Datensicherheit

Sicheres Passwort erstellen und regelmäßig testen

Ein sicheres Pass­wort lässt sich mit Soft­ware er­stel­len, tes­ten und mer­ken. Man kann Pass­wör­ter et­wa per Pass­wort-Ma­na­ger auf­be­wah­ren. Aber mit et­was Fan­ta­sie braucht man kei­ne Tech­nik. Wich­tig: Pass­wör­ter bes­ser nur aus gutem Grund ändern.

Teilen auf

LinkedIn Xing Whatsapp

Was ist ein sicheres Passwort? Wie genau sieht ein sicheres Passwort aus? Diese Fragen beschäftigen all jene, die beruflich oder privat einen Online-Account nutzen, der passwortgeschützt ist – das dürften fast alle sein. Ist ein digitales Konto mit einem Passwortschutz versehen, geht es allerdings nicht nur darum, ein sicheres Passwort zu erstellen und es sich zu merken. Es gilt auch, wirksame Strategien zu finden, wie sich Passwörter aufbewahren lassen und die IT- Sicherheit gewährleistet werden kann. Für einen verlässlichen Schutz reicht es zum Beispiel nicht, ein sicheres Passwort mithilfe spezieller Software zu generieren. Ebenso wichtig ist, eine vermeintlich sichere Kombination regelmäßig zu testen. Es könnte etwa von Hackern erbeutet worden sein, wodurch sein Wert je nach Schwere der Attacke stark erschüttert wäre. Ist beispielsweise sowohl der Account-Name – häufig eine E-Mail-Adresse – als auch das Passwort bekannt, kann mit dieser Kombination jemand Konten bei anderen Dienstleistern aufspüren sowie dabei Log-in- und/oder Passwortvarianten ausprobieren.

Wie sieht ein sicheres Passwort zum Beispiel aus?

So lassen sich Passwörter sicher aufbewahren

Sicheres Passwort erstellen und regelmäßig testen

Wie sieht ein sicheres Passwort zum Beispiel aus?

Wie sieht ein sicheres Passwort aus? Diese Frage lässt sich prinzipiell mit drei Worten beantworten – lang und kompliziert. Wer ein sicheres Passwort erstellen will, sollte stets die ganze Bandbreite der verfügbaren Zeichen nutzen – und viele Zeichen. Wenn spezielle Tools sie automatisch generieren, ist diese Komplexität voreingestellt. Wer ein sicheres Passwort selbst erstellen will, um es sich leichter merken zu können, sollte sein persönliches Zusammensetzungsprinzip auf speziellen Websites testen. Denn der Schutz per Passwort funktioniert nur, wenn sich die gewählte Zeichenkombination weder leicht erraten noch ausprobieren lässt. Kein sicheres Passwort ist zum Beispiel die Ziffernfolge „123456“, 2021 laut Hasso-Plattner-Institut an der Spitze der von Hackern erbeuteteten Passwörter. Es lässt sich binnen 25 Mikrosekunden knacken und tauchte bereits 37 Millionen mal in Passwort-Leaks auf. Damit ein Account wirklich passwortgeschützt ist, muss der Passwortschutz stark sein. Dazu gehört auch ein individueller Plan, wie sich die diversen genutzten Passwörter sicher aufbewahren lassen.

