Passwortsicherheit: So prüfen Sie Ihre Passwörter

Passwörter sind der Schlüssel zu unseren digitalen Identitäten. Ein starkes Passwort ist die erste Verteidigungslinie gegen Cyberkriminelle. Dennoch zeigen Statistiken, dass viele Nutzerinnen und Nutzer unsichere Passwörter verwenden oder Sicherheitslücken in ihren digitalen Gewohnheiten übersehen.

MyDefender
Cyber Security aus Deutschland
  • Schutz vor Ransomware-Attacken
  • Geplante Viren-Scans
  • Automatische Backups, einfache Wiederherstellung

Welche Voraussetzungen zur Passwortsicherheit gilt es zu beachten?

Bei ihren Passwörtern setzen viele Menschen noch immer auf schwache oder leicht zu erratende Kombinationen. Um ein hohes Maß an Passwortsicherheit zu gewährleisten, sollten verschiedene Faktoren beachtet werden. Die Wahl eines sicheren Passwortes wie auch die Verwendung von geeigneten Passwort-Verwaltungs-Tools können als Grundvoraussetzungen der Passwortsicherheit angesehen werden.

Was zeichnet sichere Passwörter aus?

Obwohl sichere Passwörter alleine keine absolute Sicherheit gegen Angriffe von Cyberkriminellen bieten, ist die Erstellung eines sicheren Passwortes dennoch von hoher Relevanz, um die eigenen Accounts zu schützen. Hierbei können Nutzerinnen und Nutzer anhand einer Reihe verschiedener Kriterien überprüfen, ob das gewählte Passwort sicher ist:

  • Länge: Die Länge eines Passworts spielt eine entscheidende Rolle, da längere Passwörter exponentiell schwerer zu knacken sind als kürzere. Ein gutes Passwort sollte mindestens 12 bis 16 Zeichen umfassen.
  • Komplexität: Ein sicheres Passwort sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie @, # oder $ enthalten. Diese Vielfalt erschwert es sowohl Menschen als auch automatisierten Tools, ein Passwort zu erraten.
  • Keine Vorhersehbarkeit: Einfache Muster oder wiedererkennbare Wörter sollten in Passwörtern vermieden werden, da Cyberkriminelle häufig Wörterbuchangriffe nutzen, bei denen sie gängige Passwörter ausprobieren.
  • Einzigartigkeit: Verwenden Sie nicht dasselbe Passwort für unterschiedliche Dienste und Plattformen, sondern setzen Sie stattdessen auf individuelle Kennwörter für die verschiedenen Webdienste.
  • Regelmäßige Passwortaktualisierungen: Besonders bei kritischen Diensten ist es hilfreich, Passwörter regelmäßig zu aktualisieren. So minimieren Sie das Risiko, dass ein Passwort durch frühere Sicherheitslücken missbraucht wird.

Wahl eines geeigneten Passwortmanagers

Passwortmanager sind praktische Werkzeuge, um komplexe Passwörter zu erstellen und sicher zu speichern. Bei der Auswahl des passenden Passwort-Verwaltungs-Tools sollten Sie darauf achten, dass Ende-zu-Ende-Verschlüsselung unterstützt wird und Funktionen wie Warnungen bei kompromittierten Passwörtern oder Sicherheitsprüfungen integriert sind. Auch regelmäßige Updates sprechen für einen vertrauenswürdigen Passwortmanager.

Bedeutsame Passwort-Leaks der letzten Jahre

Jeden Tag geben wir eine riesige Menge sensibler Daten in die Hände von Unternehmen und Technik, wobei Passwörter in den meisten Fällen die einzige Schutzmaßnahme sind – eine, die allem Anschein nach oft nicht ernst genug genommen wird – zumindest lassen das die zahlreichen Datenlecks der jüngsten Web-Geschichte vermuten. Immer wieder ist es Cyberkriminellen gelungen, mithilfe von Angriffsmethoden wie Malware, Phishing-Mails bzw. -Websites oder Brute-Force-Attacken an Anmeldeinformationen zu gelangen und auf diese Weise vertrauliche Benutzerdaten zu erbeuten. Hier ein Überblick über einige der gravierendsten Vorfälle:

  • LinkedIn (2012, 2016): Bereits 2012 wurde LinkedIn gehackt, wobei mehr als 6,5 Millionen gehashte Passwörter entwendet wurden. Im Jahr 2016 tauchten weitere 117 Millionen Login-Daten aus diesem Hack im Darknet auf.
  • Yahoo (2013, 2014): Eine der größten Sicherheitsverletzungen überhaupt betraf Yahoo. Zwischen 2013 und 2014 wurden insgesamt drei Milliarden Konten kompromittiert. Dies umfasste Nutzernamen, Passwörter und Sicherheitsfragen.
  • Adobe (2013): Über 150 Millionen Benutzerkonten von Adobe wurden bei einem Angriff gestohlen. Besonders kritisch: Viele der Passwörter waren schlecht verschlüsselt.
  • Facebook (2019): Facebook gab bekannt, dass Millionen von Passwörtern von Nutzenden im Klartext auf internen Servern gespeichert wurden. Während die Daten nicht nach außen gelangten, verdeutlicht der Vorfall die Notwendigkeit sicherer Praktiken auch auf Unternehmensseite.
  • Collection #1-#5 (2019): Im Rahmen dieses Megaleaks sind im Januar 2019 über zwei Milliarden E-Mail-Adressen samt Passwort veröffentlicht worden, die aus verschiedensten – teils bekannten, teils bis dato unbekannten – Leaks stammen.
  • Twitter (2022): Ein Sicherheitsvorfall führte dazu, dass persönliche Daten von über 5,4 Millionen Konten, einschließlich Telefonnummern und E-Mail-Adressen, durch einen Bug kompromittiert wurden.
  • RockYou (2024): RockYou2024 war ein massiver Leak, der als eine der größten jemals veröffentlichten Passwortsammlungen gilt, bestehend aus über 9,9 Milliarden Passwörtern, die aus verschiedenen Quellen zusammengestellt wurden.

