Ratgeber zur Datensicherheit
Die besten Tipps für sichere Passwörter
Sich überall mit «12345» anzumelden, ist keine gute Idee. Es gilt, die optimale Strategie für den Umgang mit Log-ins und Zugangsdaten zu finden. Antworten auf die entscheidenden Passwort-Fragen.
Matthias Schüssler
Früher waren Passwörter etwas, mit dem sich Geheimdienstler, Militärs und Spione herumgeschlagen haben. Heute sind sie für uns alle ein Teil des Alltags – der Digitalisierung sei Dank.
Doch es hilft nichts: Wer ein digitales Leben hat und das schützen will, der kommt nicht darum herum, sich eine solide Passwortstrategie anzueignen. Orientieren Sie sich dabei an folgenden Fragen:
Wie kommen Sie an Ihr Passwort?
Ein Passwort wie «12345» hat den Vorteil, dass es sich einfach merken und schnell tippen lässt. Da ein solches Passwort in Millisekunden geknackt werden kann, zählt das leider nicht. Statt sich selbst ein Passwort auszudenken, lassen Sie es sich vom Computer generieren: Das garantiert, dass das Passwort die Sicherheitsanforderungen erfüllt. Und es verhindert eine Ursünde im Umgang mit Zugangsdaten – nämlich die, das gleiche Passwort mehrfach zu verwenden.
Moderne Browser schlagen Ihnen ein Passwort vor, wenn Sie sich für eine Website registrieren müssen. Sie können Onlinegeneratoren wie der von lastpass.com zurate ziehen. Generell gilt: je länger und schwieriger, desto besser. Wenn der Code die Länge eines Satzes hat, spricht man von einer Passphrase.
Wo speichern Sie Ihre Passwörter?
Das ist die Gretchenfrage. Ideal wäre es, die Passwörter im Kopf zu behalten. Doch das schaffen bei guten und starken Passwörtern wie «s%wm$QwBYa&G6BSP» nur Gedächtnisgenies. Darum verwenden Sie ein Hilfsmittel. Die gängigen Surfprogramme – Firefox, Safari, Google Chrome und Microsoft Edge – speichern die Passwörter. Sie füllen die Passwortdialoge automatisch aus und zeigen die Passwörter bei Bedarf auch an.
Das ist praktisch, zumal sich die Passwörter auch via Cloud synchronisieren lassen und dann an mehreren Computern und auch am Smartphone und Tablet zur Verfügung stehen. Allerdings raten viele Sicherheitsexperten von der Speicherung im Browser ab. Der Grund liegt darin, dass sie leicht aus dem Browser gestohlen werden können – durch jemanden, der Zugang zum Computer hat, aber auch durch eine Schadsoftware. Dieser Einwand stimmt. Doch trotzdem sind sichere, im Browser gespeicherte Passwörter besser, als wenn Sie das gleiche, schwache Passwort immer und überall benutzen.
Und auch die im Browser gespeicherten Passwörter lassen sich zusätzlich schützen: Apple tut das am iPhone und Mac, indem die Sie den Zugriff auf die Passwörter autorisieren müssen, indem Sie den Benutzercode des Geräts eingeben oder sich mittels Fingerabdruck bzw. Gesichtserkennung identifizieren. Bei Microsofts Browser Edge lohnt es sich, in den Einstellungen bei «Profile > Kennwörter» die Option «Mit Gerätekennwort» einzuschalten: Dann werden die gespeicherten Daten via Windows-Log-in freigeschaltet. In Firefox vergeben Sie ein Hauptpasswort.
Der sicherste Weg ist ein Passwortmanager – aber welcher?
Wenn Sie sich für den sichersten Weg – einen Passwortmanager – entscheiden, haben Sie diverse Produkte zur Wahl. Es gibt kommerzielle Vertreter wie 1Password, Dashlane oder Lastpass sowie einen bekannten Vertreter aus der Open-Source-Welt, nämlich Keepass. Die Grundanforderungen erfüllen alle ausgezeichnet, doch es gibt Unterschiede bei den Zusatzfunktionen und bei der Benutzerfreundlichkeit. 1Password hat beispielsweise eine Familienfunktion, die Zugangsdaten auf geschützte Weise und natürlich selektiv an Partner, Kinder und Gäste weitergibt. Dashlane hält eine Recovery-Funktion für den Fall bereit, dass das Hauptpasswort vergessen gegangen ist, und Lastpass unterstützt auch Einmal-Codes bei der Zwei-Faktor-Authentifizierung.
Keepass XC ist ein Passwortmanager, den es für Windows, Mac und Linux gibt.
Die kostenlose Variante, Keepass (keepass.info), ist nicht ganz pflegeleicht, aber grundsätzlich eine gute Wahl, die sich bei mir seit Jahren bewährt. Am Mac und iPhone benutze ich die Variante Kypass (7 Fr. im Store), eine moderne Version für Windows ist KeepassXC.
Und das Hauptpasswort? Darf ich mir das aufschreiben?
Eine Sache bleibt: Wenn Sie einen Passwortmanager nutzen, dann dürfen Sie Ihr Hauptpasswort nicht vergessen, mit dem Sie die sichere Datenbank entsperren. Die Regel, dass das Aufschreiben von Passwörtern ein Sakrileg sei, haben Sicherheitsexperten wie Bruce Schneier aufgegeben: «Schreiben Sie sie auf», sagt er. Aber bitte nicht auf ein Post-it, das sie an den Monitor kleben – sondern dort, wo Sie andere vertrauliche Papiere aufbewahren.