Sicheres Passwort mit Tipps des Dienstleisters generieren

Prinzipiell gilt: Bei vielen Cyber-Attacken kommen spezielle Werkzeuge zum Einsatz, die Zeichenkombinationen automatisch ausprobieren und dabei ganze Wörterbücher abfragen können, falls das Zugangssystem nicht nach einer bestimmten Anzahl falscher Eingaben eine Wartezeit für weitere Versuche vorgibt oder den Account sperrt. Bei solchen Attacken probieren die Hacker bereits früher erbeutete oder im Internet verbreitete Passwörter aus. Wer ein sicheres Passwort erstellen beziehungsweise generieren will, sollte sich deshalb mehr als ein Beispiel dafür ansehen, wie ein sicheres Passwort aussieht, sowie den Anforderungen der jeweiligen Account-Betreiber konsequent folgen oder sie sogar übertreffen, statt sich – wie es immer wieder passiert – darüber hinwegsetzen. Deutlich erhöhen lässt sich die Sicherheit eines Online-Accounts, wenn – sofern vom Betreiber angeboten – konsequent die Zwei-Faktor-Authentifizierung aktiviert wird. Dabei ist der Zugang zum Konto erst möglich, wenn zusätzlich zum Passwort die Freigabe über einen weiteren Kanal bestätigt wird. Beispielsweise per SMS-TAN oder Einmal-Code, der auf Anforderung von einem TAN-Generator etwa auf dem Smartphone erstellt wird.

Wichtig beim Passwortschutz: Länge und Komplexität

Will man ein sicheres Passwort erstellen, ist dies wichtig:

  • Verschiedene Zeichen nutzen. Zwar geben manche Dienstleister bestimmte Einschränkungen vor, aber meistens lassen sich fast alle auf der Tastatur verfügbaren Zeichen nutzen. Wer ein sicheres Passwort erstellen will, sollte deshalb sowohl Groß- und Kleinbuchstaben als auch Ziffern sowie die gestatteten Sonderzeichen einbauen. Wichtig: Wer oft im Ausland unterwegs ist, sollte auf Zeichen verzichten, die sich nicht auf der dortigen Tastatur finden.
  • Ausreichende Länge wählen. Wer ein sicheres Passwort erstellen will, sollte dem Grundsatz folgen: Je länger, desto besser. Gut passwortgeschützt ist ein Account insbesondere angesichts drohender Angriffe über längere Zeit mit hoher Rechnerleistung – sogenannten Brute Force-Attacken – erst, wenn es gelingt, ein sicheres Passwort mit mindestens 20 Zeichen zu generieren.
  • Auf Komplexität achten. Wer ein sicheres Passwort erstellen und es sich gut merken will, kann der eigenen Kreativität freien Lauf lassen. Dafür gibt es diverse Strategien. Ein sicheres Passwort lässt sich zum Beispiel erstellen, indem man sich einen Satz einprägt und etwa von jedem Wort den ersten Buchstaben aneinanderreiht, an mindestens zwei Stellen weiter veredelt durch Zahl und Sonderzeichen. Oder man nutzt als Passwortschutz einen ganzen Satz, mit Sonderzeichen durchgekoppelt. Sicher passwortgeschützt ist ein Account dann, wenn die Fantasie keine Grenzen kennt.
  • Bekannte Daten meiden. Was ist ein sicheres Passwort? Unberechenbar. Deshalb ist es wichtig, ein sicheres Passwort zu generieren, das keine Bestandteile aufweist, die Cyber-Kriminelle leicht recherchieren könnten. Das Passwort sollte zum Beispiel nicht im Wörterbuch stehen. Und der Passwortschutz versagt auch schnell, wenn ein vermeintlich sicheres Passwort aus Geburtsdaten von Angehörigen und dem Namen des Haustieres oder der Lieblingsband besteht. Solche Informationen sind im Social-Media-Zeitalter meistens schnell auffindbar.
  • Vorgaben übertreffen. Unternehmen checken beim Anlegen eines Accounts, ob man ein sicheres Passwort erstellen will. Solche Warnhinweise auf schwachen Passwortschutz sind nur eine Mindestanforderung und zu übertreffen.

