GRUNDSCHUTZ.NET
Kontakt

Sichere Passwörter: Auswahl und Nutzung

12. Oktober 2025

Sichere Passwörter und die richtige Wahl und Nutzung von diesen

Ein praxisnaher Ratgeber für Privatpersonen und Unternehmen: Von der Erstellung starker Passwörter über Passwort-Manager bis zur Zwei-Faktor-Authentifizierung.

Ein Passwort ist oft die erste und wichtigste Verteidigungslinie gegen unbefugten Zugriff auf Konten, Geräte und sensible Daten. Dieser Ratgeber erklärt praxisnah, wie Sie Passwörter und Passphrasen richtig auswählen, sicher nutzen, komfortabel verwalten und mit Zwei-Faktor-Authentifizierung absichern.

Warum starke Passwörter wichtig sind

Passwörter sind oft der einzige Schutz zwischen Daten und Angreifern. Weil dieselben Zugangsdaten heute in großem Stil gestohlen, gehandelt und automatisiert ausprobiert werden, reicht „irgendwas Merkbares“ längst nicht mehr. Wer versteht, wie Konten tatsächlich geknackt werden, erkennt schnell: Einzigartigkeit, Länge und Komplexität sind die wirksamste Antwort.

Bedrohungsbild (typische Angriffe):

  • Credential Stuffing: Automatisiertes Ausprobieren bereits geleakter Kombinationen aus E-Mail/Passwort auf vielen Diensten.
  • Brute-Force/Wörterbuchangriffe: Systematisches Durchprobieren häufiger Wörter, Muster oder kurzer Zeichenketten.
  • Phishing/Smishing/Vishing: Personen werden zur Preisgabe des Passworts verleitet.
  • Malware/Keylogger: Schadsoftware liest Eingaben im Hintergrund aus.
  • Shoulder Surfing/Social Engineering: Beobachten von Eingaben oder Ausnutzen von Vertrauensverhältnissen.

Konsequenzen:

  • Kontodiebstahl
  • Identitätsmissbrauch
  • Finanzielle Schäden
  • Reputationsschäden
  • Datenschutzverletzungen
  • Unbefugter Zugriff auf Geräte und Dienste

Kernprinzip:

  • Wenn ein Angreifer ein Passwort kennt und dieses an anderen Stellen wiederverwendet wird, fallen oft mehrere Konten. Daher sind Einzigartigkeit, Länge und Komplexität entscheidend.

Merkmale sicherer Passwörter

Sichere Passwörter zeichnen sich nicht durch vermeintliche „Tricks“ wie Zahl-Buchstaben-Ersetzungen aus, sondern durch einen großen, schwer vorhersagbaren Suchraum. Entscheidend sind vor allem Länge, Einzigartigkeit pro Dienst und Unvorhersehbarkeit, beispielsweise in Form mehrwörtiger Passphrasen. Ergänzend erhöhen eine geeignete Zeichenvielfalt und der Verzicht auf persönliche Bezüge (Namen, Daten, Muster) die Widerstandskraft gegen Wörterbuch-, Brute-Force- und Credential-Stuffing-Angriffe.

Kriterien für starke Passwörter:

  • Länge: Mindestens 10 Zeichen unter Beachtung der nachfolgenden Kriterien. Bei Verwendung eines Passwort-Managers und unter dem Gesichtspunkt, dass man sich die Passwörter nicht merken muss, sollten längere Passwörter (25 Zeichen aufwärts) genutzt werden.
  • Unvorhersehbarkeit: Keine persönlichen Daten, keine gängigen Muster (beispielsweise 123456, qwertz, Sommer2025!, Vereinsname+Jahr).
  • Zeichenvielfalt: Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen.
  • Einzigartigkeit pro Dienst/Konto: Jedes Konto hat ein anderes Passwort.

Entropie:

  • Entropie misst die Unvorhersehbarkeit. Mehr mögliche Kombinationen = größerer Aufwand fürs Raten. Länge schlägt Komplexität: Eine 18-Zeichen-Passphrase aus zufälligen Wörtern kann sicherer sein als ein kurzes „kompliziertes“ Passwort. Die Empfehlung ist die Kombination aus Länge und Komplexität.

Do & Don’t:

  • ✅ Lang, einmalig, zufällig und komplex.
  • ❌ „Sommer2025!“ oder „Name+Geburtstag!“ – diese Muster sind trivial.

Merksätze & Eselsbrücken: Komplexe Passwörter merkbar machen

Wichtig vorab: Passwort-Manager + lange, zufällige Passwörter sind der Goldstandard. Wenn Sie zusätzlich ein paar wenige wichtige Kennwörter im Kopf behalten möchten (z. B. Geräte-Login, Passwort-Manager Zugang), helfen Merksatz-Techniken. Nutzen Sie diese sparsam, nie für viele Dienste und niemals das selbe Passwort mehrfach.

