1. KlarMacher
  2. Wissen
  3. „Hier kommt niemand rein“: So erstellst du sichere Passwörter für Online Banking, Twitter & Co.
Mehrere alte Schlösser an einer Holztür
© istock/rtiom/2007 
Wissen

Starker Schutz für deine Accounts: So kannst du sichere Passwörter erstellen

Thorsten Schierhorn
von Thorsten Schierhorn, 22.07.2024

Kennst du die häufigsten Passwörter der Deutschen aus dem Jahr 2023? Kein Witz: Es waren „123456789“, „12345678“ und „hallo“. Woher man das weiß? Aus Listen, die Hacker*innen im Netz veröffentlichen. Die freuen sich über solch simple Passwörter, denn umso leichter erhalten sie unbefugten Zugriff auf Facebook-, X- oder andere Accounts. Unter Umständen sogar aufs Online Banking. Schieb den Kriminellen einen Riegel vor! Wie du dafür ein starkes Passwort erstellen kannst, zeigen dir die KlarMacher. 

Themen in diesem Artikel

Die 12 wichtigsten Tipps für ein sicheres Passwort

  • Ein Passwort sollte mindestens zwölf Zeichen lang sein. Ansonsten gilt: Je länger, desto besser. Wo es möglich ist, solltest du noch mehr Zeichen verwenden. 
  • Nutze eine Mischung aus Buchstaben (Groß- und Kleinbuchstaben), Zahlen und Sonderzeichen. 
  • Das Passwort darf in keinem persönlichen Zusammenhang mit dir stehen: Namen von Familienmitgliedern, Geburtsdaten, Lieblingsstar und so weiter sind tabu. 
  • Nimm keine Begriffe, die in einem Wörterbuch stehen und deshalb leicht zu erraten sind. Sei kreativ und erfinde eigene, einmalige Zeichen- und Zifferkombinationen. 
  • Vermeide logische Reihenfolgen wie „abcdef“ oder „123456“. Auch naheliegende Kombinationen von Tasten („qwertz“) oder Wörtern („hundkatzemaus“) sind nicht sicher genug. 
  • Nutze jedes Mal ein anderes Passwort, wenn du dich irgendwo neu registrierst. Falls ein Anbieter gehackt wird, sind deine Konten bei den anderen Diensten weiterhin sicher. 
  • Ändere deine Passwörter regelmäßig. Doch Vorsicht: Häufiger Wechsel kann dazu verleiten, einfachere Passwörter zu nehmen! 
  • Für dein E-Mail-Konto solltest du ein besonders sicheres Passwort generieren. Bei vielen Anbietern kann man das Passwort zurücksetzen, indem man sich per E-Mail ein neues zuschicken lässt. Wer also in dein E-Mail-Konto gelangt ist, dem stehen hier Tür und Tor offen. 
  • Wo es möglich ist, richte eine Zwei-Faktor-Authentifizierung ein. 
  • Behandle deine Passwörter vertraulich. Nur in Ausnahmefällen solltest du sie mit anderen, zuverlässigen Personen teilen. 
  • Notiere deine Passwörter möglichst nicht, weder auf Zetteln noch im Smartphone oder im Computer. Und wenn das doch mal erforderlich sein sollte: Dann verschlüssle die Liste und/oder sichere das Gerät, zum Beispiel mit einem starken Code. Oder nutze einen Passwort-Manager. 
  • Um das Hacken deiner elektronisch gespeicherten Daten zu erschweren, solltest du Anti-Virenprogramme und Firewalls installieren und stets aktuell halten.
  • Sei vorsichtig beim Öffnen von E-Mails dir unbekannter Absender*innen, um nicht auf Phishing und andere Tricks hereinzufallen, mit denen Cyberkriminelle an deine Daten kommen wollen. 

Methode 1: Die selbstgebaute Zeichenkombination

Ein kryptisches Passwort wie zum Beispiel „DKe1i4S,wSe+Pe“ ist sehr sicher. Aber wie sollst du dich daran bloß erinnern? Nun, mit der folgenden Methode ist das kein Problem. 

