123456 ist wahrlich kein sicheres Passwort. Foto: Imago Images

Die Warnungen sind immer gleich, und trotzdem verwenden viele Nutzer unverdrossen unsichere Passwörter. Die Auswertung einer riesigen Datenbank mit geleakten Zugangsdaten zeigt jedes Jahr aufs neue, dass viele Menschen immer noch auf einfache Wörter oder simple Tastatur-Muster vertrauen, weil man sich die leichter merken kann. Aber eben auch herrlich leicht erraten oder knacken.

Auf Platz eins der „Charts“ der beliebtesten unsicheren Passwörter des Hasso-Plattner-Instituts (HPI) steht seit Jahren unangefochten „123456“, dieses Jahr gefolgt von „123456789“ und dem unvermeidbaren Passwort „passwort“. Das geht aus einer aktuellen Auswertung von 3,1 Millionen Zugangsdaten mit .de-Mail-Adressen hervor, mit dem das HPI seinen Identity Leak Checker füttert, und die 2020 geleakt worden sind. Mit dem Checker-Tool können Nutzer herausfinden, ob sie gehackt worden sind und ihre Zugangsdaten zu bestimmten Diensten unter Umständen frei im Netz flottieren.

Lesen Sie auch: Teure In-App-Käufe: Junge (6) verballert 16.000 Dollar bei einem iPad-Spiel

Fast schon kreativ nehmen sich auf den Plätzen vier und sechs „hallo123“ und „ichliebedich“ aus. Auf den Plätzen elf bis zwanzig finden sich mit „qwertz“, „hallo“ oder „sonnenschein“ dagegen viele alte Bekannte. Das könnte man mit dem neunten Platz „lol123“ kommentieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt individuelle und komplexe Passwörter, die aus mindestens 8 Zeichen bestehen. Aber grundsätzlich gilt: Länger ist besser. Das HPI rät sogar zu mindestens 15 Zeichen.

Mindestens 15 Zeichen

Dabei gilt es, alle Zeichenklassen zu verwenden, also Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen. Keine Wörter aus dem Wörterbuch nehmen. Und keine gleichen oder ähnlichen Passwörter bei unterschiedlichen Diensten verwenden. Zudem ist es ratsam, die Zwei-Faktor-Authentifizierung zu aktivieren, wo immer sie verfügbar ist.

Heraus kommt idealerweise ein möglichst kryptisches Passwort, sprich Kauderwelsch ohne jeden Sinn. Um sich so ein Kennwort zu merken, kann man sogenannte Passwortsätze als leicht zu merkende Eselsbrücke einsetzen. Die Anfangs- oder Endbuchstaben der Wörter in dem Satz, aber auch Satz-, Sonderzeichen und Zahlen ergeben das Passwort.

Lesen Sie auch: Neue Schock-Studie: Jeder Vierte ist Opfer von Cyberkriminalität

Doch auch Passwortsätze kann sich niemand in unbegrenzter Zahl merken. Deshalb sind Passwortmanager wie etwa das Open-Source-Programm Keepass empfehlenswert. Bei den Managern handelt es sich um kleine Safe-Programme, die meist auch als Smartphone-Apps verfügbar sind. Sie können beliebig viele komplizierte Passwörter verschlüsselt speichern. Um den Safe mit der Sammlung darin entsperren zu können, muss man sich nur ein einziges Masterpasswort merken - etwa anhand eines Passwortmerksatzes.