Erfahren Sie, wie unsere Phishing-Simulation Ihren Mitarbeitenden hilft, Online-Bedrohungen aktiv abzuwehren.
Keine Zeit zu lesen? Einfach anhören:
Enthalten einige Ihrer Passwörter die Zahlenfolge „1234“? Nutzen Sie gern Ihr Lieblingshobby oder den Namen Ihres Partners oder Haustiers, weil sie leicht zu merken sind? Das haben wir bestimmt alle schon mal getan, wenn es im Alltag mal wieder schnell gehen muss. Wer hat da schon Zeit, sich komplexe, sichere Passwörter auszudenken, die man sich noch dazu gut merken kann?
Jede Person nutzt im Durchschnitt 100 Passwörter für ihre verschiedenen Accounts. Da ist es wenig überraschend, dass wir dazu tendieren, immer wieder dieselben Passwörter zu verwenden, anstatt uns jedes Mal ein neues auszudenken. Verizon enthüllte in seinem Data Breach Investigations Report 2023, dass wir Menschen berechenbarer sind, als wir vielleicht annehmen – denn 86 Prozent der Datendiebstähle beruhen auf gestohlenen Zugangsdaten.
Trotz dieser hohen Zahlen sind sich die meisten Menschen bewusst, wie wichtig sichere Passwörter sind. Woran viele scheitern, ist die Frage, wie komplex ein Passwort sein muss und welche Passwörter wirklich schwer zu knacken sind. Ist „DanielundMarina76“ leichter zu erraten als „hgYhy23“? Uns ist es wirklich so gefährlich, dasselbe Passwort für verschiedene Konten zu nutzen? Hier erfahren Sie, was gute Passwörter ausmacht und wie Sie in wenigen Schritten ein sicheres Passwort erstellen, ohne die Nerven zu verlieren – und ohne es wieder zu vergessen.
Best Practices zum Erstellen sicherer Passwörter
Sich und seine Daten im Internet zu schützen ist nicht immer einfach, insbesondere wenn es um die Passwortsicherheit geht. Werfen wir einen Blick auf die Dos und Don‘ts starker Passwörter, die Ihre digitale Welt zuverlässig vor unrechtmäßigen Eindringlingen verschließen.
Tipp 1: Wählen Sie ein Passwort mit mindestens 12 Zeichen
Je länger und komplexer ein Passwort, desto schwieriger ist es für Kriminelle durch Brute-Force oder Ratetaktiken zu knacken. Ein Passwort, das aus weniger Zeichen besteht, kann relativ schnell entschlüsselt werden, selbst wenn es Sonderzeichen, Zahlen und Großbuchstaben enthält. Bei Passwörtern mit mindestens 12 Zeichen steigt die Anzahl möglicher Kombinationen exponentiell an – und dementsprechend sinken die Erfolgschancen für Cyberkriminelle, es zu knacken. Um auf der sicheren Seite zu sein, empfehlen wir, mehr als 12 Zeichen zu verwenden. Das Risiko, gehackt zu werden, sinkt dadurch weiter und der Schutz ihrer persönlichen Daten, digitalen Assets und Privatsphäre im Cyberspace steigt.
Wenn es Ihnen schwerfällt, sich ein gutes Passwort auszudenken, können Ihnen Passwortmanager wie 1Password, LastPass oder Dashlene helfen. Sie generieren sichere Passwörter mit einer von Ihnen gewählten Zeichenzahl. Einige Passwortmanager bieten online kostenlose Passwortgeneratoren an, mit denen Sie sichere Passwörter generieren können.
Tipp 2: Nutzen Sie keine Zahlen- oder Buchstabenfolgen
Vermeiden Sie offensichtliche Zahlen- oder Buchstabenfolgen (wie „123456“ oder „abcdef“) in Ihren Passwörtern. Solche Muster sind leicht zu erraten und senken die Komplexität und Sicherheit Ihres Passworts. Sie gehören zu den ersten Kombinationen, die Angreifende ausprobieren, wenn sie Ihr Passwort bei einem Wörterbuchangriff oder einer Brute-Force-Attacke knacken wollen. Hinzu kommt, dass diese Zeichenfolgen oft in den Algorithmus automatisierter Hacking-Software einprogrammiert sind, was sie noch anfälliger macht.
