Ist mein Passwort unsicher?

Das Thema Sicherheit ist uns ein großes Anliegen. Die beste Antivirus-Software oder Festplattenverschlüsselung nützt nichts, wenn sich der Angreifer das Passwort für das System beschaffen kann. In vielen Fällen ist die größte Schwachstelle eine kleine Bequemlichkeit.

Aber was ist ein sicheres Passwort? Muss es kompliziert sein? Muss ich überall ein einzigartiges verwenden oder reicht ein komplexes? Und wie soll ich mir all das merken?  All das sind sehr entscheidende Fragen, gerade weil es um Ihre Sicherheit geht. Wir möchten Ihnen im folgenden Artikel zumindest ein Paar dieser Fragen beantworten.


Was ist ein gutes Passwort?

Gleich zu Beginn stellt sich uns natürlich die Frage was ein sicheres Passwort überhaupt ausmacht. Hierzu muss man zwei Aspekte berücksichtigen. Jedes Passwort kann aus dem mechanischen und dem menschlichen Aspekt betrachtet werden.

Ein Passwort kann noch so komplex und sicher sein, wenn sich der User dieses nicht merken kann und dadurch überall das Gleiche verwendet oder gar auf einem Post-it am Arbeitsplatz notiert, dann ist es dennoch unsicher.

Zu einfache Passwörter können wiederum von Brute Force Attacken (so nennt man das automatisierte durchprobieren von Wörtern) schnell geknackt oder das System dahinter schnell durchschaut werden und sind somit ebenso unbrauchbar.

Die Grundregeln für die Erstellung sicherer Passwörter sind aber immer die gleichen:

  • Für jedes Konto bzw. für jede Webseite sollte ein eigenes Passwort verwendet werden. Auch ähnliche Passwörter welche sich nur durch ein paar Schriftzeichen unterscheiden, sind keine gute Wahl.

  • Das Passwort sollte keine Merkmale Ihrer Persönlichkeit wiedergeben, wie z.B.: Namen, Geburtstage, etc.

  • Einfache und oft verwendete Passwörter sollten vermieden werden. (z.B.: asd123, passwort1 oder Temp!)
  • Wenn die Möglichkeit besteht sollte ein zweiter Faktor zur Authentifizierung verwendet werden.
  • Ändern Sie Ihre Passwörter regelmäßig, idealerweise nach spätestens einem Jahr. Vor allem, wenn die Möglichkeit besteht, dass die Datenbank einer Anwendung in einem Angriff ausgelesen werden konnte, sollten Sie schleunigst Ihr Passwort wechseln (siehe letzten Absatz).

  • Verwenden Sie einen Passwortmanager und Generator, wie zum Beispiel LastPass, 1Password (bei iPhone Usern sehr beliebt) oder das kostenlose OpenSource-Tool KeePass. Durch Zufall erstellte Passwörter sind wesentlich komplexer und können mittels Passwort Manager einfacher verwaltet werden. Sie müssen sich im Idealfall nur noch ein (möglichst sehr komplexes) Passwort merken und haben alle anderen immer griffbereit.

  • Sofern Sie noch keinen Passwort Generator besitzen (in vielen Passwortmanagern ist ein Generator bereits enthalten), empfehlen wir den: XKPasswd Password Generator. Dort auf das Preset „XKCD“ klicken und dann „Generate 3 Passwords“.

Muss mein Passwort kompliziert und lang sein?

Nein, nicht per-se. Ihr Passwort ist zwar komplexer, wenn es länger und der Pool an Zeichen, die erraten werden können, größer, jedoch ist dies immer noch kein Garant dafür, dass Ihr Passwort sicher ist. Sobald Sie die oben angeführten Tipps verinnerlichen und umsetzen ist die Gefahr auf jeden Fall wesentlich geringer.

Es gibt auch eine Methode der Passworterstellung, welche mehrere zufällig gewählte Wörter mittels Trennzeichen aneinanderreiht und somit wesentlich merkbarer macht. Es können auch weitere Sonderzeichen und die Länge des Passwortes variiert werden, so hat man genügend Spielraum, um wichtige Accounts zu priorisieren. Auf der XKCD Website können Sie sich solche Passwörter generieren lassen.

Hier eine kleine (amüsante) Erklärung wie auch ein „einfaches“ Passwort sicher sein kann.

Komplexität hilft nicht gegen Nachlässigkeit

Auch eine Reihe sehr komplexer Passwörter hilft nicht, wenn damit nachlässig umgegangen wird oder die Anwendung kompromittiert wurde. Gehen Sie bedacht mit Ihren Passwörtern um und geben Sie sie nie an andere weiter. Vor allem nicht, wenn Sie an mehreren Stellen das Gleiche verwenden.

Allgemeine Computersicherheit spielt auch hier eine große Rolle. Sobald das System, auf dem Sie arbeiten oder zudem Sie Zugriff haben ein Sicherheitsleck aufweist, können Logindaten schnell den Benutzer unbemerkt den Benutzer wechseln. Entsprechende Sicherheitsmechanismen sind auf allen Geräten, Servern und Diensten unabdinglich.

Have I Been Pwned: Online-Konto gehackt?

Zum Abschluss möchten wir Ihnen noch eine Seite empfehlen: Have I Been Pwned: https://haveibeenpwned.com

Immer wieder erbeuten Hacker, über unsichere Datenbanken von Unternehmen, Zugangsdaten von Internet-Nutzern. Auch namhafte Firmen wie Adobe, Dropbox oder Facebook waren beispielsweise in den letzten Jahren von Hackangriffen betroffen. Über die Website „Have I Been Pwned“ können Sie überprüfen ob Ihre Email-Adresse und/oder Telefonnummer bei einem der bekannten Hacks der letzten Zeit kompromittiert wurde. Und wenn, welche Daten dabei von den Hackern erbeutet wurden.

Sollte eine Datenpanne festgestellt werden, so sollten sie unbedingt und schnellstmöglich das Passwort auf der betroffenen Seite ändern. Und falls Sie das gleiche Passwort noch an einer anderen Stelle nutzen, dann sollten Sie es dort ebenfalls so schnell wie möglich ändern.


Sie sehen, es gibt viele, hoffentlich für Sie nützliche, Tipps aber keine pauschale Antwort auf die Frage „was ist ein sicheres Passwort“. Letztlich hängt es auch immer von Ihnen ab. Viele Unternehmen zwingen Ihre Mitarbeiter zum Beispiel Ihr Kennwort alle 30 Tage zu ändern. Unserer Erfahrung nach ist dies zwar in der Theorie sehr gut, führt in der Praxis aber leider zu sehr einfachen Passwörtern die gerne auf Post-its in der Schublade oder gar direkt am Monitor landen. Der einzige Grundsatz der immer Gültigkeit hat lautet: Umso länger ihr Passwort ist, umso sicherer ist es auch.

Wir beraten Sie gerne wenn es um das Thema sichere Passwörter und deren Verwaltung geht. Für jedes Unternehmen gibt es eine passende Lösung um die Passwortsicherheit zu erhöhen.

Horst Bursik, Geschäftsführer von bitRACE