Passwörter Schritt für Schritt merken

Passwörter notieren?

Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte sie stattdessen gut unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen.

Wer viele Online-Accounts hat, für den empfiehlt sich ein Passwort-Manager. Diese Programme können neben der Passwort-Verwaltung auch starke Passwörter generieren (berücksichtigen Sie bei den Einstellmöglichkeiten zur Passwortgenerierung unsere Mindestempfehlungen für sichere Passwörter). Sie müssen sich dann nur noch ein gutes Masterpasswort überlegen und merken.

Auch interessant: Passkeys - Anmelden ohne Passwort

Wie merkt man sich sichere Passwörter?

Auch für das Merken sicherer Passwörter gibt es Tricks. Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den ersten Buchstaben (oder nur den zweiten oder den letzten). Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen.

Hier ein Beispiel: "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die ersten Buchstaben: "MsiaupmmZdMl". "i" und "l" sehen aus wie "1", "&" ersetzt das "und": "Ms1a&pmmZ3M1".
Auf diese Weise hat man sich eine gute "Eselsbrücke" gebaut. Natürlich gibt es viele andere Tricks und Methoden, die genauso gut funktionieren, etwa das Aneinanderreihen von beliebigen, zusammenhanglosen Wörtern. Ein Beispiel - das Sie natürlich nicht selbst verwenden sollten - ist: "Ein blaues Pferd liest Kaffeesatz auf dem Ausflugsdampfer".

Außerdem ist es ratsam, dass Sie sich als Benutzerin oder Benutzer des Passwortes den Satz selbst ausgedacht haben. Wird als Merksatz zum Beispiel ein bekanntes Literaturzitat oder eine Liedzeile als Passwort gewählt, so ist es wahrscheinlicher, dass Angreifer dies auch herausfinden können.

Mit unserem Passwort-Merkblatt haben Sie eine Strategie in der Hand, mit der Sie sich sichere Passwörter gut merken können.

Änderung von Passwörtern

Ein Passwort sollte auf jeden Fall geändert werden, wenn es einen Hinweis darauf gibt, dass es in die Hände von unbefugten Dritten gelangt ist. Ein solcher Hinweis kann beispielsweise die direkte Aufforderung eines Diensteanbieters sein, das Passwort zu ändern, ebenso die Nachricht, dass Passwörter eines bestimmten Dienstleisters gestohlen worden und nun im Internet aufgetaucht sind. Auch eine Spam- oder Phishing-E-Mail, in der korrekte persönliche Daten genutzt werden, kann ein Hinweis darauf sein, dass jemand Zugang zu einem privaten Account hatte und dort Daten abgriff.

Sollten Sie feststellen, dass Ihr Gerät mit einem Schadprogramm infiziert ist, ist dies ebenfalls ein Grund, Passwörter zu ändern. Manche Varianten von Schadprogrammen zeichnen Zugangsdaten auf und übermitteln diese an Dritte. Um dies zu unterbinden, muss zunächst das Gerät bereinigt werden. Erst danach sollten die Passwörter geändert und Log-Ins wieder über das betroffene Gerät durchgeführt werden.

Bin ich von einem Sicherheitsvorfall betroffen?

Zugangsdaten, die Cyber-Kriminelle bei Anbietern oder direkt bei Nutzerinnen und Nutzern abgegriffen haben, werden anschließend oft im Internet veröffentlicht oder zum Kauf angeboten. Diese Datensätze kursieren dann im Netz. Je länger darin enthaltene Zugangsdaten nicht geändert werden, desto mehr Dritte können sie für ihre Zwecke nutzen. Im Internet gibt es unterschiedliche Portale, über die überprüft werden kann, ob persönliche Zugangsdaten in einem solchen bekanntgewordenen Datensatz enthalten sind. Ein deutschsprachiges Angebot ist beispielsweise der Identity Leak Checker des Hasso-Plattner-Instituts, ein internationaler Anbieter haveibeenpwned.com.

Das BSI kann keine Aussage zur Qualität und Aktualität der dort hinterlegten Daten treffen. Grundsätzlich ist bei der Nutzung solcher Portale zu beachten, dass für Zugangsdaten häufig die Kombination aus E-Mail-Adresse und Passwort verwendet wird. In den Datenbanken wird allerdings in der Regel nur die E-Mail-Adresse mit dem Datenbestand abgeglichen. Die Rückmeldung, dass die E-Mail-Adresse in dem Datenbestand enthalten ist, kann sich also auf jeden Account beziehen, bei dem diese E-Mail-Adresse zum Zugang genutzt wird, eine direkte Zuordnung ist nicht möglich.

Keine einheitlichen Passwörter verwenden

Zunächst sollten Sie sich Gedanken machen, welche Ihrer Passwörter besonders viele oder sensible persönliche Daten schützen. Ein wichtiges Passwort ist zum Beispiel das Passwort für Ihr privates E-Mail-Konto. Dort sind nicht nur persönliche Nachrichten und Kontakte hinterlegt, sondern mithilfe des Zugangs zu Ihrem E-Mail-Account lassen sich auch viele andere Passwörter in von Ihnen genutzten Online-Diensten zurücksetzen und neu vergeben. Andere Beispiele für wichtige Passwörter sind die Passwörter für Profile in Sozialen Netzwerken, für den Zugang zu häufig genutzten Online-Shops oder andere regelmäßig genutzte elektronische Identitäten. Diese wichtigen Passwörter sollten immer individuell und stark sein.

