Sicheres Passwort erstellen: So schützen Sie Ihre Online-Konten

Stellen Sie sich vor: Ein Angreifer startet einen Brute-Force-Angriff auf Ihr Konto. Bei einem simplen sechsstelligen Passwort ist er in wenigen Sekunden drin. Einfach so. Ein Passwort mit 16 Zeichen hingegen? Da rechnen selbst Hochleistungscomputer Millionen von Jahren. Der Unterschied ist gewaltig – und er liegt allein in Ihrer Hand.

Mal ehrlich: Milliarden gestohlener Zugangsdaten pro Jahr sprechen eine deutliche Sprache. Die Hauptursache ist fast immer dieselbe – schwache oder recycelte Passwörter. Besonders tückisch wird es, wenn Sie dasselbe Kennwort bei mehreren Diensten nutzen. Wird einer geknackt, fallen die anderen wie Dominösteine. Ein kompromittiertes E-Mail-Konto öffnet dann plötzlich die Tür zum Online-Banking, zu sozialen Netzwerken und zu allem, was daran hängt.

Was macht ein Passwort wirklich stark? Nicht die Fantasie – sondern knallharte Mathematik. Je mehr mögliche Kombinationen ein Angreifer durchprobieren muss, desto sicherer sind Sie. Und das erreichen Sie so:

• Mindestens 12 Zeichen, besser 16 oder mehr – Länge schlägt Komplexität. Immer.
• Groß- und Kleinbuchstaben mischen – das verdoppelt den Zeichenraum auf einen Schlag.
• Zahlen und Sonderzeichen einbauen – Zeichen wie @, #, $ oder % erhöhen die Komplexität enorm.
• Keine persönlichen Bezüge – Geburtstage, Haustiernamen, Straßennamen? Alles tabu. Solche Infos findet man in drei Minuten auf Social Media.
• Keine echten Wörter – Wörterbuchangriffe testen systematisch ganze Begriffe durch. Auch „Sonnenschein2025„ ist kein sicheres Passwort.

Eine zufällige Kombination wie k7$Pm9#xL2vQ&nR4 sieht zwar aus wie Kauderwelsch – aber genau das ist der Punkt. Kein Mensch errät so etwas, und kein Algorithmus kommt in absehbarer Zeit ans Ziel.

Kennen Sie das? Man legt schnell ein neues Konto an, tippt hektisch ein Passwort ein und denkt: „Das ändere ich später.„ Später kommt nie. Und schon reiht sich das nächste schwache Passwort in die Sammlung ein. Die typischen Stolperfallen:

• Tastaturmuster wie „qwertz„ – sieht kreativ aus, steht aber in jeder Cracker-Datenbank ganz oben.
• Ein Passwort für alles – bequem, aber brandgefährlich. Ein einziger Leak genügt, und sämtliche Konten stehen offen.
• Zu kurze Zeichenketten – unter acht Zeichen ist in Minuten geknackt. Das ist kein Schutz, das ist eine Einladung.
• Der Zettel am Monitor – klingt absurd, kommt aber erstaunlich häufig vor. Auch die Schublade ist kein Tresor.
• Passwörter per Mail verschicken – E-Mails sind im Normalfall unverschlüsselt. Das ist, als würden Sie Ihren Schlüssel auf eine Postkarte kleben.

Gut, sichere Passwörter müssen lang und komplex sein. Aber wie soll man sich so etwas merken? Hier kommen drei bewährte Strategien:

Die Passphrase-Methode

Nehmen Sie einen Satz, den nur Sie kennen, und verwenden Sie die Anfangsbuchstaben. Aus „Mein Hund frisst jeden Tag um 8 Uhr morgens!„ wird „MHfjTu8Um!„. Persönlich, einprägsam – und für Fremde völlig sinnlos. Genau so soll es sein.

Die Diceware-Methode

Hier würfeln Sie sich durch eine Wortliste und kombinieren fünf bis sechs zufällige Begriffe. „Tisch-Wolke-Blau-Kaffee-Stern„ ergibt ein langes, robustes Passwort, das Sie sich trotzdem wie eine kleine Geschichte merken können. Die Methode stammt übrigens aus der Kryptografie – und sie funktioniert.

