Sichere Passwörter - Worauf es ankommt

Ein gutes Passwort sollte schwer zu erraten und technisch schwer zu knacken sein. Diese Merkmale zeichnen ein starkes Passwort aus:

• Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
• Verzicht auf Namen, Geburtsdaten oder andere persönliche Begriffe
• Keine typischen Muster wie 123456, start123, asdfgh oder Hotel2024

Empfohlene Länge:

• 2 Zeichenarten – mindestens 20 Zeichen
• 4 Zeichenarten – mindestens 12 Zeichen
• Für administrative Accounts - 4 Zeichenarten und mindestens 14 Zeichen

Das Erstellen von sicheren Passwörtern muss nicht schwer sein. Generell wird empfohlen einen Passwortmanager zu verwenden. Für die wenigen Passwörter, die man sich einfach merken muss, kann man es so machen:

• Reihen Sie 5–6 Wörter aneinander, z. B. als Satz oder eine Geschichte
• Trennen Sie die Wörter mit Sonderzeichen, z. B. + oder _
• Tauschen Sie einzelne Buchstaben gegen Zahlen oder Sonderzeichen aus, z. B. „A“ wird zu „4“, „I“ zu „!“, „E“ zu „3“

• Vermeiden Sie die Verwendung von persönlichen Informationen. Diese können leicht im Internet recherchiert werden. Dazu zählen Namen von Familienmitgliedern oder Haustieren, Geburtsdaten, Schulnamen, Spitznamen, etc.
• Verzichten Sie auf den Einsatz von Umlauten (ä, ö, ü, etc.). Diese können oft zu Schwierigkeiten führen, da viele Dienste diese nicht unterstützen oder falsch "übersetzen".
• Vermeiden Sie die Verwendung von Mustern (Hotel1, Hotel2, Hotel3,…) oder bekannte Wiederholungen wie z. B., asdfgh, 1234abcd, 0815, qwertz, start123, etc.

Tipp: Wenn die gewählten Wörter Rechtschreibfehler beinhalten, ist es noch schwerer das Passwort zu knacken.

Wie kann man sich viele lange und komplexe Passwörter merken? Gar nicht. Daher wird der Einsatz eines Passwortmanagers empfohlen. Dieser speichert alle Passwörter sicher und verschlüsselt. Sie müssen sich nur ein einziges starkes (!) Master-Passwort merken.

Worauf Sie achten sollten:

• Keine Speicherung im Browser! Die Passwort-Speicherfunktion des Browsers ist unsicher, da Schadprogramme leicht darauf zugreifen können.
• Regelmäßige Backups: Es ist wichtig, Backups des Passwortmanagers zu haben. So kann im Fall von Datenverlust weiterhin auf die Passwörter zugegriffen werden.
• Starkes, aber merkbares Master-Passwort wählen – siehe Methode oben.

Ein Passwortmanager macht es möglich, für jeden Dienst ein eigenes, sicheres Passwort zu verwenden – ohne sich alles merken zu müssen.

Wenn es technisch möglich ist, kann man auch auf eine passwortlose Anmeldung wechseln. Dabei wird zur Anmeldung eine Kombination aus Chipkarte und Pin, der einfach zu merken ist, verwendet und kein komplexes Passwort.

Bei der Zwei-Faktor-Authentifizierung (2FA) wird bei der Anmeldung neben dem Passwort ein zweiter Faktor abgefragt. Das bietet deutlich mehr Sicherheit. So muss bei der Anmeldung ein zweiter Bestätigungscode eingegeben werden, der z. B. per SMS oder über eine Authentifizierungs-App geschickt wird. Besonders für kritische Konten wie Finanzportale, Buchungsplattformen oder E-Mail-Konten ist die 2FA ein unverzichtbares Sicherheitsmerkmal.

Bevorzugte Methoden:

• Authentifizierungs-App (z. B. Microsoft Authenticator, Google Authenticator)
• Hardware-Token (z. B. ein kleiner USB-Schlüssel)
• ! Weniger sicher: SMS-Codes – da diese abgefangen werden können.

Verwenden Sie niemals dasselbe Passwort für mehrere Konten – auch nicht mit kleinen Abwandlungen.

Denn: Wird ein Passwort gestohlen, können Angreifer es direkt auf anderen Plattformen ausprobieren. Das kann zu einem Dominoeffekt führen.

Auch wenn es praktisch erscheint: Geben Sie Passwörter nicht an Kolleginnen oder Kollegen weiter – und verwenden Sie nicht mehrere Male denselben Zugang für verschiedene Mitarbeitende.

• Einzelne Zugänge pro Mitarbeiter und Mitarbeiterin schaffen klare Verantwortlichkeiten. Im Falle von Missbrauch kann besser kontrolliert, nachverfolgt und im Notfall der Zugriff entzogen werden.
• Es droht Kontrollverlust darüber, wer Zugriff auf welche Daten hat.
• Passwörter, die weitergegeben werden, sind tendenziell schwächer.
• Verlässt ein Teammitglied den Betrieb, muss lediglich der persönliche Account des Teammitglieds deaktiviert werden und nicht die Passwörter von Kollegen geändert werden, die es weitergegeben haben.

Neue Geräte oder Software werden oft mit einem voreingestellten Standardpasswort ausgeliefert. Typischerweise sind das Drucker, Router, Bezahlterminals, Zimmersafes, Fernseher und so weiter. Es ist wichtig, dieses Standard-Passwort sofort zu ändern. Das hat mehrere Gründe: Diese Standard-Passwörter sind öffentlich bekannt, z. B. über eine Google-Suche auffindbar und ein häufiges Einfallstor für Angriffe. Ein typischer Angriffsweg in Hotels ist z. B., das Hacken von Routern mit Standard-Passwörtern innerhalb von Gäste-WLANs oder der Zugriff auf Videokameras, die mittels Standard-Passwörtern erreichbar sind.

Wichtig: Ändern Sie das Passwort sofort bei Inbetriebnahme – und nutzen Sie ein starkes, sicheres neues Passwort.

Es kommt häufig vor, dass durch Hacks Daten gestohlen werden – inklusive Passwörter, die im Anschluss im Internet zum Kauf angeboten werden. Oft merkt man das als Betrieb oder als Betroffener erst relativ spät.

Was Sie tun können:

• Überprüfen Sie regelmäßig auf Leaks: Dienste wie „Have I Been Pwned“ oder Sicherheitslösungen warnen, wenn Passwörter in bekannten Leaks aufgetaucht sind.
• Ein Passwort sofort ändern, falls es betroffen ist!