Denke dir einen Satz aus, den du dir gut merken kannst. Vielleicht so etwas wie „Jeden Morgen um halb sieben putze ich mir als Erstes die Zähne.“ Oder „Meine erste Lehrerin in der Grundschule hieß Frau Mustermann.“ Für unser Beispiel nehmen wir den Satz „Die KlarMacher erklären dir in 4 Schritten, wie du ein gutes Passwort erstellen kannst.“ 

Nimm nun nur den ersten Buchstaben jedes Wortes. Behalte Groß- und Kleinschreibung bei und übernimm auch eventuelle Kommas. Aus unserem Beispielsatz wird so das Passwort „DKedi4S,wdegPek“. 

Mann mit Kopfhörern tippt in sein Laptop, neben ihm sitzt sein Hund
© istock/South_agency/2020  Der E-Mail-Account sollte besonders geschützt sein, da man viele Passwörter per Mail zurücksetzen und damit aushebeln kann.

Jetzt verwandle einzelne Zahlen oder Buchstaben in dazu sinngemäß passende Sonderzeichen. Vorschlag: Mache aus dem „g“ für „gut“ ein „+“. Das Pluszeichen passt auch zu Wörtern wie „mehr“, „viel“ und „groß“. Und wie wäre es mit einem Bindestrich anstelle von „lang“, „weit“ oder „dahin“? Fragewörter wie „wer“, „wann“ oder „wo“ änderst du einfach in ein „?“. 

Sieht ein Buchstabe ähnlich aus wie eine Zahl, dann ersetze ihn durch diese. Ein „l“ und ein „i“ machen sich gut als „1“, ein „s“ erinnert an das Dollarzeichen „$“. Die „3“ könnte ein (aufrecht stehendes) „m“ sein und die „4“ ein umgedrehtes „h“. Entscheide dich aber nur für ein oder zwei Ersatzlösungen, sonst musst du dir zu viele Umwandlungen merken. In unserem Beispiel machen wir aus dem „i“ vom Wort „in“ eine „1“ und aus „gut“ ein „+“. Fertig ist unser Passwort „DKed14S,wde+Pek“. 

Der Passwort-Check: Hast du ein sicheres Passwort?

Wer ein Passwort knacken will, lässt ein Computerprogramm alle möglichen Zeichenkombinationen ausprobieren. Für ein starkes Passwort braucht die Hacking-Software mehr Zeit als für ein schwaches. Aber wie lange hält dein Passwort stand? Die beiden folgenden Tools verraten es dir mit einem Passwort-Test: 

Aber Achtung: Sicherheitshalber solltest du mit diesen Tools nie das echte Passwort überprüfen. Mache den Test stattdessen mit einem anderen Passwort, das aber wie deines aufgebaut ist. Das heißt, es hat dieselbe Länge, denselben Mix aus Groß- und Kleinbuchstaben, Sonderzeichen und so weiter.

Die Überprüfung mit „Check Dein Passwort“ (siehe obiger Kasten) hat übrigens ergeben: Ein herkömmlicher Computer braucht bis zu einer Billion Jahre, um einen Code wie „DKed14S,wde+Pek“ zu knacken. Diesen solltest du aber natürlich trotzdem nicht verwenden, sondern dir einen eigenen ausdenken. 

Passwort erstellen mit einer Passphrase

Eine Passphrase besteht aus mehreren Wörtern. Sie kann also auch ein kompletter Satz sein. Deshalb bleiben wir einfach bei unserem Beispiel aus dem vorhergehenden Kapitel, wandeln es etwas ab und machen daraus eine lange Passphase. Dabei lassen wir die Leerzeichen und das Komma weg: 

„DieKlarMachererklärendirinvierSchrittenwiedueinegutePassphraseerstellst“. 

Der Vorteil liegt auf der Hand: Eine Passphrase hat deutlich mehr Zeichen als ein gängiges Passwort. Und – wir erinnern uns – je länger das Passwort, desto länger braucht ein Hacking-Computerprogramm, um es zu entschlüsseln. 

