Am 1. Februar ist "Ändere dein Passwort"-Tag". Doch statt sich regelmäßig neue Passwörter auszudenken, sollte man für jeden wichtigen Online-Dienst ein separates, sicheres Passwort verwenden, rät das Computermagazin "c't". Ein Passwort-Manager kann dabei wertvolle Dienste leisten. Passwort-Änderungen als Selbstzweck hingegen führen nicht zwangsläufig zu mehr Sicherheit und gelten als überholt.

Nervig

Passwörter sind aus Nutzersicht vor allem eins: nervig. Sollen sie sicher sein, muss man sich komplizierte und/oder lange Zeichenfolgen merken. Hält man sich dann noch an die Empfehlung, für jeden Dienst ein eigenes Passwort zu vergeben, steigt man schnell nicht mehr durch. Viele Nutzer haben schon längst resigniert und verwenden der Einfachheit halber ein Passwort für mehrere Dienste. Doch das ist hochgradig gefährlich: Knackt ein Angreifer einen Account, kann er auch auf alle anderen zugreifen.

Der gute alte Zettel

"Statt sich jedoch jedes Jahr am "Ändere dein Passwort"-Tag zig neue Passwörter auszudenken, sollte man einen Passwort-Manager nutzen", empfiehlt "c't" . "Dieser nimmt einem lästige Tipparbeit ab und generiert auf Wunsch zufällige Passwörter." Im Test des Computermagazins "c't" haben Enpass, KeePass, Password Depot und SafeInCloud gute Bewertungen erhalten. Die Passwort-Manager bieten dem User freie Hand bei der Art der Synchronisierung der Passwörter und sind komfortabel zu bedienen. Aber auch der gute alte Zettel, aufbewahrt in der Geldbörse oder im Safe, ist noch immer eine effektive Maßnahme gegen Trojaner aller Art.

Je individueller die Zeichenabfolge, desto besser

Möchte man seine Passwörter stattdessen selbst verwalten, gibt es diverse Regeln: "Geht es um persönliche Daten oder Geld, sollten Sie es einem Angreifer nicht leichter als nötig machen und eine lange Passphrase einsetzen." Außerdem gilt: Je individueller die Zeichenabfolge, desto besser. Ein Beispiel wäre: "Ich lese den STANDARD gerne, weil er mir Tipps für Sicherheit im Netz liefert." Zusätzliche Großbuchstaben und Interpunktion erhöhen die Komplexität. Außerdem sollten Sicherheits-Updates, etwa für Windows, zügig installiert werden. Auch schadet es nicht, den eigenen Rechner mit einem Antivirenschutz auszurüsten.

Pwned Passwords

Der Dienst "Pwned Passwords" ist hierbei ein gern genutzter Helfer. Er vergleicht das selbst eingegebene Passwort mit seiner Datenbank und findet so heraus, ob sich die eingegebene Zeichenfolge schon auf einer Liste bereits geknackter Passwörter befindet.

Darüber hinaus sollte man – wann immer es geht – die sogenannte Zwei-Faktor-Authentifizierung einschalten. Dann ist der Account auch dann noch geschützt, wenn ein Angreifer die Zugangsdaten kennt. (red, 30.1. 2019)