Wie sicher sind eigentlich unsere Passwörter? Was wir tun können, um Passwörter sicherer zu machen, und ob ein Passwortmanager ratsam ist, verrät unser Experte Andreas Reinhardt.

Die ersten Tipps zum für sichere Passwörter kennen wir inzwischen alle: Bitte nicht "1234" als Passwort nutzen. Auch das eigene Geburtsdatum ist kein Sicherheitsgarant. Und ganz wichtig: Passwörter regelmäßig zu ändern. Das machen allerdings die wenigsten.

Passwörter zuverlässig merken

Das geht ganz einfach analog. Für jeden Zugang sollten wir ein eigenes Passwort haben und das soll häufig auch noch unterschiedlichen Anforderungen genügen: 10 Zeichen soll es häufig haben und in keinem Lexikon stehen.

Das geht sehr einfach, wenn ich mir einen Satz ausdenke, eine Songzeile oder einen Buchtitel und davon dann zum Beispiel nur die Anfangsbuchstaben nehme. Da habe ich schon mal Groß- und Kleinbuchstaben, die keinen Sinn ergeben. Das ist mein Grundpasswort! Das kombiniere ich mit einem "+" Zeichen oder einem "&" mit dem Namen der Seite. Daran kann ich mich auch noch nach Jahren erinnern, weil ich mir das immer herleiten kann.

Damit wir im Internet etwas sicherer sind, sollten wir bei unseren Passwörtern ein paar einfache Regeln befolgen: Keine Zahlenfolgen, Wörter aus dem Lexikon oder das eigene Geburtsdatum als Passwort nutzen. dpa Bildfunk Picture Alliance

Passwortmanager & Co. – Hilfsmittel

Wenn wir uns nicht auf uns selbst verlassen möchten oder uns das schlichtweg zu anstrengend ist, können wir auch sogenannte Passwortmanager nutzen. Das sind kleine Programme, die merken sich alle unsere Passwörter und fügen diese dann ein, wenn sie abgefragt werden. Sie erzeugen auch total komplizierte Passwörter.

Dieser Passwortmanager muss aber natürlich auch mit einem Passwort geschützt werden. Der Passwortmanager ist sozusagen wie unser digitaler Schlüsselbund, der uns eben unterschiedliche digitale Türen öffnet. Gut ist es, wenn die Passwörter so gespeichert werden, dass wir auch unterwegs etwa über das Smartphone an unsere Passwörter kommen. Dem Anbieter sollten wir also vertrauen oder es wird dort alles verschlüsselt abgespeichert. Also auch das ist nicht so einfach, wie es auf den ersten Blick erscheint.

Keine klassischen Passwörter mehr?

Experten gehen davon aus, dass die Tage des klassischen Passwortes gezählt sind. Aber was kommt stattdessen? Nach dem Passwort kommt die sogenannte "Zwei-Faktor-Authentifizierung" oder "Multifaktor-Authentifizierung". Das kennen viele von uns schon vom Online Banking, da bekommt man auf einem zweiten Weg eine Zahlenfolge aufs Smartphone geschickt, die nur ein paar Minuten als zusätzliches Passwort gültig ist oder es muss über eine Gesichtserkennung oder den Fingerabdruck freigeschaltet werden.

Damit wir uns im Netz besser vor Angreifern schützen können, nutzen viele Webseiten inzwischen die sogenannte "Zwei-Faktor-Authentifizierung" oder "Multifaktor-Authentifizierung". dpa Bildfunk Picture Alliance

In diesem Fall ist der erste Faktor der Benutzername und das Passwort und der zweite Faktor kann ein biometrisches Merkmal (Fingerabdruck oder Gesichtserkennung) sein. Wenn dann das erste Passwort geknackt wird, kommt der Angreifer trotzdem nicht rein, weil er nicht mein Gesicht oder meinen Fingerabdruck hat.

Passwörter der Zukunft – Was sind "Passkeys"?

Zwei-Faktor-Authentifizierung gibt es an vielen Stellen schon, das muss ich oft einfach nur beim Anbieter einschalten, etwa für das E-Mail-Postfach. Was noch in diesem Jahr kommen wird, ist ein Verfahren namens "Passkey". Das funktioniert so ähnlich wie Zwei-Faktor-Authentifizierung. Immer mehr Anbieter unterstützen "Passkey" und auch Apple und Google sind schon dabei. Damit soll die Anmeldung recht einfach sein und das wird in gar nicht allzuferner Zukunft das normale Passwort überflüssig machen. Das besondere am "Passkey" ist, dass biometrische Merkmale oder PIN-Codes nur für einzelne Geräte funktionieren, also zum Beispiel nur über meinen PC zu Hause oder über mein Smartphone. Sollte ein Angreifer also irgendwie an meinen PIN, mein Passwort oder ähnliches kommen, kann dieses an einem anderen Endgerät nicht genutzt werden.