Passwort-Generator nutzen

Die sicherste Variante? Lassen Sie den Zufall entscheiden. Ein Passwort-Generator erzeugt kryptografisch zufällige Zeichenketten ohne jedes Muster. Kein Mensch könnte so etwas ausdenken – und genau das macht diese Methode so wirkungsvoll.

Seien wir realistisch: Niemand kann sich 50 verschiedene Zufallspasswörter merken. Muss auch keiner. Dafür gibt es Passwort-Manager. Sie speichern alle Zugangsdaten verschlüsselt ab, und Sie brauchen sich nur noch ein einziges Master-Passwort zu merken. Eines. Aber das sollte wirklich sitzen.

Was ein guter Passwort-Manager leistet:

• Erstellt automatisch einzigartige Kennwörter für jeden einzelnen Dienst
• Speichert alles in einem verschlüsselten Tresor
• Füllt Login-Formulare auf Knopfdruck aus
• Warnt Sie, falls eines Ihrer Passwörter in einem Datenleck auftaucht
• Synchronisiert Ihre Daten sicher über Smartphone, Tablet und Rechner

Ein zusätzlicher Tipp, der oft unterschätzt wird: Aktivieren Sie überall dort die Zwei-Faktor-Authentifizierung, wo es möglich ist. Selbst wenn jemand Ihr Passwort kennt – ohne den zweiten Faktor kommt er nicht rein. Diese zusätzliche Hürde kann den entscheidenden Unterschied machen.

Selbst das beste Passwort kann durch ein Datenleck in falsche Hände geraten. Genau hier kommt die Zwei-Faktor-Authentifizierung ins Spiel – kurz 2FA. Das Prinzip ist simpel: Neben Ihrem Passwort brauchen Sie einen zweiten Nachweis, etwa einen Code per App oder SMS. Klingt umständlich? Ist es kaum. Die meisten Dienste bieten mittlerweile Authenticator-Apps an, die in Sekunden einen Einmalcode generieren.

Besonders wichtig ist 2FA bei E-Mail-Konten, Online-Banking und Cloud-Speichern. Denn wer Zugriff auf Ihre E-Mail hat, kann über die Passwort-zurücksetzen-Funktion praktisch jedes andere Konto übernehmen. Stellen Sie sich 2FA wie eine Wohnungstür mit Schloss und Riegel vor – beides zusammen macht es Einbrechern deutlich schwerer. Aktivieren Sie diese Funktion überall dort, wo sie verfügbar ist. Der Aufwand beträgt wenige Minuten, der Schutzgewinn ist enorm.

Alle paar Wochen tauchen Meldungen über gehackte Datenbanken auf. Millionen Zugangsdaten landen im Darknet – und vielleicht sind Ihre auch dabei. Wie finden Sie das heraus? Dienste wie Have I Been Pwned prüfen kostenlos, ob Ihre E-Mail-Adresse in bekannten Leaks auftaucht. Ein regelmäßiger Check lohnt sich.

Falls Sie betroffen sind: Keine Panik, aber handeln Sie sofort. Ändern Sie das Passwort des betroffenen Kontos – und jedes anderen Kontos, bei dem Sie dasselbe Passwort verwendet haben. Ja, genau deshalb predigen Sicherheitsexperten, niemals Passwörter mehrfach zu nutzen. Prüfen Sie außerdem Ihre Kontobewegungen auf verdächtige Aktivitäten. Wurde bereits etwas verändert? Dann kontaktieren Sie den Anbieter direkt. Je schneller Sie reagieren, desto geringer der mögliche Schaden. Machen Sie den Leak-Check am besten zur Gewohnheit – einmal im Quartal reicht völlig.

Im Büroalltag wird das Thema Passwortsicherheit gerne stiefmütterlich behandelt. Das WLAN-Passwort klebt am Monitor, der Zugang zum Firmennetzwerk ist seit drei Jahren derselbe, und das gemeinsame Team-Passwort kennt auch der Praktikant, der letzten Sommer gegangen ist. Klingt übertrieben? Leider nicht. Laut einer Studie des Digitalverbands Bitkom war bereits jedes zweite deutsche Unternehmen von Cyberangriffen betroffen – und schwache Passwörter sind dabei eines der häufigsten Einfallstore.