So lassen sich Passwörter sicher aufbewahren

Eins ist klar: Ein sicheres Passwort zu erstellen und testen hilft wenig, wenn Fehler beim Merken passieren. Neben der Frage „Wie sieht ein sicheres Passwort aus?“ geht es auch darum: „Wie und wo sollte man Passwörter aufbewahren?“ Deshalb gehört zum Passwortschutz eine Strategie, wie sich Passwörter zum Nachsehen aufbewahren lassen. Bei diesem Thema gibt es mehr als ein Beispiel dafür, wie der Schutz per Passwort unterlaufen wird, wenn ein Account passwortgeschützt, die Zeichenkombination aber offen in Reichweite verfügbar ist. So schreiben manche Beschäftigte etwa ihr Passwort für den Computer auf einen Zettel, der dann am Bildschirm klebt. Dann besteht für alle mit Zugang zum Büro auch die Chance zum Zugriff auf den Rechner. Ebenso absurd: Alle Passwörter in einer offenen Word-Datei im Rechner speichern, die auch noch so heißt – am besten immer als Pärchen mit dem Namen des jeweiligen Accounts. Wer den Computer hackt, bekommt alles auf dem Silbertablett serviert.

Was ist ein sicheres Passwort? Sicher nicht öffentlich

Also: Wer Passwörter aufbewahren will, sollte dies möglichst nicht auf Papier tun, das in die falschen Hände geraten könnte. Prinzipiell gehört ein sicheres Passwort weder auf einen Klebezettel am Schreibtisch noch in ein Notizbuch. Und falls jemand sich ein sicheres Passwort handschriftlich merken will, sollte die Zeichenkombination nicht im Zusammenhang mit dem Account stehen, der passwortgeschützt ist, und möglichst selbst in gewisser Weise geschützt sein – zum Beispiel durch ein Verschieben der notierten Zeichen um eine oder zwei Stellen, also etwa 3 statt 1 und C statt A. Das gewährleistet zumindest einen gewissen Schutz für das gemerkte Passwort. Nur eine Ausnahme gilt beim zentralen Aufbewahren aller Passwörter: Jede Unternehmerin und jeder Unternehmer braucht ein digitales Testament – einen Aktenordner, der notfalls berechtigten Personen den Zugriff auf Firmendaten und -accounts ermöglicht. Diese Sammlung sensibler Informationen gehört regelmäßig aktualisiert und sollte sicher im Tresor der Rechtsanwalts- oder Steuerberatungskanzlei liegen, bis der Zugriff sein muss.

Sicheres Passwort mithilfe von Software erstellen

So praktisch wie verführerisch ist die Möglichkeit, mit entsprechender Software ein sicheres Passwort nicht nur zu erstellen und zu testen, sondern sie es auch merken zu lassen. Es gibt diverse Varianten, ein sicheres Passwort zu generieren und Passwörter aufbewahren zu lassen, etwa per DsiN-Passwortkarte, Browser oder speziellem Passwort-Manager. Das erleichtert den Zugriff auf einen Account, der passwortgeschützt ist, und kann zum Beispiel auch von der Beschäftigung mit der Frage entlasten, was ein sicheres Passwort ist beziehungsweise wie es sich testen lässt – falls die Software nämlich gleich selbst ein sicheres Passwort vorschlägt.

Wichtig ist aber, sich dann Gedanken über die Details zu machen. Wer beispielsweise ein sicheres Passwort vom Browser generieren lässt und die Passwörter dann dort aufbewahrt, muss genau die Einstellungen prüfen. Manche Software hilft beim Versuch des Log-in etwa auf einer Bank-Website, indem sie den Account-Namen und dass Passwort automatisch einträgt. Wenn allerdings der Rechner gehackt wird, bekommt so jeder Zugriff auf das Online-Konto. Deshalb ist diese Erleichterung mit Vorsicht zu genießen.

mehr zum thema
Hörbar Steuern – der DATEV-Podcast #92 Cybercrime

Wenn plötzlich der Rechner dunkel wird, das Netzwerk schweigt und man ein Angebot erhält, gegen einen „geringen Unkostenbeitrag“ wieder Zugriff auf die eigenen Daten zu erhalten, hat man sich wohl einen Virus eingefangen. Welche Arten von Angriffen es gibt, welche Schäden sie anrichten und wie sich Unternehmen davor schützen können, darum geht es in Folge #92 Cybercrime in Hörbar Steuern – Der DATEV-Podcast.