Aber Achtung: Viele Internetdienste akzeptieren Passwörter nur bis zu einer bestimmten Länge und ohne Leerzeichen. Längere Passwörter sind aber zum Beispiel möglich beim WLAN (63 Zeichen beim Standard WPA2-PSK) und beim Betriebssystem Windows 10/11 (127 Zeichen).

Junge Frau sitzt vor ihrem Laptop und schreibt daneben etwas in ihr Notizbuch
© istock/Deagreez/2019  Keine gute Idee: die Passwörter auf Listen notieren. Passwort-Manager sind da eine bessere Lösung.

Auch in einer Passphrase kannst du Sonderzeichen und Zahlen einbauen. Wir ersetzen in unserem Beispiel wieder das Wort „gut“ durch ein Pluszeichen und machen aus „vier“ eine Zahl. Das Ergebnis: 

„DieKlarMachererklärendirin4Schrittenwiedueine+Passphraseerstellst“. 

Je nach Onlinedienst darfst du auch die Leerzeichen mitverwenden: 

„Die KlarMacher erklären dir in 4 Schritten, wie du eine + Passphrase erstellst“. 

Das kann man sich doch schon gut merken, oder? 

Stimmt. Aber noch besser ist es, wenn die Wörter keinen Zusammenhang haben – sie also willkürlich und sinnfrei aneinandergereiht sind. Um völlig wahllos vorzugehen, greife zu deinem Lieblingsbuch und ein paar Würfeln. Würfle drei Ziffern für eine zufällige Seitennummer im Buch. Würfle jetzt mit zwei Würfeln. Das Ergebnis x des Wurfs steht für das x-te Wort, das in Leserichtung auf der Seite steht, zum Beispiel das 54. Wort. Notiere dieses Wort. Würfle dann so oft, bis du auf diese Weise eine lange Wörterkette beisammenhast, zum Beispiel: 

„Telefon gebaut neunmalklug Aufgaben flanieren werden Journalismus Brombeeren“ 

Der Nachteil: Solche Passphrasen lassen sich schlechter im Kopf behalten. 

Sichere Passwörter 

Klicken Sie hier, um die Inhalte von YouTube anzuzeigen.

Meine Zustimmung kann ich jederzeit unter Datenschutz widerrufen.

© Copyright: Bundesamt für Sicherheit in der Informationstechnik 

Passwort erstellen mit einem Passwort-Generator

Wenn dir die beschriebenen Methoden zu umständlich sind, dann überlasse einfach einem Computerprogramm die Aufgabe. Bei diesen beiden Tools kannst du die Länge und die Anforderungen wie Groß- und Kleinschreibung und Sonderzeichen vorgeben:  

Unbedingt beachten: Diese Passwörter werden nur einmal generiert und dann nie wieder. Das heißt, wenn du eines davon nutzt, musst du es dir gut merken oder in einem Passwort-Manager speichern. Denn es kann nicht wiederhergestellt werden.

Auch die meisten Internet-Browser haben einen Passwort-Generator, der dir ein sicheres Passwort vorschlagen kann. Diese oder ein beliebiges anderes Passwort speichert er auch auf Wunsch. Wenn du dich dann in einen deiner Online-Accounts einloggen willst, übernimmt der Browser das Eingeben der Zugangsdaten (Autofill). Allerdings ist dieser Komfort mit Vorsicht zu genießen, denn die Funktion steht auch jeder anderen Person zur Verfügung, die Zugriff auf dein Endgerät hat. 

Auslandsreisende: Vorsicht bei Sonderzeichen!

Wenn du oft im Ausland unterwegs bist, überlege dir gut, welche Sonderzeichen du bei deinem Passwort benutzt. Denn nicht überall gibt es Umlaute (Ä, Ö, Ü) oder bestimmte Sonderzeichen auf den Tastaturen (zum Beispiel ß oder €). Dann kannst du nur mit dem eigenen Gerät deine Passwörter korrekt eingeben – das solltest du aber sowieso tun, wann immer es geht. In fremden Geräten könnten Spionageprogramme installiert sein, die dein Passwort ausspähen.  

