Sicheres Passwort erstellen: Alles was du wissen musst
In diesem Artikel erkläre ich dir, wie du ein sicheres Passwort erstellen kannst. Außerdem erfährst du, worauf du beim Thema Passwörter sonst noch achten solltest.
Was dich erwartet
- 10 häufigsten Passwörter in Deutschland
- Wie du ein sicheres Passwort erstellen kannst
- Das BSI empfiehlt
- Ähnlich CISA
- Longer is stronger
- Was genau
- Wie merkst du dir das Passwort: Stichwort Passwortmanager
- Umgang mit Passwörtern
- Eines für alles?
- Ein Passwort für die Ewigkeit
- Und sonst?
- Passwörter in deinem Unternehmen – die Passwortrichtlinie
Die 10 häufigsten Passwörter in Deutschland
Es überrascht dich daher vermutlich nicht, dass ein sicheres Passwort ein zentraler Baustein deiner IT-Sicherheit ist. Deshalb bist du aber vielleicht genau wie ich umso mehr überrascht über die nach dem Hasso-Plattner-Institut zehn beliebtesten Passwörter in Deutschland 2023:
- 123456
- 12345678
- password
- qwerty
- 12345
- 12345678
- 111111
- qwerty123
- 1q2w3e
- 123123
Im Jahr 2022 sah es nicht viel besser aus, berichtet die Netzwoche. Ich muss gestehen, dass ich bei all den Meldungen, die ich täglich lese, nicht mehr nachvollziehen kann, wie überhaupt eines der vorgenannten Passwörter zum Einsatz kommen kann. Aber sei es drum. Schauen wir uns mal an, wie man es besser machen kann und wie du ein sicheres Passwort erstellen kannst.
Wie du ein sicheres Passwort erstellen kannst
Viele Regeln um ein sicheres Passwort zu erstellen sind mehr als 20 Jahre alt und gehen auf Bill Burr zurück. Danach gilt folgende Grundregel für Passwörter:
- mindestens 8 Zeichen
- mindestens 1 Grossbuchstabe, 1 Kleinbuchstabe, 1 Zahl, 1 Sonderzeichen
- kein häufig verwendetes Wort
- keine Permutation des Benutzernamens
Das BSI empfiehlt
Diese Standardregeln findet man auch heute oft noch als Grundregel. Das BSI sieht eine Mindestlänge von 8 Zeichen als Grundvoraussetzung für ein starkes Passwort. Hier sollten jedoch noch weitere Kriterien dazukommen.
Nach Empfehlung des BSI kannst du mit folgenden Regeln ein sicheres Passwort erstellen:
- 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (etwa eine Folge von Wörtern). Es ist dann lang und weniger komplex.
- 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden.
- 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert
Ähnlich CISA
Nach der Empfehlung der Cybersecurity & Infrastructure Security Agency der USA solltest du folgende Regeln einhalten:
- Minimum 16 Zeichen und
- zufällige Zeichenfolge aus gemischten Buchstaben, Zahlen und Symbolen oder
- einprägsame Phrase („Passphrase“) aus 5 – 7 nicht zusammenhängenden Wörtern, idealerweise mit zusätzlicher Zahl oder Symbol
Longer is stronger
Allgemein geht man davon aus, dass die Länge des Passworts entscheidend ist. In der nachfolgenden Tabelle siehst du, wie schnell ein Passwort geknackt werden kann.
Ein Blick auf die Daten zeigt, dass ein Passwort mit nur 8 Zeichen mittels einer Beute-Force-Attacke immer in wenigen Stunden geknackt werden kann egal, wie viele unterschiedliche Zeichenarten du verwendest. Demgegenüber dauert es schon 9 Monate, wenn du mindestens 18 Zeichen nutzt, auch wenn diese nur aus Zahlen bestehen.
Unabhängig von der Länge solltest du vermeiden, gängige Begriffe zu nutzen wie Namen von Familienmitgliedern, Freunden usw. Dasselbe gilt für gängige Wortkombinationen und Wiederholungs- oder Tastaturmustern wie „asdfgh“ oder „1234abcd“.
Was genau
Mit folgenden Kriterien kannst du ein sicheres Passwort erstellen:
– mindestens 16 Zeichen (20 bei administrativen Accounts), je länger, desto besser
– Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (?!%+…)
– Sonderzeichen sollten nicht am Anfang oder Ende stehen
– Keine Wiederholungs- oder Tastaturmuster
– Keine geläufigen Wortkombinationen
– keine Daten, die mit dir in Verbindung stehen
– eigenes Passwort für jede Anwendung
Wie merkst du dir das Passwort: Stichwort Passwortmanager
Es gibt verschiedene Methoden, wie du dir das Passwort merken kannst. Eine beliebte Methode sind Passphrases, die du mit Zahlen und Sonderzeichen garnierst. Eine andere Methode sind also Sätze mit bestimmten Wörtern. Dort nimmst du nur den ersten oder zweiter oder dritten Buchstaben jedes Wortes und erstellst daraus das Passwort. Dann fügst du ebenfalls Sonderzeichen und Zahlen dazu.
