Starke Passwörter – so geht's

Stand:
Auch wenn es lästig ist – um starke Passwörter kommt niemand herum. Wir zeigen, wie Sie starke Passwörter erstellen können.
Zwei Hände auf einer Laptop-Tastatur, der Monitor zeigt eine Login-Maske einer Internetseite an.
Foto:

mohamed_hassan / Pixabay.com

Das Wichtigste in Kürze:

  • Bei Passwörtern gilt grundsätzlich: Je länger, desto besser.
  • Passwörter sollten mindestens 8 (besser 12) Zeichen lang sein, dann aber komplex aus vier Zeichenarten bestehen. Lange Passwörter ab 25 Zeichen können hingegen auch aus zwei Zeichenarten bestehen.
  • Bei Datenlecks gelangen immer wieder Nutzerkonten und Passwörter in Listen, die sich im Darknet oder Internet verbreiten. Nutzen Sie daher für jedes Nutzerkonto ein einzigartiges Passwort!
  • Selbst das stärkste Passwort ist nicht unknackbar und kann bei einem Datenleck oder Phishing-Angriff in falsche Hände geraten. Nutzen Sie daher zusätzlich wo immer möglich eine 2-Faktor-Authentisierung.
On

Viele Internetnutzer:innen hoffen einfach, dass es sie nicht trifft. Was aber, wenn doch? Wenn auf einmal das Passwort für Ebay geklaut wurde, das bei Ihnen zugleich vielleicht auch der Schlüssel zu Paypal, diversen Online-Shops sowie zum Facebook- und E-Mail-Account ist? Dann besteht die Gefahr, dass sich Kriminelle einloggen und mit falschen Daten Bestellungen im Internet tätigen – die Rechnungen aber an Sie gehen. Fremde können mit Ihren Logins außerdem Verträge abschließen, Nachrichten verschicken, Profile verändern und vieles mehr tun.

Immer wieder berichten Medien über neue Passwort-Leaks – also Veröffentlichungen von Passwörtern. Häufig werden diese im kriminellen Darknet zum Kauf angeboten. So machte zum Beispiel im Juli 2024 eine Meldung die Runde, dass in einem US-Hackerforum rund 10 Milliarden Passworte in einer einzelnen Datei angeboten worden seien. In dem Zusammenhang wurden Sicherheitsexperten damit zitiert, dass 8,4 Milliarden Passworte aus der Datei bereits 2021 veröffentlicht worden seien.

Grundsätzlich sollten Sie Ihre Passwörter ändern, wenn Sie konkret von einem Diebstahl bei bestimmten Diensten erfahren. Regelmäßiges Ändern wird nicht mehr empfohlen (siehe unten).

Video laden: Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu YouTube hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Wie kommen Diebe an Passwörter?

Dass andere an Ihre Passwörter kommen, kann vor allem zwei Gründe haben:

  1. Durch Datenleaks bei großen online agierenden Unternehmen gelangen immer wieder Millionen Benutzernamen und Passwörter in die Hände von Kriminellen. Das Hasso-Plattner-Institut (HPI) der Uni Potsdam geht längst von Milliarden betroffener Nutzerkonten aus. Die ergaunerten Passwörter und persönliche Informationen der Inhaber kursieren in langen Listen, häufig im sogenannten Darknet, und können theoretisch von jedem im Netz gefunden werden.

    Wer davon betroffen ist, sollte dringend seine Passwörter ändern. Ob Ihre E-Mail-Adresse betroffen ist, können Sie online beim HPI prüfen lassen.
     
  2. Neben solchen Datenleaks ist ein schlecht gewähltes Passwort nach wie vor die am meisten genutzte Sicherheitslücke im Internet. Denn Hacker können es mit Hilfe bestimmter Programme rasch herausfinden. Diese Programme testen in Sekundenschnelle unterschiedliche Buchstaben- und Zahlenkombinationen, etwa aus Wörterbüchern, in Verbindung mit Zahlenkombinationen.

    Nach Angaben des HPI werden die Kombinationen "123456", "123456789" und "password" am häufigsten als Passworte genutzt. Unsicherer als damit geht es kaum!

Denkbar ist außerdem, dass Fremde per Phishing, also beispielsweise mit manipulierten E-Mails, an Ihre Login-Daten kommen. Was Sie bei verdächtigen E-Mails beachten sollten, finden Sie in unserem Phishing-Bereich.

