Das Passwort öffnet das E-Mail- und das Bankkonto, es gewährt den Zugang zu Einkaufsplattformen und sozialen Netzen. Auf jeder dieser Seiten sind private Informationen hinterlegt, Fotos, Kontodaten oder Nachrichten. Obwohl Passwörter enorm wichtig sind, nutzen die meisten Deutschen einfache Kombinationen wie „123456“ oder „qwertz“. Das zeigen Studien immer wieder. Deshalb folgen nun ein paar Tipps, wie es besser geht, und Gründe, warum jeder die Wahl seiner Passwörter überdenken sollte.
Was ist so schlimm an einem einfachen Passwort?
Wenn Datendiebe versuchen, Passwörter zu knacken, dann muss man sich das so vorstellen wie in Filmen, wenn Gangster versuchen, hinter die Zahlenkombination eines Tresors zu kommen. Nur dass im Internet ein Computerprogramm die Arbeit übernimmt. Es setzt so lange sämtliche Zeichen an die einzelnen Stellen, bis es klickt und der Zugang geöffnet ist. Je häufiger ein Passwort vorkommt und je kürzer es ist, desto schneller geht das Öffnen, erklärt Fabian von Keudell, Redakteur beim Computermagazin Chip. Möglich sei auch, dass Hacker jemanden gezielt ausspähen. Wissen sie dann dessen Geburtsdatum oder den Namen des Partners, und diese sind Passwörter, hätten sie leichtes Spiel, sagt Matthias Gärtner, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Was ist ein sicheres Passwort?
Das BSI hat dazu eine Reihe von Empfehlungen herausgegeben. Es sagt: Ein sicheres Passwort sollte mindestens acht Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen. „Wobei acht Zeichen die absolute Untergrenze sind“, sagt Gärtner. Und das Passwort sollte am besten gar kein Wort sein. „Denn die Programme, die versuchen, Passwörter zu knacken, haben im Hintergrund den gesamten Wortschatz der deutschsprachigen Online-Enzyklopädie Wikipedia.“ Deshalb empfiehlt das BSI etwa, sich einen Satz auszudenken und von diesem Satz jeweils den ersten, letzten oder dritten Buchstaben der Wörter als Passwort zu wählen. „Aber der Satz sollte kein Zitat oder Liedtext sein. Das wäre wieder leicht zu knacken“, sagt Gärtner. Ein Nutzer sollte sich einfach irgendeinen Satz ausdenken. Dazu kann man sich überlegen, ob man Buchstaben durch Zahlen oder Zeichen austauscht – etwa L durch ! oder I durch 1. Von Keudell fügt noch etwas anderes an: „Wenn man ein sehr langes Passwort wählt, also 15 Zeichen oder mehr, kann man auch mehrere kleingeschriebene Wörter aneinanderreihen.“ Diese Wörter sollten aber keinen sinnvollen Zusammenhang ergeben, so der Chip-Redakteur. Die Faustregel lautet: Je kürzer ein Passwort ist, desto komplizierter muss es sein.
Gibt es noch andere Dinge, die ein Internet-Konto schützen?
Ja, den sogenannten zweiten Faktor. Er ist sozusagen eine Schranke hinter der Passworteingabe. Viele Dienste bieten diesen Service an. Wer sich dort einloggt, verwendet erst sein Passwort. Dann sendet die Seite als zweiten Schritt einen Code an eine hinterlegte Telefonnummer. Nur wer diesen Code hat, kann sich einloggen. „Bieten Dienste diesen Service an, sollten Kunden ihn nutzen“, sagt von Keudell. Denn Kriminelle brauchen dann nicht nur das Passwort, um auf eine geschützte Seite zu kommen, sondern auch das passende Smartphone.
Braucht man für jedes Online-Konto ein eigenes Passwort?
Ja. Denn immer wieder kommt es vor, dass Hacker an Datensätze von einem Online-Dienst gelangen. Dort können sie auslesen, mit welcher E-Mail-Adresse und welchem Passwort sich die Nutzer registriert haben. Diese Kombination testen sie bei anderen Seiten aus. Wer also überall das gleiche Passwort verwendet, dessen Konten können leichter geknackt werden.
Gibt es Konten, die man mehr schützen sollte als andere?