Das alles wird aber auf Dauer trotzdem sehr komplex. Ich empfehle daher einen Passwortmanager zu nutzen.
Umgang mit Passwörtern
Ein sicheres Passwort zu erstellen, ist die eine Sache. Eine andere Sache ist auch der sichere Umgang mit Passwörtern. Ein sicheres Passwort nützt dir nichts, wenn es jeder kennt.
Eines für alles?
Du kannst nie 100 % sicher sein, dass dein sicheres Passwort nicht doch etwas in die falschen Hände kommt. Dabei muss es nicht mal geknackt werden. Es ist auch möglich, dass z. B. eine Webanwendung gehackt wird, bei der du das Passwort verwendest. In diesem Fall wäre es fatal, wenn du dasselbe Passwort in Kombination mit der derselben E-Mail-Adresse/Nutzername bei mehreren Anwendungen benutzt. Angreifer haben in diesem Fall leichtes Spiel auch deine anderen Accounts zu knacken. Wenn du wissen willst, ob dein Passwort oder deine Nutzerdaten gehackt wurden, kannst du hier nachschauen:
- https://haveibeenpwned.com
- https://sec.hpi.de/ilc/search
Ein Passwort für die Ewigkeit
Bis vor einiger Zeit wurde empfohlen, Passwörter regelmäßig zu ändern. In vielen Systemen oder Richtlinien findest du diese Vorgaben auch heute noch. Das ist allerdings nicht mehr einheitlicher Konsens. Experten gehen davon aus, dass durch die Anforderung ein Passwort regelmäßig zu ändern, einfachere Passwörter genutzt werden. Dadurch verringert sich im Ergebnis die Passwortsicherheit. Du solltest also lieber ein sicheres Passwort erstellen und dieses über längere Zeit verwenden. Zuletzt verabschiedete sich auch das BSI 2020 vom häufigen Passwortwechsel und strich die entsprechende Empfehlung aus ORP.4.A8. In ORP.4.A23 rät das BSI bei Anwendungen sogar von einem nicht notwendigen und rein zeitgesteuertem Passwortwechsel ab.
Selbstverständlich solltest du das Passwort wechseln, wenn es geknackt wurde oder sonst wie Abhanden gekommen ist. Bei einem direkten Hinweis eines Dienstleisters zum Wechsel solltest du hellhörig werden oder wenn du erfährst, dass Passwörter eines bestimmten Dienstleisters gestohlen worden. Bei Spam- oder Phishing-E-Mails mit korrekten persönlichen Daten solltest du ebenfalls aufhorchen.
Und sonst?
Du solltest voreingestellt Passwörter (Web, Software usw.) direkt ändern. Bei Bildschirmschonern solltest du eine Sperre einrichten. Du solltest Passwörter niemals per E-Mail versenden. Außerdem solltest du Passwörter nicht aufschreiben und erst recht nicht neben dem Monitor kleben oder unter die Tastatur. Falls du jetzt schmunzeln solltest: Bei Audits habe ich das alles schon erlebt. Alte Passwörter sollten nicht wiederverwendet werden.
Passwörter in deinem Unternehmen – die Passwortrichtlinie
Damit du in deinem Unternehmen einen einheitlichen Standard sicherstellst, solltest du eine Passwortrichtlinie verabschieden. Sie ein wesentlicher Bestandteil der Informationssicherheit und des Datenschutzes in deinem Unternehmen und für einzelne Nutzer ist. Sie legt fest, welche Anforderungen Passwörter erfüllen müssen, um als sicher zu gelten. Zudem regelt sie den Umgang mit Passwörtern und macht Vorgaben für Notfälle. Dadurch stellst du einen einheitlichen Sicherheitsstandard her. Natürlich sollte die Richtlinie auch gelebt werden.
Hol dir jetzt unseren Newsletter!
Du willst beim Thema Datenschutz und Informationssicherheit auf dem Laufenden bleiben? Dann melde dich jetzt zu meinem Update Datenschutz an. Das Update kommt ca. 1 mal im Monat und informiert über neue Trends, Urteile, Entscheidungen und von mir veröffentlichte Ratgeber und Muster zum Datenschutz. Außerdem gibt es Updates zu meiner Arbeitsweise und meinen Produkten.
