Fast jede Woche wird irgendwo ein Online-Dienst gehackt und eine Liste mit Zugangsdaten landet im Internet. Das eigentliche Problem entsteht dann oft nicht bei dem betroffenen Anbieter selbst, sondern überall dort, wo Sie dasselbe Passwort noch einmal benutzt haben. Kriminelle testen erbeutete E-Mail-Passwort-Kombinationen automatisch bei Banken, Shops, sozialen Netzwerken und E-Mail-Diensten – dieses Vorgehen nennt sich Credential Stuffing. Wer für jede Seite ein eigenes, starkes Passwort verwendet, unterbricht diese Kettenreaktion sofort.
Warum wiederverwendete Passwörter so gefährlich sind
Ein Passwort-Leck bei einem kleinen Forum oder einem Shop, den Sie kaum noch nutzen, klingt harmlos. Ist das Passwort aber identisch mit dem für Ihr E-Mail-Konto oder Ihr Online-Banking, öffnet ein einziger Einbruch plötzlich viele Türen. Über den Zugriff auf Ihr E-Mail-Postfach lassen sich zudem oft weitere Passwörter zurücksetzen, wodurch ein Angreifer nach und nach Zugang zu immer mehr Konten erhält.
Was ein wirklich sicheres Passwort ausmacht
- Für jeden Dienst ein anderes Passwort, ohne erkennbares Muster untereinander
- Ausreichende Länge – lieber eine längere Passphrase als ein kurzes, kompliziertes Wort
- Keine persönlichen Bezüge wie Namen, Geburtsdaten oder leicht zu erratende Wörter
- Kein einfaches Anhängen von Zahlen oder Sonderzeichen an ein Basispasswort, das Sie überall verwenden
Sich Dutzende solcher Passwörter zu merken, ist für die meisten Menschen unrealistisch. Genau hier setzen Passwort-Manager an.
Wie ein Passwort-Manager funktioniert
Ein Passwort-Manager ist eine Anwendung, die all Ihre Zugangsdaten verschlüsselt speichert. Sie merken sich nur noch ein einziges, starkes Hauptpasswort, mit dem der Manager entsperrt wird. Für jede Website kann das Programm dann automatisch ein langes, zufälliges Passwort erzeugen und beim Login automatisch einfügen. Sie müssen sich diese einzelnen Passwörter nicht mehr merken oder eintippen.
Die meisten Passwort-Manager bieten außerdem:
- Eine Browser-Erweiterung oder App, die Zugangsdaten automatisch auf der richtigen Seite ausfüllt
- Eine Warnfunktion, wenn ein gespeichertes Passwort in einem bekannten Datenleck auftaucht
- Synchronisation zwischen mehreren Geräten, sodass Sie Passwörter auf Smartphone und Computer gleichermaßen nutzen können
- Speicherplatz für weitere sensible Notizen, etwa Software-Lizenzen oder Bankdaten
Ein nützlicher Nebeneffekt: Schutz vor Phishing
Passwort-Manager füllen Zugangsdaten normalerweise nur auf der tatsächlich gespeicherten, korrekten Adresse automatisch aus. Landen Sie auf einer gefälschten Nachbildung einer bekannten Seite, erkennt der Manager oft, dass die Adresse nicht übereinstimmt, und schlägt kein Passwort vor. Das ist ein wertvoller zusätzlicher Hinweis darauf, dass mit der Seite etwas nicht stimmt.
Das Hauptpasswort richtig absichern
Da im Passwort-Manager im Grunde der Schlüssel zu Ihrem gesamten digitalen Leben liegt, verdient das Hauptpasswort besondere Sorgfalt:
- Wählen Sie eine lange, einzigartige Passphrase, die Sie sich merken können, ohne sie aufzuschreiben
- Verwenden Sie dieses Passwort ausschließlich für den Passwort-Manager, nirgendwo sonst
- Aktivieren Sie, falls angeboten, eine zusätzliche Bestätigung beim Login, etwa über eine App oder einen Sicherheitsschlüssel
- Notieren Sie sich Wiederherstellungscodes an einem sicheren, physischen Ort für den Fall, dass Sie das Hauptpasswort einmal vergessen
Erste Schritte, wenn Sie noch keinen Passwort-Manager nutzen
- Wählen Sie einen etablierten Passwort-Manager und legen Sie ein starkes Hauptpasswort fest
- Beginnen Sie mit den wichtigsten Konten: E-Mail, Online-Banking, Zahlungsdienste und Social-Media-Konten mit vielen persönlichen Daten
- Ändern Sie dort jedes Passwort in ein neues, vom Manager erzeugtes, einzigartiges Passwort
- Arbeiten Sie sich nach und nach durch die restlichen Konten, statt alles auf einmal umstellen zu wollen
- Nutzen Sie die Warnfunktion des Managers, um betroffene alte Passwörter gezielt zu erneuern
Zwei-Faktor-Authentifizierung als zusätzliche Ebene
Ein einzigartiges Passwort ist die wichtigste Grundlage, aber wo immer möglich lohnt sich zusätzlich die Zwei-Faktor-Authentifizierung. Dabei wird beim Login neben dem Passwort ein zweiter Nachweis verlangt, etwa ein Code aus einer App. Selbst wenn ein Passwort doch einmal in falsche Hände gerät, bleibt das Konto dadurch geschützt.
Fazit
Ein einzelnes Datenleck lässt sich nicht immer verhindern – Sie haben keinen Einfluss darauf, wie gut ein Anbieter seine Server absichert. Wohl aber haben Sie Einfluss darauf, ob dieses eine Leck auch alle Ihre anderen Konten gefährdet. Einzigartige Passwörter für jede Website, verwaltet über einen Passwort-Manager, sind dafür der wirksamste und zugleich bequemste Schutz im Alltag.