Passwörter mit einem Passwort-Manager aufbewahren

Durchaus sinnvoll kann zum Aufbewahren der Passwörter ein Passwort-Manager sein, der auch hilft, ein sicheres Passwort zu erstellen. Diese Systeme wissen, was ein sicheres Passwort ist, und ersetzen das individuelle Merken – wenn man sie richtig nutzt. Passwort-Manager-Programme verwalten Account-Namen und Passwörter, indem sie die Daten verschlüsseln. Wer sich irgendwo einloggen will, muss nur den Passwort-Manager aktivieren, wo alle Pärchen gespeichert sind, und der Manager übernimmt die Anmeldung. Das bedeutet jedoch, ein sogenanntes Master-Passwort zur Aktivierung des Programms zu vergeben und es sicher aufzubewahren – denn wer einen Passwort-Manager knackt, hat Zugang zu allen dort hinterlegten Konten. Man muss sich also statt vieler verschiedenen Kombinationen aus Account-Name und Passwort nur noch ein Passwort merken. Das gehört dann allerdings wirklich und unbedingt in den Hochsicherheitstrakt. Es muss außerdem nicht nur gegen Diebstahl geschützt sein, sondern ebenso vor dem Vergessen. Wer den Zugang zum Passwort-Manager verliert, hat massive Probleme, alle Online-Accounts individuell zu reaktivieren.

Sicheres Passwort erstellen und regelmäßig testen

Wer sich an einige grundlegende Tipps hält, dürfte sich gar nicht so schwer damit tun, ein sicheres Passwort zu erstellen, zu testen und sich zu merken. Es reicht aber nicht, ein System zum sicheren Aufbewahren der diversen Passwörter zu schaffen. Accounts mögen passwortgeschützt sein, doch der Schutz per Passwort lebt nicht nur davon, dass Nutzerinnen und Nutzer eine sichere Zeichenkombination generieren. Der Passwortschutz muss laufend überprüft werden, denn ein per se sicheres Passwort kann zum Beispiel bei einer Hackerattacke erbeutet und so kompromittiert worden sein. Websites wie haveibeenpwned.com oder der HPI Identity Leak Checker bieten den Service an, eine E-Mail-Adresse oder Telefonnummer darauf zu überprüfen, ob sie im Zusammenhang mit einem Cyber-Angriff auftaucht. Und falls ja, ob beziehungsweise welche Daten dabei auch noch an die Öffentlichkeit gelangt sind. Ein neues sicheres Passwort ist dann Pflicht.

Abstand nehmen viele Fachleute inzwischen allerdings von der lange verbreiteten Empfehlung, das Passwort regelmäßig alle paar Monate zu ändern. Zahlreiche Unternehmen haben ihren Beschäftigten dies vorgeschrieben, auch ohne registrierte Cyber-Attacke oder erkannten Social-Engineering-Versuch. Aber das häufige Ändern kann mit Blick darauf, ein sicheres Passwort zu erstellen und es sich zu merken, kontraproduktiv sein. Wer sich gezwungen sieht, Zugangscodes bald wieder zu ändern, wählt aus Bequemlichkeit irgendwann ein weniger komplexes Passwort, das sich leichter merken lässt, aber so eben auch weniger Schutz bietet. Deshalb ist der neue Ratschlag: Einmal ein sicheres Passwort erstellen, testen und merken sowie generell Passwörter sicher aufbewahren. Dann regelmäßig überprüfen, ob es Grund zum Ändern gibt, sowie für den jeweiligen Account nötigenfalls ein neue Zeichenkombination generieren. Und flächendeckend mehr für die IT-Sicherheit wie auch den Datenschutz tun, unter anderem durch mehr E-Mail-Verschlüsselung.

Über wichtige Punkte zum Thema E-Mail-Verschlüsselung informiert dieses Video.
  • Hat Ihnen der Beitrag gefallen?
  • JaNein
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Seite

    Jetzt DATEV-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn