How often should I change my passwords?

The current NIST recommendation is to only change passwords if there is evidence of compromise. Mandatory periodic changes often lead users to choose weaker, predictable passwords.

Is a 12-character password strong enough?

A random 12-character password (mixing letters, numbers, and symbols) is generally strong enough for most accounts today. However, for critical accounts, 16+ characters or passphrases are recommended.

Passwort-Sicherheit 101: So erstellen Sie unknackbare Passwörter

In der heutigen vernetzten Welt werden unsere digitalen Identitäten oft durch eine einzige Zeichenfolge geschützt: das Passwort. Von Bankgeschäften und sozialen Medien bis hin zu Arbeits-E-Mails und medizinischen Unterlagen – Passwörter sind die Wächter unserer sensibelsten Informationen. Trotz ihrer Bedeutung verwenden die meisten Menschen jedoch Passwörter, die leicht zu erraten sind oder auf mehreren Websites wiederverwendet werden.

Ein sicheres digitales Leben muss keine Qual sein. Wenn Sie die Grundlagen der Passwort-Entropie, die Mechanismen moderner Angriffe und die Vorteile eines Passwort-Managers verstehen, können Sie Ihr Risiko, Opfer von Cyberkriminalität zu werden, erheblich senken. Wenn Sie einen starken Ausgangspunkt benötigen, kann unser Passwort-Generator sofort Keys mit hoher Entropie für Sie erstellen.

Die Wissenschaft der Stärke: Entropie verstehen

Was genau macht ein Passwort „stark“? In der Cybersicherheit messen wir dies mit einem Konzept namens Entropie. Entropie ist ein Maß für Zufälligkeit und Unvorhersehbarkeit. Je höher die Entropie Ihres Passworts ist, desto schwieriger ist es für einen Computer, es durch Brute-Force zu erraten.

Die Passwort-Entropie hängt von zwei Hauptfaktoren ab:

Zeichensatzgröße (Pool): Die Vielfalt der verwendeten Zeichen (Kleinbuchstaben, Großbuchstaben, Zahlen, Symbole).
Länge: Die Gesamtzahl der Zeichen im Passwort.

Mathematisch gesehen hat die Erhöhung der Länge eines Passworts eine viel größere Auswirkung auf die Entropie als das Hinzufügen komplexer Symbole. Aus diesem Grund ist ein langer, einfacher Satz oft sicherer als eine kurze, komplexe Zeichenfolge wie P@ss1!.

Die „Hall of Shame“: Warum gängige Passwörter versagen

Jedes Jahr veröffentlichen Sicherheitsforscher Listen der am häufigsten in Datenpannen gefundenen Passwörter. Jahr für Jahr erscheinen dieselben Übeltäter: 123456, password, qwerty und 111111. Diese zu verwenden, ist das digitale Äquivalent dazu, die Haustür weit offen zu lassen und ein Schild mit der Aufschrift „Bitte kommen Sie herein“ aufzuhängen.

Hacker raten Ihr Passwort nicht manuell. Sie verwenden automatisierte Tools, die Tausende von Variationen pro Sekunde ausprobieren. Diese Tools beginnen mit „Wörterbüchern“ gängiger Wörter, Namen und bereits geleakter Passwörter. Wenn Ihr Passwort auf einem Wörterbuchwort oder einem gängigen Muster basiert, wird es in Millisekunden geknackt.

Passphrasen vs. Passwörter: Ein besserer Ansatz

Der traditionelle Rat „Großbuchstaben, Zahlen und Symbole mischen“ führt oft zu Passwörtern, die für Menschen schwer zu merken, aber für Computer leicht zu erraten sind (wie Tr0ub4dor&3). Ein besserer Ansatz ist die Passphrase.

Eine Passphrase ist eine Folge von zufälligen Wörtern. Zum Beispiel: korrekt-pferd-batterie-hefter.

Warum sind Passphrasen überlegen?

Sie sind länger: Eine größere Länge bedeutet exponentiell mehr Kombinationen, die ein Hacker ausprobieren muss.
Sie sind einprägsam: Es ist einfacher, sich einen seltsamen Satz bildlich vorzustellen, als eine zufällige Folge von Kauderwelsch.
Widerstand gegen Brute-Force: Eine 20-stellige Passphrase aus vier gängigen Wörtern hat wesentlich mehr Entropie als ein 8-stelliges „komplexes“ Passwort.

Sie können die Stärke Ihrer aktuellen Passwörter mit unserem Passwort-Stärke-Prüfer testen.

Häufige Angriffsarten, auf die Sie achten sollten

Zu verstehen, wie Hacker arbeiten, ist der erste Schritt zur Selbstverteidigung. Hier sind die gängigsten Methoden zum Diebstahl von Passwörtern:

1. Brute-Force-Angriff

Der Angreifer verwendet ein Skript, um jede mögliche Zeichenkombination auszuprobieren, bis er die richtige findet. Deshalb ist die Länge Ihre beste Verteidigung.

2. Wörterbuch-Angriff

Der Angreifer probiert Wörter aus einer vorgefertigten Liste aus. Dazu gehören gängige Wörter in mehreren Sprachen sowie häufige Ersetzungen (wie @ für a).