Um sicher im Netz unterwegs zu sein, ist darum besonders wichtig:

  1. Nutzen Sie möglichst für jeden Dienst ein eigenes Passwort. Gibt es bei einem der Portale eine Sicherheitslücke, über die Zugangsdaten wie Passwörter und Benutzername abhandengekommen sind, können sich Kriminelle mit den ergaunerten Daten nicht in alle Ihre anderen Accounts einloggen.
  2. Wählen Sie möglichst starke Passwörter, die sich nicht leicht erraten lassen.

Die wichtigsten Tipps auf einen Blick liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf einem Faktenblatt.

6 Regeln für starke Passwörter

  1. Grundsätzlich gilt: Je länger das Passwort, desto besser.
    1. Ein Passwort sollte mindestens 8 (besser 12) Zeichen lang sein – dann aber auch aus vier Zeichenarten bestehen. Das heißt aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § $ % & ! ?).
    2. Ein langes Passwort, das mindestens 25 Zeichen oder länger ist, kann hingegen auch aus zwei Zeichenarten bestehen.
  2. Es sollte nicht in einem Wörterbuch zu finden sein oder mit Ihnen und Ihrer Familie im Zusammenhang stehen. Verwenden Sie also keine Namen, Geburtsdaten, Telefonnummern oder Ähnliches.
  3. Es sollte keine bloße Zahlenfolge (12345…), keine alphabetische Buchstabenfolge (abcdef…) und keine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen.
  4. Je sensibler ein Zugang ist (etwa beim Online-Banking), umso mehr Sorgfalt sollten Sie bei der Auswahl eines starken Passworts walten lassen. Falls der Anbieter keine Zeichenbegrenzung für das Passwort vorsieht, gilt: Je länger, desto besser!
  5. Wählen Sie nicht das gleiche Passwort für mehrere Portale, sondern legen Sie für jeden genutzten Dienst bzw. jeden Ihrer Online-Accounts eigene Passwörter an.
  6. Ändern Sie ein Passwort, wenn es Ihnen von einem Anbieter übermittelt wurde und Sie sich das erste Mal dort angemeldet haben. Weitere Gründe zum Ändern des Codes wären, dass Ihr Online-Dienstleister Sie dazu auffordert, große Datenlecks bekannt werden oder Ihr Gerät mit Schadsoftware infiziert worden ist.

Lange wurde empfohlen, Passwörter regelmäßig zu ändern. Viele haben dadurch ihre Codes eher geschwächt, um sie sich leichter merken zu können. Deshalb geben Sicherheitsbehörden wie das BSI diese Empfehlung nicht mehr aus. Wenn sie starke Passworte verwenden, sollten Sie sie also nur ändern, wenn das Passwort in falsche Hände geraten sein könnte, zum Beispiel wenn das Gerät mit Schad-Software infiziert worden ist oder ein Datenleck bekannt wird. Über Sicherheitslücken müssen Unternehmen die Betroffenen informieren.

So erstellen Sie starke Passwörter

  • Bauen Sie sich Eselsbrücken beim Passwortbau, indem Sie sich beispielsweise einen Satz überlegen, der Ihnen immer wieder einfallen wird und von dem Sie jeweils nur den ersten Buchstaben der einzelnen Wörter sowie die Satzzeichen nutzen. Am besten ist es, wenn Sie einen solchen Satz frei erfunden und nicht irgendwo gelesen haben.
  • Lange Passwörter, die mindestens 25 Zeichen lang sind, können zum Beispiel aus mehreren aufeinanderfolgenden Wörtern bestehen, die durch Sonderzeichen Ihrer Wahl voneinander getrennt sind.
  • So unbequem das auch sein mag: Verwenden Sie auch starke Passwörter nicht für mehrere Dienste! Kommen Kriminelle an das Passwort beispielsweise durch einen erfolgreichen Phishing-Angriff oder aufgrund eines Datenlecks bei einem Anbieter, haben diese gleich Zugriff auf alle Accounts, für die das Passwort verwendet wird.
  • Sie können starke Passworte auch mit speziellen Passwort-Managern erstellen lassen und verwalten. So behalten Sie einen guten Überblick über all ihre Passwörter.