Ja. Das Bankkonto sollte natürlich sehr gut geschützt sein. Aber genauso wichtig ist der Schutz des E-Mail-Kontos. Es sollte mit einem sehr starken Passwort geschützt sein, sagt von Keudell. Gelingt es Kriminellen, in einen E-Mail-Account zu kommen, können sie leicht bei anderen Seiten die Passwörter zurücksetzen und die E-Mails mit der Änderung abfangen. Dann haben sie Zugang zu verschiedenen Diensten.
Wie soll man sich all diese verschiedenen Passwörter merken?
Dass das nicht einfach ist, wissen auch die IT-Experten. Deshalb gibt es Programme, die sich die Passwörter für Nutzer merken, sogenannte Passwortmanager. Vor kurzem hat sie die Stiftung Warentest untersucht. Sie empfiehlt vier Programme, darunter „Dashlane Premium“ und „Lastpass Premium“. Von Keudell sagt: „Wer einen Passwortmanager nutzen möchte, sollte sich selbst schlaumachen, was die unterschiedlichen Programme bieten.“
Kann man sich die Passwörter nicht einfach auf einem Zettel notieren?
Das kommt darauf an, sagt Gärtner vom BSI. Nämlich darauf, wo man sich befindet. „In einer Firma, wo viele Menschen vorbeikommen – vielleicht sogar Personen von außerhalb –, ist das auf keinen Fall zu empfehlen.“ Im heimischen Büro sei das Risiko, dass jemand die Passwortliste ausspäht, nicht ganz so hoch.
Manche Internetbrowser bieten an, dass sie Passwörter für die Nutzer speichern. Ist das ratsam?
Auch hier kommt es darauf an, wo man diese Funktion nutzt, sagt der BSI-Sprecher. „Generell ist es immer am sichersten, die Passwörter jedes Mal einzugeben und sich jedes Mal wieder auszuloggen“, sagt er. Aber wer seinen Computer nur zu Hause nutze, laufe weniger Gefahr, ausgespäht zu werden als etwa an einem Arbeitsplatz oder in einem Internetcafé.
Wie ist es bei Smartphone-Apps?
Sicherheit: Tipps fürs eigene Handy
Update: Der Telekom-Experte Rainer Knirsch rät, immer das neueste Update der Software auf sein Handy zu spielen. "das sollte innerhalb der nächsten drei Tage passieren, wenn der Anbieter eine Aktualisierung gemeldet hat."
Ausschalten: Wichtig ist auch, das Gerät ab und zu auszuschalten und es nicht immer im Stand-By-Modus zu lassen.
Sichere Hotspots: Wer in einem Café W-Lan benutzen möchte, sollte sich laut Knirsch erst vergewissern, ob der Hotspot auch sicher ist. Zum einen muss es durch ein Passwort geschützt sein, zum anderen sollte dieser Schlüssel sicher sein. "Online-Bankgeschäfte lieber von zu Hause aus erledigen."
Bei ihnen ist es oft so, dass man nur das Telefon entsperren muss, und schon hat man Zugang zu den verschiedensten Programmen und Konten. Damit kein Unbefugter diesen Zugang bekommt, sollte das Handy gut gesichert sein. „Am besten über einen sechsstelligen PIN oder den Fingerabdruck“, sagt Chip-Redakteur von Keudell. Bei manchen Modellen könne man auch ein Entsperrmuster auf den Bildschirm zeichnen. Davon rät der Redakteur aber ab. „Dadurch, dass Fett auf dem Display ist, hinterlässt das Muster beim Zeichnen oft eine Spur auf dem Bildschirm, die jeder sehen kann“, sagt er.
Was können Sie tun, wenn Sie jetzt gemerkt haben, dass Ihre Passwörter nicht sehr sicher sind?
„Wer sich einen Passwortmanager zulegen will, sollte sich zunächst einen aussuchen“, sagt von Keudell. Dann – und das gilt auch für Menschen, die keinen Passwortmanager verwenden möchten – sollte man alle Passwörter ändern, sodass sie den Sicherheitsstandards entsprechen. Aber einmal ändern reicht nicht. „Bei anfälligen Konten wie dem E-Mail-Account sollte man das Passwort jeden Monat wechseln. Bei weniger sensiblen Konten etwa jedes halbe Jahr“, sagt er. Denn selbst wenn im Netz dann das eigene Passwort auftaucht, sei das Risiko geringer, dass es stimme, wenn man es regelmäßig ändere. So sieht es auch das BSI. Die Netzsicherheitsbehörde in den USA rät, das Passwort nicht so häufig zu ändern. Denn von Wechsel zu Wechsel würden Passwörter unsicherer, sagen sie.