Tipp 3: Nutzen Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
Indem Sie einen Mix aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen in Ihr Passwort einbauen, steigern Sie die Passwortsicherheit. Nicht nur die Länge, sondern auch verschiedene Zeichenarten steigern die Komplexität eines Passworts – und somit die verschiedenen Kombinationen, die ein Hacker bei einem Angriff durchgehen muss.
Tipp 4: Vermeiden Sie Namen und Begriffe aus dem Wörterbuch
Begriffe und Ausdrücke, die im Wörterbuch zu finden sind, können die Sicherheit Ihres Passworts drastisch senken. Eine äußerst beliebte Brute-Force-Methode von Cyberkriminellen ist der sogenannte Wörterbuchangriff. Bei dieser Methode testet eine automatisierte Software systematisch alle Begriffe bzw. die am häufigsten genutzten Ausdrücke aus einem Wörterbuch, um so das korrekte Passwort aufzuspüren. Enthält Ihr Passwort geläufige Begriffe oder Namen, ist das Risiko folglich höher, dass es bei einem Wörterbuchangriff geknackt wird.
Tipp 5: Nutzen Sie keine persönlichen Daten (insbesondere, wenn diese online auffindbar sind)
In der vernetzten, digitalen Welt von heute sind uns Cyberkriminelle meistens einen Schritt voraus. Genau wie wir, nutzen auch sie die sozialen Medien zu ihrem Vorteil. Sie können Ihre öffentlichen Posts, Tweets und andere Angaben, die Sie auf Ihren öffentlichen Profilen teilen, ganz einfach durchforsten. Digitale Plattformen sind eine wahre Fundgrube für wertvolle Informationen zu Ihrer Person – seien es Beruf, Namen von Familienmitgliedern und Haustieren oder Hobbys. Der logische Rückschluss für das Fundament Ihrer Onlinesicherheit – ihre Passwörter? Enthält Ihr Passwort eine dieser Informationen, sind Ihre Konten wie ein offenes Buch. Ihr digitaler Fußabdruck macht Sie böswilligen Personen gegenüber angreifbar, und er ist vermutlich deutlich größer als Sie erahnen.
Tipp 6: Nutzen Sie dasselbe Passwort nicht mehrmals
Dasselbe Passwort für mehrere Plattformen zu nutzen, ist ein massives Sicherheitsrisiko. Haben die Angreifenden erst einmal einen Account gehackt, probieren Sie dieselbe Kombination aus Benutzername und Passwort meist auch auf anderen Plattformen aus. Diese Vorgehensweise nennt sich „Credential Stuffing“ und hat sich in jüngsten Vorfällen als beunruhigend effektiv erwiesen – wie beim Angriff auf PayPal, bei dem fast 35.000 Konten betroffen waren.
Tipp 7: Nutzen Sie Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung (MFA) ist eine zusätzliche Sicherheitsmaßnahme, die über den Benutzernamen und das Passwort hinaus weitere Faktoren zur Authentifizierung umfasst. Selbst wenn Cyberkriminelle das Passwort gestohlen oder geknackt haben, müssen sie erst eine weitere Sicherheitsebene durchdringen, um auf Ihr Konto zuzugreifen. Dabei handelt es sich meistens um eine Information, die Sie kennen (wie ein Passwort), eine Sache, die Sie besitzen (wie ein physisches Token) oder biometrische Daten (Fingerabdruck oder Face-ID). Je mehr Faktoren bei der Authentifizierung involviert sind, desto schwieriger wird es für Angreifende, sich Zugang zu Ihren Konten zu verschaffen.
MFA kann zudem dabei helfen, nicht autorisierte Anmeldeversuche zu erkennen. Sie haben eine SMS mit einem Bestätigungscode erhalten, obwohl Sie gar nicht versucht haben, sich in Ihrem Konto anzumelden? Ein deutlicher Hinweis, dass jemand versucht, unrechtmäßig auf Ihren Account zuzugreifen. Dank solcher Benachrichtigungen haben Sie die Möglichkeit, unverzüglich zu reagieren, indem Sie Ihr Passwort ändern, weitere Sicherheitsmaßnahmen aktivieren oder den Zugriffsversuch dem Sicherheitssupport der jeweiligen Plattform melden.