Viele Anwenderinnen und Anwender denken sich ein Passwort aus und nutzen dieses dann für mehrere Online-Accounts, damit sie sich nicht viele verschiedene Passwörter merken müssen. Dieser Ansatz ist bequem, aber dennoch nicht zu empfehlen, selbst wenn das gewählte Passwort den oben genannten Kriterien entspricht. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, hat der Angreifer freie Bahn für alle weiteren Accounts mit dem gleichen Passwort. Er kann einfach automatisiert durchtesten, wo dieses Passwort ebenfalls verwendet wird.

Voreingestellte Passwörter ändern

Bei vielen Hardware- und Softwareprodukten werden bei der Installation (beziehungsweise im Auslieferungszustand) in den Accounts leere Passwörter oder allgemein bekannte Passwörter verwendet. Hacker wissen das: Bei einem Angriff probieren sie zunächst aus, ob vergessen wurde, diese Accounts mit (neuen) Passwörtern zu versehen. Deshalb ist es ratsam, in den Handbüchern nachzulesen, ob solche Accounts vorhanden sind und wenn ja, die voreingestellten Passwörter zu ändern.

Bildschirmschoner mit Kennwort sichern

Bei den gängigen Betriebssystemen haben Sie die Möglichkeit, Tastatur und Bildschirm nach einer gewissen Wartezeit automatisch zu sperren. Die Entsperrung erfolgt erst nach Eingabe eines korrekten Passwortes. Diese Möglichkeit sollten Sie nutzen. Ohne Passwortsicherung können unbefugte Dritte sonst bei vorübergehender Abwesenheit der rechtmäßigen Benutzerin bzw. des Benutzers Zugang zu dessen PC erlangen. Natürlich ist es störend, wenn die Sperre schon nach kurzer Zeit erfolgt. Unsere Empfehlung: Fünf Minuten nach der letzten Benutzereingabe sollte der Bildschirmschoner anspringen und damit die Sperrung erfolgen. Zusätzlich gibt es die Möglichkeit, die Sperre im Bedarfsfall auch sofort zu aktivieren. Bei einigen Windows-Betriebssystemen erfolgt dies beispielsweise durch die Tastenkombination Strg+Alt+Entf.

No-Go: Passwörter verschicken

In der Regel werden E-Mails unverschlüsselt versandt und könnten so auf ihrem Weg durch das Internet von Dritten mitgelesen werden. Zudem können E-Mails im Internet verloren gehen oder herausgefiltert werden. Die Absenderin oder der Absender einer E-Mail hat daher keine Gewissheit, dass seine oder ihre Nachricht die gewünschte Empfängerin oder den gewünschten Empfänger auch wirklich erreicht hat. Aus diesen Gründen sollten Sie Passwörter nicht per E-Mail versenden.

Grundsätzlich gilt zudem: Wenn Sie Ihre Passwörter verschicken bzw. an Dritte weitergeben, verlieren Sie damit in gewisser Weise die Kontrolle, weil diese Dritten nun theoretisch die entsprechenden Dienste nutzen und die dort hinterlegten Informationen ändern können. So haben Sie sich umsonst die Mühe für ein gutes Passwort gemacht.

Der Cybersicherheits-Lotse ist eine Orientierungshilfe für Verbraucherinnen und Verbraucher, die gezielt und über das Informations- und Beratungsangebot des BSI hinausgehend zu weiteren Akteuren im Digitalen Verbraucherschutz und deren Unterstützungsangeboten vermittelt. Wenn Sie uns Feedback zu unserem neuen Tool geben möchten, hier geht es zu einer kurzen Umfrage.

• checked4you Jugendmagazin der VZ NRW

  Online-Konto gehackt? Kontaktadressen bei den Anbietern

  Notfalladressen-Liste

• Verbraucherzentrale Niedersachsen

  Online-Konto gehackt? Anleitungen für häufig genutzte Online-Accounts

  Anleitungen zur Soforthilfe

• Verbraucherzentralen

  Formen und Folgen von Identitätsdiebstahl im Internet

  Verbraucherzentrale - Identitätsdiebstahl

• Landeskriminalamt NRW

  Formen von Cybercrime und wie man sich davor schützen kann

  Initiative: Mach-dein-Passwort-Stark

• Universität Bonn

  Wurden meine persönlichen Daten und Passwörter im Internet offengelegt?

  Leakchecker Uni Bonn

• Hasso-Plattner-Institut

  Wurden meine persönlichen Daten und Passwörter im Internet offengelegt?

  Leakchecker Hasso Plattner Institut

• Service-Center des BSI

  Das Service-Center unterstützt bei allen Fragen rund um die IT-Sicherheit

  0800 274 1000
  service-center@bsi.bund.de
  

Bitte beachten Sie, dass es sich bei den im Cybersicherheits-Lotsen enthaltenen Informationen um externe Links auf Webseiten Dritter handelt, auf die das BSI keinen Einfluss hat und für die das BSI nicht verantwortlich ist. Sie spiegeln nicht notwendigerweise die Meinung des BSI wider. Trotz regelmäßiger Qualitätssicherung kann die Aktualität und Richtigkeit der Links nicht immer sichergestellt werden. Bei Rückfragen und Hinweisen können Sie sich gerne an service-center@bsi.bund.de wenden.