Passwort-Manager: Hier kannst du deine Passwörter sichern

Für jeden Account ein eigenes, kompliziertes Passwort – wer soll die alle im Kopf behalten? Ganz einfach: ein Passwort-Manager, auch Passwort-Safe oder Passwort-Tresor genannt. Das sind Computerprogramme, die deine Passwörter für jeden einzelnen Account speichern. Um sie einzusehen, brauchst du – na klar – ein Passwort. An mehr als das brauchst du dich allerdings nicht zu erinnern. Alle anderen merkt sich für dich die Software. 

Für zusätzliche Sicherheit bieten manche Passwort-Manager eine Zwei-Faktor-Authentifizierung. Dann benötigst du neben dem Passwort noch einen weiteren Nachweis, dass du für den Zugriff berechtigt bist. Das kann zum Beispiel dein Fingerabdruck sein oder die Bestätigung in einer zusätzlichen App. 

Diese drei Passwort-Manager haben bei der Stiftung Warentest im Sommer 2022 am besten abgeschnitten:

1Password

Dashlane Premium

Avira Password Manager (Pro)

Diese und andere Passwort-Manager lassen sich vorübergehend kostenlos testen. Willst du sie dauerhaft nutzen, musst du dafür bezahlen.

Online Banking verlangt mehr als nur ein Passwort

Für Online Banking gilt im EU-Zahlungsraum seit dem 1. Januar 2021 die Zwei-Faktor-Authentifizierung. Das heißt: Für Überweisung und Co. reicht ein Passwort allein nicht mehr aus. Ob du der oder die rechtmäßige Kontoinhaber*in bist, musst du mit einem weiteren Beweis bestätigen.

Bei den Kreditkarten der Hanseatic Bank geht das besonders bequem mit der App Hanseatic Bank Secure. Und zwar so: Wenn du etwas mit deiner Kreditkarte im Internet bezahlen willst, erhältst du eine Nachricht auf dein Smartphone. Öffne dann einfach die App mit Passwort, Fingerabdruck oder Gesichtserkennung und bestätige die Zahlung – fertig!

Gespeicherte Passwörter anzeigen lassen

Um den Überblick zu behalten oder falls du ein Passwort vergessen hast, kannst du dir von deinem Computer, Smartphone oder Tablet deine Passwörter anzeigen lassen. Das funktioniert aber nur, wenn du diese zuvor gespeichert hast, um beispielsweise die Autofill-Funktion des Internet-Browsers zu nutzen. Wie das geht, zeigen wir stellvertretend an den Desktop-Versionen von Google Chrome, Microsoft Edge und Apples Safari (Stand: Mai 2024) 

Google Chrome

  • Öffne den Internet-Browser Google Chrome. 
  • Klicke in dem geöffneten Fenster oben rechts auf die drei kleinen, senkrecht angeordneten Punkte. 
  • Daraufhin wird eine Liste mit mehreren Auswahlmöglichkeiten von Funktionen angezeigt. Führe darin den Mauszeiger auf den Eintrag „Passwörter und Autofill“. 
  • Es öffnet sich eine weitere Liste. Klicke darin auf die Schaltfläche „Google Passwortmanager“.  
  • Es öffnet sich das Fenster „Passwörter“. Darin sind alle gespeicherten Accounts aufgelistet. Möchtest du das jeweilige Passwort dazu sehen, klicke auf den kleinen Pfeil rechts neben dem Account-Eintrag. 
  • Im nächsten Schritt musst du dein Google-Chrome-Passwort eingeben und auf die blau markierte Schaltfläche „OK“ klicken. 
  • Es öffnet sich ein Fenster, in dem unter anderem dein Nutzername und das Passwort für den Account angezeigt werden. Das Passwort ist jedoch nur als eine Reihe von Sternchen zu sehen. Um das zu ändern, klickst du auf das kleine Auge-Symbol rechts neben der Zeile. Anschließend wird das Passwort in Klarschrift angezeigt. 