Nutzen sie einen zweiten Faktor als zusätzlichen Schutz

Da selbst das stärkste Passwort nicht unknackbar ist und bei einem Datenleck oder erfolgreichem Phishing-Angriff schnell in falsche Hände geraten kann, bieten Passwörter allein nicht den bestmöglichen Account-Schutz. Daher empfehlen wir, Online-Accounts mit einer Zwei-Faktor-Authentisierung (2FA) zusätzlich zu schützen, wo immer diese Möglichkeit angeboten wird. Oft wird sie auch als Zwei-Faktor-Authentifizierung bezeichnet. Sie ist quasi wie ein zweites Sicherheitsschloss. Bei der 2FA wird die Identität nicht nur mit dem Passwort, sondern mit einem zweiten Faktor bestätigt. Damit wird es Kriminellen erschwert, auf Daten zuzugreifen, selbst wenn ihnen das Passwort bekannt sein sollte. Bei diesem zweiten Faktor kann es sich beispielsweise um einen Bestätigungscode per E-Mail, eine SMS-TAN, eine Authenticator-App oder ein Einmal-Passwort handeln. Mittlerweile sind auch biometrische Verfahren sehr verbreitet, beispielsweise Gesichts- oder Fingerabdruckscans über das Smartphone.

Halten Sie Passwort-Listen geheim

Notieren Sie sich – wenn überhaupt – das Passwort an einem geschützten Ort, nicht auf einem Zettel am PC, nicht in Ihrer Brieftasche oder gesammelt in Ihrem Kalender. Auch auf Computer und Smartphone gilt: Legen Sie sich dort keine ungeschützten Dateien mit Passwörtern an, die Fremde ohne weiteres öffnen können.

Sollten Sie Passwörter auf Ihrem PC oder Smartphone speichern wollen, nutzen Sie dafür lieber geeignete Passwort-Manager und sichern Sie den Zugang zu diesem mit einem starken Master-Passwort. Verschicken Sie Passwörter nicht per E-Mail, SMS oder auf einem ähnlichen Weg!

Seien Sie vorsichtig damit, Passwörter in Ihrer Software zu speichern, z.B. im E-Mail-Programm, dem Browser, auf dem Smartphone etc.! Speichern die Programme Ihre Daten unverschlüsselt und/oder ist das Gerät selbst nicht gut geschützt, können andere mit Ihrem PC oder Smartphone Zugriff auf Ihre Nutzerkonten bekommen.

Passwort-Manager helfen beim Erstellen und Merken

Komplizierte Passwörter erstellen, für jedes Nutzerkonto ein eigenes haben und sich alle ohne Zugriff für Dritte merken: Eine gute Hilfe dabei können Passwort-Manager sein. Im Internet finden Sie diverse Software, mit der Sie Ihre Passwörter verwalten und verschlüsselt speichern können. Die Stiftung Warentest hat im Januar 2022 Testergebnisse für 14 Passwort-Manager veröffentlicht.

Nutzen Sie einen Passwort-Manager, dann müssen Sie ein zentrales Passwort wählen, ein sogenanntes Master-Passwort, mit dem sich die Software starten und die gespeicherten Passwörter anzeigen lassen. Das Master-Passwort sollte ganz besonders sein. Wählen Sie am besten ein besonders langes Passwort, mit 25 Zeichen oder mehr. Sagen Sie es niemandem, schreiben Sie es nicht auf und nutzen Sie den Passwort-Manager nicht auf ungeschützten, fremden Geräten, die mit Schadsoftware infiziert sein könnten.

Passkeys als Alternative zu Passwörtern

Seit einigen Jahren gibt es das Passkey-Verfahren, das die Anmeldung bei Online-Diensten ganz ohne Passwörter ermöglicht. Damit besteht auch nicht mehr die Gefahr, dass Kriminelle Passwörter zum Beispiel bei einem Phishing-Angriff oder Datenleck abgreifen können. Passkeys sind lange, zufällig generierte Zeichenketten, offen und herstellerunabhängig. Sie werden von einem sogenannten Authenticator erstellt und dort auch gespeichert, sobald man sich bei einem Online-Dienst, der dieses Verfahren unterstützt, registriert. Gleichzeitig wird ein zum jeweiligen Passkey (auch privater Schlüssel genannt) passender öffentlicher Schlüssel erzeugt und beim Anbieter hinterlegt. Der Authenticator kann zum Beispiel ein FIDO2-Stick sein (ein spezielles Gerät ähnlich wie ein USB-Stick), ein Computerprogramm oder eine Smartphone-App. Bei der nächsten Anmeldung wird dann im Hintergrund durch das Zusammenspiel mehrerer Komponenten die Identität des Nutzers oder der Nutzerin bestätigt.

Nutzer:innen selbst müssen beim Login in den Online-Account kein Passwort mehr eingeben, sondern nur noch den Zugriff auf die Passkeys im Authenticator bestätigen, per Fingerabdruck, Gesichtsscan oder durch die Eingabe einer PIN. Falls Kriminelle beispielsweise durch einen Datenleck beim Anbieter Zugriff auf die dort gespeicherten öffentlichen Schlüssel bekommen sollten, können sie damit nichts anfangen. Denn diese alleine funktionieren nur in Kombination mit dem jeweils passenden privaten Schlüssel, dem Passkey.