Die am häufigsten genutzten Passwörter
Während wir versuchen, uns in der virtuellen Welt vor den ausgefeilten Taktiken der Cyberkriminellen zu schützen, hat ein einfaches, leicht zu erratendes Passwort denselben Effekt, als würden wir unsere Haustür offen stehen lassen.
Viele User sind überzeugt, dass ihre Passwörter originell und somit sicher seien. In Wirklichkeit liegt es jedoch in der menschlichen Natur, in Muster zu verfallen, und das gilt auch für die Wahl unserer Passwörter. Die Folge: Ein Passwort, das wir für einmalig und sicher halten, ist letztendlich nicht viel einfallsreicher als „123456“ oder „Passwort“ und somit ein leichtes Ziel für Angreifende. Innerhalb weniger Augenblicke dringen sie in Konten ein. Umso wichtiger, dass wir uns des Risikos bewusst sind und wissen, wie wir sichere Passwörter erstellen. Unten finden Sie die 2022 in Deutschland am häufigsten genutzten Passwörter. Falls Sie Ihr Passwort hier wiederfinden, sollten Sie es umgehend ändern.
Wie schnell können Hacker Passwörter knacken?
Wie lang es dauert ein Passwort zu knacken, ist sehr unterschiedlich und hängt von zahlreichen Faktoren ab – von der Passwortkomplexität, über die Verschlüsselungsmechanismen, bis hin zu den Technologien, Ressourcen und Tools, die den Hackern zur Verfügung stehen.
Länge und Komplexität des Passworts
Je länger und komplexer das Passwort, desto schwieriger wird das Hacken des Passworts, da die Angreifenden umso mehr Kombinationen testen müssen. Das rasante Tempo technologischer Innovationen revolutioniert jedoch auch das Vorgehen der Cyberkriminellen und arbeitet zu ihrem Vorteil.
Nehmen wir ein Passwort mit acht Zeichen aus Groß- und Kleinbuchstaben als Beispiel. Zum Knacken eines solchen Passworts brauchte ein Hacker 2020 etwa 22 Minuten, 2023 sind es nur noch 28 Sekunden. Das Fazit ist klar: Während die digitale Uhr tickt, werden Hacker immer besser darin, unseren Schutzwall zu durchbrechen. Die Optimierung unserer Passwortsicherheit ist nicht nur ratsam, sondern schlichtweg unerlässlich, um uns in Zukunft vor den innovativen Hacking-Methoden Cyberkrimineller zu schützen.
Die Tools der Angreifenden
In der angespannten Cyber-Bedrohungslage haben die technologischen Fähigkeiten und Ressourcen der Hacker direkten Einfluss auf die Geschwindigkeit, mit der sie Passwörter knacken können. Kein Wunder, dass Cyberkriminelle sich modernste Software und Hardware zunutze machen, um schneller an ihr Ziel zu kommen: Ihr Passwort. Mit den richtigen Tools können sie in beunruhigendem Tempo Brute-Force- oder Wörterbuchangriffe starten und in Sekundenschnelle eine Unzahl an möglichen Passwortkombinationen ausprobieren.
Dabei gibt es kein Tool, das Cyberkriminellen die Arbeit so sehr erleichterte wie ChatGPT. Mit Hilfe seiner Spracherstellungsfähigkeiten können Angreifende unzählige Kombinationen aus möglichen Benutzernamen und Passwörtern erstellen und für ihre Brute-Force-Angriffe nutzen. ChatGPT kann die Zeit, die zum Knacken eines Passworts nötig ist, deutlich verkürzen. Oft sind Passwörter sofort oder innerhalb weniger Sekunden entschlüsselt. Das Knacken eines Passworts mit neun Zeichen bestehend aus Zahlen sowie Groß- und Kleinbuchstaben – früher eine echte Herausforderung für Hacker – dauert unter Einsatz von ChatGPT nur noch 21 Sekunden.
Sicher genug? So bewerten Sie die Passwortsicherheit
Sie kennen nun einige wichtige Tipps zur Steigerung Ihrer Sicherheit und wissen, wie schnell Hacker schwache Passwörter knacken können. Doch was ist ein sicheres Passwort? Die Beispiele in der folgenden Tabelle verdeutlichen das Sicherheitsniveau verschiedener Passwörter.