Microsoft Edge

  • Öffne den Internet-Browser Edge. 
  • Klicke in dem daraufhin geöffneten Fenster oben rechts auf die drei waagerecht angeordneten Punkte. 
  • Es wird eine Menüliste mit mehreren Auswahlmöglichkeiten von Funktionen angezeigt. Klicke darin auf „Einstellungen“. 
  • Es öffnet sich das Fenster „Ihr Profil“. Darin findest du in der Rubrik „Brieftasche“ die Schaltfläche „Brieftasche“. Klicke drauf. 
  • Das Fenster „Kennwörter“ öffnet sich. Darin werden alle Accounts von Websites und Apps angezeigt, für die du Passwörter gespeichert hast. Klicke in der Liste auf den Account, dessen Passwort du sehen möchtest. 
  • Im folgenden Fenster musst du dein Edge-Kennwort eingeben und per Klick bestätigen. 
  • Dann öffnet sich ein neues Fenster, in dem du die jeweiligen Anmeldeinformationen sehen kannst. Da entsprechende Kennwort ist als eine Reihe von Punkten angezeigt. Um sie in Klarschrift zu sehen, klickst du auf das Augensymbol rechts davon. 

Safari

  • Öffne den Internet-Browser Safari. 
  • Klicke in dem geöffneten Fenster oben links neben dem Apfel-Symbol auf „Safari“. 
  • Klicke in der anschließend angezeigten Liste auf den Eintrag „Einstellungen ...“. 
  • Daraufhin wird das Fenster „Allgemein“ geöffnet. Klicke darin oben auf die Schaltfläche „Passwörter“. 
  • Im folgenden Fenster musst du dein Apple-Kennwort eingeben. Drücke dann die Taste „Enter“. 
  • Es wird eine Liste mit den gespeicherten Accounts geöffnet. Möchtest du dir das jeweils damit verbundene Passwort anzeigen lassen, dann klicke entweder doppelt auf den Account-Namen oder rechts daneben einmal auf das kleine Infosymbol „i“. 
  • Daraufhin wird ein neues Fenster geöffnet. Es zeigt unter anderem die Einträge „Benutzername“ und „Passwort“. Das Passwort besteht aus einer Reihe von Punkten. Um es in Klarschrift zu sehen, führst du den Mauszeiger auf die Punkte. 

Bedenke, dass das beschriebene Vorgehen von der Version des Internet-Browsers abhängt und bei dir anders funktionieren kann. 

Und: Du kannst dir die gespeicherten Passwörter nicht nur anzeigen lassen, sondern sie meist auch über die Browser-Passwort-Manager ändern beziehungsweise zurücksetzen. Das ist vor allem dann wichtig, wenn ein Account geknackt worden ist. Verantwortlich für die kriminelle Übernahme ist in der Regel ein kompromittiertes Passwort, das beispielsweise bei einem Datenklau abgeflossen und damit nicht mehr geheim ist. Laut der Breached Password Protection Datenbank des Sicherheitsunternehmens Specops galten Ende September 2023 mehr als vier Milliarden Passwörter als kompromittiert und damit als unsicher. 

Wurde dein Passwort fürs Online Banking ausgespäht, dann findest du Hilfe in unserem Ratgeber „Konto gehackt: Was du jetzt tun solltest”. 

War der Inhalt für dich hilfreich?

Teile den Artikel:

Das könnte dich auch interessieren:

Ein älterer Mann telefoniert zu Hause mit seinem Handy und blickt nachdenklich aus dem Fenster
Enkeltrick enttarnen: Keine Chance für die falschen Verwandten
Online shoppen? Aber sicher! 6 Regeln, die dich beim Bezahlen mit Kreditkarte schützen
Mann hält sich ein Tablet vors Gesicht, das sein Gesicht zeigt
„Bist du es wirklich?“: So funktionieren Video-Ident, E-Ident und Postident