Passworte und Zugangsdaten werden gerne gestohlen. Diebe manipulieren damit Accounts, buchen Geld ab, bestellen teure Waren auf deine Kosten, schließen Verträge ab oder versenden Spam-Nachrichten von deinem E-Mail-Account.

Aber wie kommen Diebe an die Passwörter?

Durch Datenlecks bei großen Online-Unternehmen gelangen immer wieder Millionen Benutzernamen und Passwörter in die Hände von Kriminellen. Diese Informationen sind anschließend online zu finden oder zu kaufen. Wer wissen möchte, ob sein Passwort geknackt wurde, kann seine E-Mail-Adresse hier online überprüfen. Aber viele Menschen machen es Dieben auch leicht: Sie nutzen das gleiche Passwort für alle oder mehrere Accounts oder sie nutzen ein schlechtes Passwort. Das IT-Unternehmen NordPass hat herausgefunden, dass das Passwort „123456” in Österreich am beliebtesten ist, gefolgt von „123456789” und „12345”. Solche Passwörter lassen sich innerhalb von weniger als einer Sekunde knacken.

Warum brauche ich so viele Passwörter?

Deshalb ist es so wichtig, dass für jeden Dienst ein eigenes Passwort nutzt. So vermeidest du, dass Kriminelle mit einem geknackten Passwort auf mehrere Services zugreifen können. Außerdem wählst du möglichst sichere Passwörter, die sich nicht leicht erraten lassen: Die Wirtschaftskammer Österreich hat hier zusammengestellt, wie ein sicheres Passwort aussehen sollte. Lange wurde empfohlen, Passwörter regelmäßig zu ändern. Aber weil viele Nutzer sich deshalb einfachere Zugangscodes zugelegt haben, um sie sich leichter merken zu können, geben Sicherheitsbehörden diese Empfehlung nicht mehr aus.

Wie merkst du dir verschiedene Passwörter? 

Eine Möglichkeit ist, dass du die Passwörter an einem geschützten Ort notierst. Nicht auf einem Zettel am Rechner und nicht im Portemonnaie oder im Kalender. Auch solltest du ungeschützte Dateien mit Passwörtern auf Computer und Smartphone vermeiden – du kannst sie zusätzlich mit einem Passwort versehen. Auch solltest du keine Passwörter per E-Mail oder SMS verschicken. Speicherst du Passwörter im E-Mail-Programm, Browser oder auf dem Smartphone, dann achte darauf, dass die Programme die Daten verschlüsselt speichern und das Gerät gut geschützt ist, zum Beispiel durch eigene Kennworte. Außerdem kann es vorkommen, dass du Zugangsdaten löschst, wenn du Cookies aus dem Browser entfernst. Und schließlich haben die integrierten Passwortspeicher weitere Nachteile. Denn sie machen dich vom Browser abhängig. Und große Konzerne wie Google oder Microsoft übernehmen die Synchronisierung deiner Passwörter über mehrere Geräte. Deshalb kann es besser sein, wenn du dich auf einen Anbieter verlässt, die auf Datensicherheit spezialisiert ist.

Passwort-Manager helfen beim Erstellen und Merken

Die einfachste Möglichkeit ist ein Passwort-Manager, der deine Passwörter sicher verwaltet. Es gibt verschiedene Programme, die jede Nutzer-Passwort-Kombination in einer gesicherten Datenbank speichern. Außerdem erzeugt so eine Software Zufallskennwörter, füllt Passwort-Felder automatisch aus und synchronisiert die Daten auch auf anderen Rechnern, zum Beispiel deinem Handy.

Worauf musst du achten: das Master-Passwort

Bei einem Passwort-Manager gibst du ein zentrales Passwort ein, mit dem sich die Software starten und die gespeicherten Passwörter anzeigen lassen. Dieses sogenannte Master-Passwort sollte möglichst komplex, lang und inhaltlich sinnfrei sein. Wenn du Schwierigkeiten hast, ein sicheres Passwort zu finden, kannst du folgendermaßen vorgehen.

Denk dir einen Satz mit mindestens acht Wörtern. Nimm anschließend Buchstaben nach einem festen Schema aus diesem Satz. Du kannst zum Beispiel die Wortanfänge oder jeden dritten Buchstaben nehmen. Tausche Buchstaben gegen Sonderzeichen, zum Beispiel K immer gegen $ oder M gegen #.

Dann hast du einen leichten Satz wie „Ich kann mir kein Passwort merken und vergesse immer alles“ wird auf diese Weise in ein sicheres, aber trotzdem merkbares Passwort umgewandelt: Aus den Anfangsbuchstaben „IkmkPmuvia“ wird „l$#$P#uvia“.

Worauf musst du achten: Verschlüsselung

Weil der Passwort-Manager viele sehr wichtige Daten enthält, muss er selber sehr sicher sein: Achte darauf, dass der Anbieter eine AES-256-Verschlüsselung anbietet. Die genügt sogar militärischen Standards. Außerdem sollte der Anbieter die sogenannte Zero-Knowledge-Policy anwenden. Das heißt, die Passwort-Daten werden zwar per Cloud synchronisiert, können jedoch nicht vom Anbieter selber eingesehen werden, sondern aufgrund der Verschlüsselung nur von dir. Erst so wird dein Passwort-Safe wirklich sicher.

Welchen Passwort-Manager soll ich nehmen?

Die Stiftung Warentest hat im Januar 2020 Testergebnisse für 14 Passwort-Manager veröffentlicht. Auch das österreichische Zentrum für sichere Informationstechnologie A-SIT empfiehlt mehrere Passwortmanager. Die Liste ist jedoch zuletzt 2019 aktualisiert worden. 

  Was passiert eigentlich, wenn du das Master-Passwort vergisst?

Weil das Master-Passwort leicht merkbar und gleichzeitig sehr komplex sein muss, ist es schwierig, wenn du es trotzdem vergisst. 

Passwort-Manager mit Zero-Knowledge-Policy haben keinen Zugriff auf deine Daten und können daher kein Master-Passwort zurücksetzen. Manche Anbieter geben aber einen Recovery-Code aus: Dieser sollte an einem sicheren Ort und natürlich nicht im Passwort-Manager gespeichert werden. Damit kannst du dann das Master-Passwort zurücksetzen. Auf jedem Fall solltest du einen Zettel mit dem Master-Passwort an einem sicheren Ort verstecken.

Was kostet ein Passwort-Manager?

Der güns­tigste der sieben Lösungen, die die Stiftung Warentest ausgewählt hat, kostet rund 9 Euro pro Jahr, für die beiden Testsieger fallen jähr­lich 38 bis 53 Euro an. Diese Summe und der zeitliche Aufwand für die Einrichtung eines Passwort-Managers lohnen sich sicherlich, wenn du an den Aufwand denkst, den verlorene oder gestohlene Zugangsdaten mit sich bringen.