Die aufgelisteten Ereignisse unterstreichen die Wichtigkeit von Cybersicherheit überdeutlich. Umso erstaunlicher sind die Ergebnisse einer repräsentativen Umfrage, die WEB.DE im Vorfeld des Tags der Passwortsicherheit 2019 durchgeführt hat: Nur etwa jeder zweite deutsche Internet-Nutzer (ein Anteil von 53 % der Befragten) nimmt Passwort-Enthüllungen zum Anlass, das eigene Passwortverhalten zu überdenken – und lediglich ein Viertel der Befragten gab an, infolgedessen Passwörter bei einigen Webdiensten zu ändern.

Schaubild: Die Deutschen und ihre Passwörter
Infografik zum Thema „Die Deutschen und Ihre Passwörter“.
Hinweis

Für ihre Angriffsversuche nutzen Cyberkriminelle in den meisten Fällen nicht den eigenen Computer, sondern die Geräte argloser Nutzer und Nutzerinnen. Auf diese Geräte wurde zuvor eine schädliche Software eingeschleust, die es Angreifenden ermöglicht, das gekaperte System aus der Ferne zu bedienen. Man bezeichnet die infizierten Computer, die für potenzielle Angriffe in riesigen Netzwerken vereint werden, häufig auch als Bots oder Zombies. Um derartigen Netzwerken den Kampf anzusagen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit IONOS und anderen IT-Spezialisten bereits im Jahr 2010 das Projekt botfrei ins Leben gerufen.

Wie kann man die Passwortsicherheit prüfen?

Die Sicherheit von Passwörtern zu überprüfen ist ein entscheidender Schritt, um Ihre digitalen Konten vor unbefugtem Zugriff oder nach Datenleaks zu schützen. Es gibt verschiedene Methoden und Tools, mit denen Sie prüfen können, ob Ihre Passwörter kompromittiert wurden, ob sie den aktuellen Sicherheitsstandards entsprechen oder ob sie zu schwach sind.

Online-Dienste zur Prüfung auf Datenlecks

  • Have I Been Pwned (HIBP): Eine der bekanntesten und vertrauenswürdigsten Plattformen ist Have I Been Pwned. Dort können Sie überprüfen, ob Ihre E-Mail-Adresse oder Ihr Passwort in einem bekannten Datenleck kompromittiert wurde. Nach Eingabe Ihrer E-Mail erhalten Sie eine Liste von Websites, die von Leaks betroffen sind, bei denen Ihre Daten möglicherweise entwendet wurden. Die Seite erlaubt auch die direkte Überprüfung eines Passworts, wobei die Eingabe dank spezieller Hash-Technologien anonymisiert erfolgt.
  • Google Sicherheitscheck: Google bietet in Chrome eine integrierte Funktion zur Passwortprüfung. Der Browser warnt Sie, wenn eines Ihrer gespeicherten Passwörter Teil eines Datenlecks war. Zusätzlich können Sie über Ihr Google-Konto einen umfassenden Sicherheitscheck durchführen, der auch schwache oder doppelt verwendete Passwörter identifiziert.
  • Sicherheitsfunktionen von Passwortmanagern: Viele moderne Passwortmanager bieten eine Funktion zur Überprüfung Ihrer gespeicherten Passwörter. Diese Tools scannen Ihre Passwörter auf Schwächen, doppelte Nutzung und bekannte Sicherheitsvorfälle. So erhalten Sie eine einfache Übersicht, welche Passwörter Sie aktualisieren sollten.

Stärke von Passwörtern testen

Neben der Überprüfung auf Datenlecks ist es wichtig, die Stärke Ihrer Passwörter zu bewerten. Es gibt hierfür zahlreiche Tools, die Ihnen dabei helfen können. Diese Dienste prüfen die Länge, Komplexität und Entropie (Zufälligkeit) eines Passworts. Sie simulieren zudem, wie lange es dauern würde, Ihr Passwort mit einem Brute-Force-Angriff zu knacken. Ein Beispiel: Das Passwort „123456“ kann in weniger als einer Sekunde geknackt werden, während ein Passwort wie „X$4g8JwQ!a_%j“ viele Jahre standhalten könnte.

Manuelle Überprüfung und Monitoring

Wenn Sie wissen, dass eine bestimmte Plattform von einem Datenleck betroffen war, prüfen Sie, ob Sie ein Konto auf dieser Plattform besitzen. Ändern Sie Passwörter sofort, falls Sie dasselbe Passwort auch auf anderen Seiten verwendet haben. Es ist außerdem hilfreich, Cybersecurity-News oder Plattformen wie Reddit (z. B. im Subreddit r/netsec) zu folgen, um über neue Datenlecks auf dem Laufenden zu bleiben. Oft werden Sicherheitslücken dort früher gemeldet als durch offizielle Kanäle und Sie können frühzeitige Gegenmaßnahmen ergreifen. Tools wie HIBP bieten außerdem Benachrichtigungen per E-Mail an, die Sie informieren, wenn Ihre E-Mail-Adresse in einem neuen Leak auftaucht.

War dieser Artikel hilfreich?