Gerade in Unternehmen gilt: Jeder Account braucht ein eigenes, starkes Passwort. Das betrifft nicht nur den E-Mail-Zugang, sondern auch Cloud-Dienste, CRM-Systeme, Social-Media-Kanäle und interne Tools. Wer hier nachlässig ist, riskiert nicht nur den eigenen Arbeitsplatz, sondern im schlimmsten Fall sensible Kundendaten und damit das Vertrauen ganzer Geschäftsbeziehungen.

Was können Sie konkret tun? Sprechen Sie das Thema aktiv an – auch wenn es unbequem ist. Schlagen Sie vor, einen unternehmensweiten Passwort-Manager einzuführen. Viele Anbieter haben spezielle Business-Tarife, die sich zentral verwalten lassen. So kann die IT-Abteilung Zugänge vergeben und entziehen, ohne dass Passwörter per E-Mail herumgeschickt werden. Und falls Sie selbst Führungskraft sind: Gehen Sie mit gutem Beispiel voran. Wenn die Chefin ihre Passwörter ernst nimmt, tut es das Team eher auch.

Ein weiterer Punkt, der oft vergessen wird: Offboarding. Verlässt ein Mitarbeiter das Unternehmen, müssen sämtliche Zugänge sofort geändert oder gesperrt werden. Nicht nächste Woche, nicht wenn jemand daran denkt – sofort. Denn ein ehemaliger Mitarbeiter mit gültigem Passwort ist ein Sicherheitsrisiko, das sich leicht vermeiden lässt.

Mal ehrlich: Wann haben Sie das letzte Mal mit Ihren Kindern über Passwörter gesprochen? Wahrscheinlich nie – und damit sind Sie nicht allein. Dabei bewegen sich schon Grundschüler im Internet, haben eigene Accounts bei Spieleplattformen und nutzen Messenger-Dienste. Und ihre Passwörter? Die lauten dann hund123, minecraft oder schlicht passwort.

Kinder und Jugendliche sind besonders verwundbar, weil ihnen schlicht die Erfahrung fehlt. Sie klicken auf Links in Nachrichten, teilen Zugangsdaten mit Freunden und verwenden überall dasselbe Passwort. Das ist kein Vorwurf – es ist eine Realität, der man mit Aufklärung begegnen muss. Und zwar ohne erhobenen Zeigefinger.

Ein guter Einstieg ist die Passphrase-Methode. Setzen Sie sich mit Ihrem Kind zusammen und denken Sie sich gemeinsam einen lustigen Satz aus: MeinHamsterTanzt3xImRegen! – so etwas merkt sich ein Zehnjähriger deutlich besser als eine zufällige Zeichenkombination. Erklären Sie dabei spielerisch, warum das wichtig ist. Vergleiche helfen: Ein Passwort ist wie ein Schlüssel zur eigenen Haustür. Den gibt man auch nicht einfach jedem Klassenkameraden.

Für Teenager wird es dann komplexer. Hier lohnt sich ein altersgerechter Passwort-Manager – einige Produkte bieten Familientarife an, bei denen Eltern einen gewissen Überblick behalten, ohne die Privatsphäre komplett zu untergraben. Wichtig ist auch das Thema Phishing: Zeigen Sie Ihren Kindern echte Beispiele von Fake-E-Mails und erklären Sie, woran man sie erkennt. Denn das beste Passwort der Welt nützt nichts, wenn man es freiwillig auf einer gefälschten Website eingibt. Je früher dieses Bewusstsein entsteht, desto besser – für die ganze digitale Zukunft Ihrer Kinder.

Ihr Passwort ist die erste – und manchmal einzige – Mauer zwischen Ihnen und einem Angreifer. Nehmen Sie sich die Zeit, Ihre alten Kennwörter zu prüfen. Tauschen Sie schwache gegen starke aus. Nutzen Sie einen Generator, der Ihnen die Arbeit abnimmt, und einen Manager, der den Überblick behält. Jedes Konto verdient sein eigenes, unknackbares Passwort. Es ist eine kleine Investition mit großer Wirkung.