In einem Hackerforum ist eine Sammlung von knapp zehn Milliarden gestohlenen Passwörtern aufgetaucht. Es handelt sich um die grösste Passwortsammlung aller Zeiten. Noch immer ranken sich viele Mythen um Passwörter. Blick gibt Antworten auf die wichtigsten Fragen.
Was ist ein sicheres Passwort?
Bei der Wahl des richtigen Passwortes gibt es einige Dinge zu beachten. Ein gutes Passwort sollte mindestens 12 Zeichen lang sein, besser noch länger. Das Passwort sollte Klein- und Grossbuchstaben, Zahlen und auch noch Sonderzeichen enthalten. Ausserdem sollte das Passwort keinen persönlichen Bezug haben. Das heisst: keine Geburtstage, Telefonnummern oder Ähnliches. Konkret: «12345beat» ist ein katastrophal schlechtes Passwort, «0hGs2_ncm23$fKH303» dagegen ein gutes.
Warum ist das wichtig?
Eine Methode zum Knacken von Passwörtern ist der sogenannte Brute-Force-Angriff. Dabei probieren Angreifer einfach alle möglichen Passwortkombinationen aus. Alle fünfstelligen Passwörter, auch wenn sie nach den oben genannten Kriterien erstellt wurden, sind je nach Komplexität innerhalb von Sekunden oder Minuten geknackt. Das hat eine Cybersicherheitsfirma herausgefunden. Zum Knacken der Passwörter wurden zwölf High-End-Grafikkarten parallel eingesetzt.
Für ein zehnstelliges Passwort, mit Sonderzeichen, Zahlen und Buchstaben in Gross und Klein, würde dieselbe Berechnung 33'000 Jahre dauern. Eine andere Form des Angriffs sind Passwortlisten, wie sie kürzlich geleakt wurden. Diese Listen enthalten fast zehn Milliarden einzigartige Passwörter. Die Chance, mit einem davon eine digitale Tür zu öffnen, ist gross.
Muss ich mein Passwort also regelmässig ändern?
Früher galt die Regel: Man muss sein Passwort regelmässig ändern. Wer schon länger einen Computer benutzt, weiss, dass dies bei manchen Diensten sogar vorgeschrieben war. Heute ist diese Regel überholt. Präventiv das Passwort zu ändern, bringt wenig. Im Gegenteil: Es führt sogar dazu, dass man eher schlechte Passwörter hat und diese einfach leicht ändert. Also: Passwort1, Passwort2 und so weiter.
Kann ich überall dasselbe Passwort verwenden?
Nein! Auch dann nicht, wenn es besonders stark ist! Der Grund dafür ist eine andere Angriffsmethode, das sogenannte Credential Stuffing. Denn wir Menschen sind berechenbar. Wenn ein Angreifer mit gestohlenen Zugangsdaten irgendwo unerlaubt eine Tür öffnet, wird er auch anderswo versuchen, hineinzukommen.
Was also tun?
Nur wenige Genies mit fotografischem Gedächtnis können sich ein oder mehrere komplexe Passwörter merken. Hier kommen Passwortmanager ins Spiel, das sind Programme zur Verwaltung verschiedener Passwörter. Wer ein solches Tool zum ersten Mal benutzt, wird vermutlich einige Tage fluchen, bis er alle Passwörter für sämtliche Online-Dienste aktualisiert hat. Da kommt im Laufe der Jahre einiges zusammen. Auf lange Sicht machen Passwortmanager das Leben aber leichter, denn sie ergänzen automatisch Benutzernamen und Passwörter in Apps und auf Webseiten. Ausserdem warnen sie, wenn Passwörter kompromittiert wurden. Der Haken: Der Manager ist durch ein sogenanntes Masterpasswort geschützt, das sehr stark sein muss. Wird das Masterpasswort gestohlen, können Angreifer unter Umständen auf alle gespeicherten Passwörter zugreifen.
Welchen Passwortmanager soll ich verwenden?
Die «FAZ» hat im Juli 2024 insgesamt 14 verschiedene Passwort-Manager getestet. Als Testsieger ging 1Passwort hervor. Es gibt aber auch kostenlose Passwortmanager von Google und Apple, die ins System integriert sind.
Woher weiss ich, ob mein Passwort geleakt wurde?
Die Wahrscheinlichkeit ist hoch, dass deine Zugangsdaten bei den zahlreichen Leaks der letzten Jahre schon einmal oder mehrmals abgeflossen sind. Das kann man zum Beispiel mit dem Dienst Have I been pwned überprüfen. Hier gibt man seine E-Mail-Adresse (oder ein Passwort) ein und bekommt angezeigt, in welchen Leaks man bereits aufgetaucht ist. Hinter dem Dienst steht Troy Hunt, ein Sicherheitsforscher bei Microsoft.
Was mache ich, wenn mein Passwort gestohlen wurde?
In diesem Fall solltest du das betroffene Passwort sofort ändern – und auch alle Konten überprüfen, die dasselbe Passwort verwenden. Zudem kannst du deine Konten auf ungewöhnliche Aktivitäten überprüfen, z.B. ob sich jemand eingeloggt hat. Ausserdem ist es ratsam, die Zwei-Faktor-Authentifizierung (2FA) überall zu aktivieren.
Was ist die Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz, selbst wenn das Passwort verloren geht. Denn jede Anmeldung muss zusätzlich mit einem Code oder einer PIN autorisiert werden. Diese Funktion bieten mittlerweile fast alle Plattformen an. Generell sollte man auch bei E-Mails vorsichtig sein, um Phishing-Attacken zu vermeiden. Auch sollte Software regelmässig aktualisiert werden, um Sicherheitslücken zu schliessen.