Methode 1: Anfangsbuchstaben eines persönlichen Satzes

  • Eigenen Satz bilden (keine Zitate/Redewendungen, nichts öffentlich Bekanntes): „Jeden Montag jogge ich 7 km, egal ob es regnet!“
  • Anfangsbuchstaben übernehmen, Zahlen/Punktuation behalten → JMji7km,eoes!
  • Varianz einbauen (Groß/Klein, Sonderzeichen, ggf. Trennzeichen) → JMji7km,EoEs! oder JMji7km~EoEs!

Weitere Beispiele (mit Herleitung)

  • „Mein erster Hund hieß Balu und kam 2009 zu uns.“ → z. B. MeHhB'u2009zu. oder MeHhB&u2009Zu.
  • „Abends trinke ich 2 Tassen Tee; Zucker nie!“ → Ati2TT;Zn! → z. B. A-ti2TT;Zn!
  • „In der U-Bahn lese ich 3 Kapitel, wenn Platz ist.“ → IdUBli3K,wPi.

Checkliste für gute Merksatz-Passwörter

  • Persönlich & einzigartig (nur für Sie sinnvoll, nicht im Internet auffindbar)
  • ≥ 16–18 Zeichen (länger ist besser)
  • Mix aus Groß/Klein, Ziffern, und Satzzeichen/Sonderzeichen
  • Keine Namen, Geburtstage, Orte, Vereins-/Firmenbezüge
  • Nicht den dienstlichen Informationen einbauen (vorhersagbar!)
  • Nur für sehr wenige Logins verwenden; für alles andere: Passwort-Manager.

Methode 2: Satz + Wortzahl/Zahlenwörter

  • „Ich koche 5 mal pro Woche; 2 davon vegan.“ → Ik5mpW;zweidv. oder IkfünfmpW;2dv.

Methode 3: Silben-/Buchstabenspiel

  • „Frische Kräuter geben jedem Essen Tiefe“ → FrKrä-geJe_Es+Ti!

Methode 4: Merksatz-Passphrase (Wörter + Trennzeichen)

  • Statt Buchstabenakronymen können Sie einen privaten Satz als Wortfolge mit Trennzeichen nutzen: MontagRegen—7km—trotzdemJoggen! Vorteil: sehr lang, gut merkbar. Achten Sie darauf, dass der Satz nicht erratbar ist.

Häufige Fehler (bitte vermeiden)

  • Berühmte Zitate, Songtexte, Sprichwörter oder öffentlich gepostete Sätze benutzen
  • Offensichtliche Ersetzungen wie a→@, s→$ allein (zu erwartbar)
  • Namen, Geburtstage, Adresse, Vereins-/Team-/Haustiernamen
  • Dasselbe Merksatz-Passwort für mehrere Konten verwenden
  • Dienstnamen anhängen (…@amazon, …#gmail) → leicht ableitbar

Mini-Bauplan

  • Privaten Satz formulieren (nur Ihnen geläufig).
  • Regel wählen: Anfangsbuchstaben oder Wörter mit Trennzeichen.
  • Mindestens 16–18 Zeichen, Groß/Klein, Zahlen, Satzzeichen.
  • Einmalig verwenden und sicher notieren (falls nötig: offline, z. B. im Safe).
  • Für alle anderen Logins: Passwort-Manager + zufällige 25–40 Zeichen.

Passwort-Manager sicher einsetzen

Passwort-Manager sind zentrale Helfer moderner Kontosicherheit: Sie generieren lange, zufällige Passwörter, speichern diese verschlüsselt und stellen sie bei Bedarf komfortabel bereit. Richtig ausgewählt und konfiguriert senken sie das Risiko durch Passwort-Wiederverwendung und unsichere Merktechniken erheblich – und reduzieren zugleich die kognitive Belastung: Es muss nur noch ein einziges, starkes Hauptpasswort erinnert werden, anstatt Dutzende komplexer Kennwörter.

Warum Passwort-Manager?

  • Komplexe Passwörter ohne sich diese merken zu müssen.
  • Erzeugen zufällige und lange Passwörter.
  • Speichern sie verschlüsselt.
  • Füllen sie in Apps/Browsern automatisch ein.
  • Synchronisieren sicher zwischen Geräten (je nach Lösung).

Auswahlkriterien:

  • Starke Verschlüsselung.
  • Sichere Freigabe einzelner Zugangsdaten (Team/Family).
  • Notfallzugriff/Recovery (z. B. Trusted Contacts, Master-Key-Export).
  • Bei Cloud-Nutzung/-Anbietern: Geeignete technische und organisatorische Maßnahmen prüfen.
  • Bei Bedarf: Multi-Plattform-Support (Win/macOS/Linux/iOS/Android), Browser-Add-ons.

Konfiguration (Checkliste):

  • Hauptpasswort: einzigartig, ausreichend lang und komplex
  • 2FA für den Passwort-Manager nach Möglichkeit aktivieren.
  • Automatisches Sperren nach Inaktivität.
  • Cloud-Sync nur mit Gerätelizenz/Hardening; auf mobilen Geräten Display-Sperre/Biometrie erzwingen.
  • Sichere Notfallwiederherstellung dokumentieren (Backup-Codes, Recovery-Key).
  • Regelmäßig App/Extension aktualisieren.