3. Credential-Stuffing

Dies ist das stärkste Argument gegen die Wiederverwendung von Passwörtern. Wenn eine kleine, unsichere Website, die Sie vor fünf Jahren genutzt haben, gehackt wird, nehmen Angreifer Ihre E-Mail und Ihr Passwort und probieren diese bei Gmail, Facebook und Amazon aus. Wenn Sie überall dasselbe Passwort verwenden, gefährdet eine einzige Sicherheitslücke Ihr gesamtes digitales Leben.

4. Phishing

Der Angreifer errät Ihr Passwort nicht; er trickst Sie aus, damit Sie es ihm geben. Er könnte eine E-Mail senden, die aussieht, als käme sie von Ihrer Bank, und Sie auf eine gefälschte Login-Seite leiten. Überprüfen Sie immer die URL in der Adresszeile Ihres Browsers, bevor Sie Ihre Zugangsdaten eingeben.

Die unverzichtbare zweite Ebene: Multi-Faktor-Authentifizierung (MFA)

Selbst das stärkste Passwort kann durch Phishing oder eine Datenpanne gestohlen werden. Hier kommt MFA ins Spiel. MFA erfordert, dass Sie zwei oder mehr Belege zur Verifizierung Ihrer Identität vorlegen:

Etwas, das Sie wissen: Ihr Passwort.
Etwas, das Sie haben: Ein Code von einer Authentifizierungs-App (wie Google Authenticator), ein physischer Sicherheitsschlüssel (wie YubiKey) oder eine Benachrichtigung auf Ihrem Telefon.
Etwas, das Sie sind: Biometrische Daten wie ein Fingerabdruck oder FaceID.

Die Aktivierung von MFA ist die effektivste Einzelmaßnahme, die Sie zur Sicherung Ihrer Konten ergreifen können. Sie stellt sicher, dass ein Hacker selbst dann nicht hineinkommt, wenn er Ihr Passwort hat.

Der Freund des Entwicklers: Passwort-Manager

Wenn Sie die Regel „einzigartige, lange und zufällige Passwörter für jede Website“ befolgen, wird es unmöglich, sie sich alle zu merken. Hier werden Passwort-Manager (wie Bitwarden, 1Password oder KeePass) unverzichtbar.

Ein Passwort-Manager ist ein sicherer digitaler Tresor, der:

Starke, einzigartige Passwörter für jede Website generiert.
Diese in einer verschlüsselten Datenbank speichert.
Sie automatisch ausfüllt, wenn Sie eine Login-Seite besuchen.
Sich über alle Ihre Geräte hinweg synchronisiert.

Mit einem Manager müssen Sie sich nur noch ein „Master-Passwort“ merken. Stellen Sie sicher, dass dieses Master-Passwort eine sehr lange Passphrase mit hoher Entropie ist!

Best Practices für ein sicheres digitales Leben

Verwenden Sie Passwörter niemals wieder. Jedes Konto verdient seinen eigenen einzigartigen Schlüssel.
Nutzen Sie einen Passwort-Manager. Lassen Sie die Software die schwere Arbeit des Merkens und Generierens von Schlüsseln erledigen.
Aktivieren Sie MFA, wo immer es möglich ist. Priorisieren Sie Ihre E-Mail-, Finanz- und Social-Media-Konten.
Vermeiden Sie persönliche Informationen. Verwenden Sie nicht Ihren Namen, Geburtstag, den Namen Ihres Haustiers oder Ihren Wohnort in Ihren Passwörtern.
Seien Sie vorsichtig bei Sicherheitsfragen. Die Antwort auf „Was war Ihr erstes Auto?“ lässt sich oft in Ihren sozialen Medien finden. Verwenden Sie stattdessen eine zufällige Zeichenfolge oder eine falsche Antwort.

Historische Perspektive: Chiffren und Verschlüsselung

Das Streben nach sicherer Kommunikation ist uralt. Lange vor modernen Computern nutzten die Menschen manuelle Chiffren, um Geheimnisse zu schützen. Ein berühmtes Beispiel ist die Vigenère-Chiffre, die ein Schlüsselwort verwendet, um Buchstaben in einer Nachricht zu verschieben. Während sie einst als „unentschlüsselbar“ galt, können moderne Computer sie im Handumdrehen knacken. Sie können mit dieser historischen Methode in unserem Vigenère-Chiffre-Tool experimentieren, um die Wurzeln der Verschlüsselungslogik zu verstehen.

Fazit

Sicherheit ist eine Reise, kein Ziel. Mit zunehmender Rechenleistung können Techniken, die heute sicher sind, morgen verwundbar werden. Wenn Sie sich jedoch angewöhnen, lange Passphrasen, einzigartige Passwörter und die Multi-Faktor-Authentifizierung zu verwenden, sind Sie 99 % der Internetnutzer einen Schritt voraus. Bleiben Sie wachsam, nutzen Sie die richtigen Werkzeuge und halten Sie Ihre digitalen Tore fest verschlossen.