus dem Satz nimmt man die Anfangs- oder Endbuchstaben, auch Satzzeichen und Zahlen."
Aus dem Satz "Am liebsten esse ich Pizza mit vier Zutaten und extra Käse!" wird das Kennwort "AleiPm4Z+eK!". Vorsicht allerdings bei Umlauten. Auf ausländischen Tastaturen gibt es die nicht. Im Urlaub kann das Einloggen dann schwierig bis unmöglich werden.
"Auf keinen Fall sollten Nutzer bei mehreren Diensten das gleiche Passwort verwenden", warnt Meinel. "Haben die Hacker einen Zugang geknackt, kommen sie dann gleich in mehrere Accounts hinein." Und auch davon, ein Kennwort für verschiedene Konten leicht abzuändern hält er wenig. "Die verschiedenen Varianten müssen leicht zu merken sein. Dadurch entstehen dann wieder Schwachstellen."
So können Passwortmanager helfen
Wer sich mehrere komplizierte und einzigartige Passwörter weder merken kann noch möchte, sollte lieber einen Passwortmanager nutzen - etwa das Open-Source-Programm Keepass, zu dem es auch Apps gibt.
"Der funktioniert wie eine Truhe", erklärt Jennifer Kaiser die Funktionsweise von Passwortmanagern. Darin lägen die Zugangsdaten für alle Dienste. Und Kennwörter erstelle der Manager nach Zufallsprinzip: "Der Nutzer muss sich dann nur noch einen Zugang merken: den für den Passwortmanager." Dieses sogenannte Masterpasswort müsse dann aber auch besonders sicher sein.
So überprüfen Sie, ob Ihre Daten im Netz gestohlen wurden
Lange Zeit rieten Computerexperten, Kennwörter regelmäßig zu ändern. Das gilt heute als überholt, verleitet es doch dazu, möglichst einfache Kennwörter zu wählen. Allerdings sollten Internetnutzer regelmäßig prüfen, ob ihre Daten im Netz gestohlen wurden. Das ist bei verschiedenen Datenbanken möglich. Und sie sollten bei Diensten die Zweifaktor-Authentifizierung aktivieren, wo immer das möglich ist.
Etwa beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. "Die Datenbanken prüfen, ob die E-Mail-Adresse in den Listen mit geklauten Daten vorkommt", erklärt Jennifer Kaiser von der Verbraucherzentrale Rheinland-Pfalz. Ist das der Fall, sollte der Nutzer direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen. (dpa/jom)
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.