Video "Passwortmanager – sichere Passwörter clever organisiert"

Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu Vimeo hergestellt und Daten werden dorthin übermittelt.

Passwort-Tipps des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Tipps über sichere Passwörter hinaus

Sicheres Entsperren von Smartphones

Auf dem Smartphone ist es besonders bequem, Passwörter in den Apps abspeichern zu lassen, sodass man sie nicht bei jedem Start neu eingeben muss. Das birgt zusätzliche Risiken. Wird das Smartphone gestohlen, könnte der Dieb Zugang zu Online-Banking und anderen Konten bekommen. Speichern Sie darum möglichst wenige Passwörter auf Ihrem Gerät.

Viele Smartphones lassen sich verschlüsseln – nutzen Sie diese Möglichkeit, nicht nur wenn Sie Passwörter auf dem Gerät speichern.

Außerdem sollten Sie eine automatische Bildschirmsperre einrichten und eine möglichst sichere Methode zum Entsperren wählen. Wir geben Tipps dafür, welche Vor- und Nachteile Muster, Fingerabdrücke und Co. haben.

Single-Sign-On / Login-Allianzen

Von Anbietern wie Facebook, Google, Amazon oder auch "Verimi" sowie "NetID" gibt es Lösungen, sich bei anderen Apps und Seiten mit deren Login-Daten anzumelden. Das Verfahren heißt "Single-Sign-On". Das sehen die Verbraucherzentralen nicht nur unter Aspekten des Datenschutzes kritisch, denn so können diese Firmen etwa erfahren, wann Sie sich wo angemeldet haben. Ein zentraler Login bei einem dieser Dienste bedeutet auch, dass Kriminelle bei einem Datenleck dort besonders leichten Zugriff auf viele Ihrer übrigen Nutzerkonten haben können.

Ähnliche Themen
Smartphones sicher sperren
"Single-Sign-On": Risiko bei Apps und Internetseiten
Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen
Zwei-Faktor-Authentisierung: So schützen Sie Ihre Accounts
Grafische Darstellung der Möglichkeiten sich vor Cybercrime zu schützen
Foto: Verbraucherzentrale NRW

Sicher im Internet - Handy, Tablet und PC schützen

Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier. 

Mehr dazu

Ratgeber-Tipps

Titelbild des Ratgebers "Fit und gesund"
Fit und gesund - für Frauen ab 50
Menopause, Knochenhaushalt, Nährstoffbedarf, Ernährung, knackende Knochen - der Körper von Frauen ab 50 ist vielen…
zum Ratgeber-Shop
Titelbild des Ratgebers Das Vorsorge-Handbuch
Das Vorsorge-Handbuch
Wer sich wünscht, selbstbestimmt zu leben und Entscheidungen zu treffen, und sich wünscht, das auch am Lebensabend zu…
zum Ratgeber-Shop

Aktuelle Meldungen

Person mit Mobiltelefon in der Hand
Foto: MclittleStock / stock.adobe.com

BGH-Urteil gegen Parship: Vertragsverlängerungen teilweise unwirksam

Der Bundesgerichtshof (BGH) hat über die Sammelklage des Verbraucherzentrale Bundesverbands (vzbv) und eine Unterlassungsklage der Verbraucherzentrale Brandenburg gegen die Online-Partnervermittlung entschieden. Automatische Verlängerungen von Sechs-Monats-Verträgen waren unwirksam. Betroffenen stehen Rückzahlungen zu.
Mehr dazu
Das neue Logo der Verbraucherzentrale
Foto: Verbraucherzentrale

Ein neuer Look für die Verbraucherzentrale

Die Verbraucherzentralen setzen sich tagtäglich für Ihre Rechte ein: mit unabhängiger Beratung, verlässlichen Informationen und einem klaren Ziel – Ihre Interessen zu schützen. Damit Sie uns noch leichter finden und überall direkt erkennen, treten wir seit Mitte Juli 2025 in einem neuen Look auf.
Mehr dazu
Person mit Mobiltelefon in der Hand
Foto: MclittleStock / stock.adobe.com

BGH ebnet Weg für Erstattungen nach Sammelklage gegen Parship

Der vzbv hatte mit einer Sammelklage automatische Vertragsverlängerungen von Parship angegriffen. Der Bundesgerichtshof hat die Verlängerungen teilweise für unwirksam erklärt. Verbraucher:innen können Rückzahlungen verlangen. Ein fristloses Kündigungsrecht hat das Gericht nicht anerkannt.
Mehr dazu