Betriebsstrategie:

  • Passwort-Hygiene: Für jeden Dienst ein neues, vom Manager generiertes Passwort (z. B. 25-35 Zeichen).
  • Ordner/Tags: Nach Themen (Finanzen, Arbeit, Social, Admin) organisieren.
  • Sichere geteilte Tresore für Familien/Teams statt Versand per Mail/Chat.

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierung ergänzt das Passwort um eine zweite, unabhängige Sicherheitsstufe und reduziert so das Risiko einer Kontoübernahme selbst dann, wenn ein Passwort bekannt wird. Statt allein auf „Wissen“ (Passwort) zu setzen, kommt zusätzlich ein Besitz- (z. B. Sicherheitsschlüssel, Smartphone) oder Inhärenzfaktor (Biometrie) zum Einsatz.

Besonders robuste Verfahren basieren auf FIDO2/WebAuthn (inkl. Passkeys) und sind weitgehend phishing-resistent, da sie Anmeldungen kryptografisch an die echte Domain binden. TOTP-App-Codes bieten eine solide Absicherung, während SMS-Codes als Mindeststandard gelten, jedoch anfälliger für Umgehungen sind.

Für den Alltag zählen neben Sicherheit auch Verfügbarkeit und Wiederherstellbarkeit: Backup-Codes, ein zweiter registrierter Hardware-Key und klar dokumentierte Recovery-Wege verhindern den Verlust des Zugriffs. Gleichzeitig helfen bewusster Umgang mit Anmeldeaufforderungen und Alarmmeldungen, MFA-Fatigue (reflexartiges Bestätigen) zu vermeiden. Ziel ist ein ausgewogenes 2FA-Setup, das starke Schutzwirkung mit praktikabler Nutzung verbindet.

Best Practices:

  • Zwei-Faktor-Authentifizierung immer aktivieren, insofern diese angeboten wird.
  • Backup-Codes sicher offline aufbewahren (Papier im Safe, kein Foto in der Cloud).
  • Zweiten Hardware-Key als Reserve hinterlegen (z. B. im Tresor).
  • Wiederherstellungskanäle (z. B. Trusted Contacts) definieren.
  • Warnsignale: Unerwartete 2FA-Prompts → ablehnen und Passwort ändern.

Passwortwechsel & Leak-Prüfung

Moderne Sicherheitsleitlinien rücken von starren, turnusmäßigen Passwortwechseln ab und priorisieren stattdessen anlassbezogenes Handeln: Passwörter werden sofort geändert, wenn ein Verdacht auf Kompromittierung besteht, ein Dienst einen Vorfall meldet oder Wiederverwendung festgestellt wird. Ergänzend sorgt eine regelmäßige Leak-Prüfung (z. B. über seriöse, datensparsame Dienste mit k-Anonymität) dafür, dass bekannte Datenabflüsse früh erkannt werden. Sicherheitsbenachrichtigungen, Anmeldewarnungen und Geräteübersichten wichtiger Konten unterstützen das Monitoring.

Im Ernstfall gilt es, den Zugang schnell zu sichern (Passwort ändern, aus allen Sitzungen abmelden, 2FA aktivieren/erzwingen), abhängige Konten mit ggf. wiederverwendeten Passwörtern zu prüfen und Wiederherstellungskanäle (E-Mail, Telefonnummer, Backup-Codes) zu verifizieren. Priorität haben besonders schützenswerte Konten wie E-Mail, Cloud, Finanz- und Administrationszugänge. Ziel ist ein Vorgehen, das Risiken früh erkennt, wirksam reagiert und ohne unnötige Wechselpflichten die Gesamtresilienz erhöht.

Moderne Empfehlung:

  • Kein regelmäßiger Pflichtwechsel ohne Anlass – starke, lange, einzigartige Passwörter sind wichtiger.

Passwort sofort wechseln, wenn:

  • ein Dienst einen Vorfall meldet,
  • E-Mail-Adresse oder Zugangsdaten in bekannten Leaks auftauchen,
  • Phishing vermutet wird oder ungewöhnliche Logins wahrgenommen werden,
  • das Passwort irgendwo wiederverwendet wurde.

Leak-Prüfung & Monitoring:

  • Nutze seriöse Dienste/Watchlists, die sicher nach bekannten Leaks prüfen (z. B. mit k-Anonymität).
  • Aktiviere Sicherheits-Benachrichtigungen in wichtigen Konten (E-Mail-Provider, Cloud, Banking).

Vorgehensweise nach einem Vorfall:

  • Zugang sichern: Abmelden von allen Sitzungen, Passwort ändern, 2FA erzwingen.
  • Inventur: Wo wurde dasselbe Passwort evtl. wiederverwendet? Dort ebenfalls ändern.
  • Postfächer prüfen: Weiterleitungen/Filterregeln, Wiederherstellungsadresse, Telefonnummer.
  • Geräte scannen: Auf Malware prüfen, Updates einspielen.
  • Benachrichtigen: Betroffene Stellen/IT melden, falls geschäftlich.
  • Beobachten: Kontoaktivitäten & neue Login-Meldungen im Blick behalten.