Passwort-Sicherheit: So erstellen Sie unknackbare Passwörter

Warum Passwortsicherheit zählt

Identitätsdiebstahl durch kompromittierte Passwörter verursacht in Deutschland jährlich Schäden in Milliardenhöhe. Über 80 Prozent aller Datenlecks und Hackerangriffe basieren auf gestohlenen oder schwachen Passwörtern. Die gute Nachricht: Mit wenigen Maßnahmen können Sie Ihre Online-Sicherheit dramatisch verbessern.

Die drei wichtigsten Regeln: Verwenden Sie für jeden Dienst ein einzigartiges Passwort, aktivieren Sie überall Zwei-Faktor-Authentifizierung und nutzen Sie einen Passwort-Manager. Damit sind Sie sicherer als 95 Prozent aller Internetnutzer.

Passwort-Manager nutzen

Ein Passwort-Manager speichert alle Ihre Passwörter verschlüsselt und füllt sie automatisch auf Websites und in Apps ein. Sie müssen sich nur noch ein einziges Master-Passwort merken.

Empfohlene Passwort-Manager:

Bitwarden: Open Source, kostenlose Basisversion (reicht für die meisten Nutzer), Premium ab 10 Euro/Jahr. Verfügbar für alle Plattformen und Browser. Daten werden Ende-zu-Ende-verschlüsselt — selbst Bitwarden kann Ihre Passwörter nicht lesen.

KeePass/KeePassXC: Vollständig kostenlos und Open Source. Die Passwortdatenbank wird lokal gespeichert — maximale Kontrolle, aber manuelle Synchronisierung nötig (z. B. über eine Cloud). Ideal für technisch versierte Nutzer.

Integrierte Manager: Die Passwort-Manager von Apple (iCloud-Schlüsselbund) und Google (Chrome) sind bequem, aber an ein Ökosystem gebunden. Für Apple-Nutzer ist der iCloud-Schlüsselbund eine solide Option.

Zwei-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierung bedeutet: Neben dem Passwort benötigen Sie einen zweiten Faktor zum Login — typischerweise einen Code aus einer App oder einen physischen Sicherheitsschlüssel. Selbst wenn Ihr Passwort gestohlen wird, können Angreifer ohne den zweiten Faktor nicht auf Ihr Konto zugreifen.

Empfohlene Methoden (von sicher zu am sichersten): SMS-Codes (besser als nichts, aber über SIM-Swapping angreifbar), Authenticator-Apps (Google Authenticator, Microsoft Authenticator, Authy — kostenlos und sicher), Hardware-Sicherheitsschlüssel (YubiKey, ab 25 Euro — höchste Sicherheit).

Aktivieren Sie 2FA mindestens für: E-Mail-Konto (das wichtigste, da darüber Passwörter zurückgesetzt werden), Online-Banking, Cloud-Speicher, soziale Netzwerke und Shopping-Konten mit gespeicherter Zahlungsmethode.

Passkeys: Die Zukunft ohne Passwort

Passkeys sind ein neuer Standard, der Passwörter vollständig ersetzen soll. Statt eines Passworts nutzen Sie Ihren Fingerabdruck, Gesichtserkennung oder die Geräte-PIN zur Anmeldung. Passkeys sind phishing-resistent — sie funktionieren nur auf der echten Website, nicht auf gefälschten Kopien.

Große Dienste unterstützen bereits Passkeys: Google, Apple, Microsoft, PayPal, Amazon und viele weitere. Wenn ein Dienst Passkeys anbietet, aktivieren Sie diese als bevorzugte Anmeldemethode. Behalten Sie das Passwort als Backup, aber nutzen Sie im Alltag den Passkey.

Passwortregeln: Mythen entlarvt

Veraltete Passwortregeln halten sich hartnäckig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Empfehlungen aktualisiert:

Mythos: Passwörter regelmäßig ändern. Realität: Ändern Sie Passwörter nur bei konkretem Verdacht eines Datenlecks. Erzwungene regelmäßige Wechsel führen zu schwächeren Passwörtern.

Mythos: Sonderzeichen machen Passwörter sicher. Realität: Die Länge ist entscheidender als die Komplexität. „KorrektesPferdBatterieKlammer" ist sicherer als „P@ss1!" — und leichter zu merken.

Empfehlung: Mindestens 14 Zeichen, idealerweise ein Passsatz aus 4 bis 5 zufälligen Wörtern. Mit einem Passwort-Manager können Sie problemlos 20+ Zeichen lange, zufällige Passwörter für jeden Dienst generieren.

Datenlecks prüfen

Auf haveibeenpwned.com (betrieben vom Sicherheitsforscher Troy Hunt) können Sie kostenlos prüfen, ob Ihre E-Mail-Adresse in bekannten Datenlecks enthalten ist. Die Seite wird vom BSI empfohlen und ist sicher — Ihre E-Mail-Adresse wird nicht gespeichert.

Wenn Ihre Adresse betroffen ist: Ändern Sie sofort das Passwort des betroffenen Dienstes. Wenn Sie dasselbe Passwort auch bei anderen Diensten verwendet haben, ändern Sie es dort ebenfalls. Aktivieren Sie 2FA, wenn möglich.

Phishing erkennen und vermeiden

Phishing-Mails und -Websites werden immer raffinierter. Prüfen Sie: Stimmt die Absenderadresse exakt (nicht nur der angezeigte Name)? Enthält die E-Mail Druck (Konto gesperrt, sofort handeln)? Führt der Link zur echten Domain (paypal.com vs. paypal-sicher.xyz)? Wird nach persönlichen Daten oder Passwörtern gefragt?

Im Zweifel: Klicken Sie keine Links in E-Mails. Öffnen Sie stattdessen die Website direkt im Browser. Seriöse Unternehmen fragen niemals per E-Mail nach Ihrem Passwort.