Passwort | Sicherheitsniveau | Grund |
ird2yyzRbHXkV}xXqm3RX*F-oWX2,} | Optimal | Mehr als 12 Zeichen Enthält Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben Keine Zahlen- oder Buchstabenfolgen Keine Namen/Begriffe aus dem Wörterbuch |
mnYIW2ZZWhg96HnUHpYj | Hoch | Sonderzeichen fehlen |
taxggkwuj6vt | Mäßig | Großbuchstaben und Sonderzeichen fehlen |
@Thomas42 | Niedrig | Enthält Namen/Begriffe aus dem Wörterbuch Weniger als 12 Zeichen |
abc12345 | Am niedrigsten | Weniger als 12 Zeichen Sonderzeichen und Großbuchstaben fehlen Enthält Zahlen- und Buchstabenfolgen |
Sichere Passwörter erstellen und merken: Unsere Tipps
Seien wir ehrlich: Der Hauptgrund, warum wir nicht gern lange, komplexe Passwörter nutzen, ist, dass man sie sich so schwer merken kann. Es gibt jedoch einige Tricks, die uns diese Aufgabe erleichtern.
Eine Methode besteht darin, bestimmte Muster oder Auslassungen zu nutzen, um ein sicheres Passwort zu erstellen. Überlegen Sie sich ein Sprichwort oder ein Zitat, das Sie inspiriert und das Sie sich gut merken können. Reihen Sie nun aus diesem Zitat jeweils den Anfangsbuchstaben eines jeden Wortes aneinander, um das Fundament Ihres Passworts zu bilden. Nehmen wir zum Beispiel das bekannte Zitat von Winston Churchill: „Der Pessimist sieht in jeder Chance eine Bedrohung, der Optimist in jeder Bedrohung eine Chance.“ Basierend auf der obigen Strategie, würde der Grundbaustein Ihres Passworts „DPsijCeBdOijBeC“ lauten. Um die Komplexität weiter zu steigern, ersetzen Sie nun einzelne Buchstaben mit ähnlich aussehenden Symbolen oder Zahlen. Ein „O“ wird zum Beispiel zu „0“ (Null), das „s“ wird zu „$“ und das „i“ zu „!“. Somit ergibt sich „DP$!jCeBd0!jBeC“. Um es noch komplexer zu machen, fügen Sie noch eine Zahl hinzu, mit der Sie etwas verbinden. Das könnte die Buchseite sein, auf der Sie das jeweilige Zitat gefunden haben. Ihr finales Passwort lautet dann: „DP$!jCeBd0!jBeC47“
Wenn Sie sich Ihre Passwörter nicht einprägen möchten, können Sie einen Passwortmanager nutzen. Damit brauchen Sie nur ein Master-Passwort, mit dem Sie Zugriff auf all Ihre anderen Passwörter erhalten. Passwortmanager sind zuverlässige Tools, die Ihre Passwörter sicher speichern und Ihnen per Master-Passwort oder biometrischer Authentifizierung Zugriff darauf ermöglichen. Dadurch sparen Sie die Zeit und Mühe, sich jedes Passwort einzuprägen. Hinzu kommt, dass Passwortmanager die Möglichkeit bieten, mit einem Passwortgenerator einzigartige, sichere Passwörter zu erstellen, und Sie benachrichtigen, falls eines Ihrer Passwörter geknackt wurde. Denken Sie daran, Ihr Master-Passwort regelmäßig zu „üben“, indem Sie es auf der Tastatur tippen. So frischen Sie Ihr Gedächtnis auf und stellen sicher, dass Sie es nicht vergessen.
So vermeiden Sie, gehackt zu werden
In der digitalen Welt von heute entwickeln Hacker ständig neue Methoden, um an Ihre Zugangsdaten zu gelangen. Vom herkömmlichen Ausspionieren an öffentlichen Orten bis hin zum Einsatz hochmoderner Tools bei Brute-Force-Angriffen – die Innovationskraft der Cyberkriminellen kennt keine Grenzen. Indem wir ihre Strategien kennen, können wir unsere digitale Identität effektiv schützen und unsere Sicherheit im Cyberraum steigern.
Phishing: Geben Sie nie Ihre Zugangsdaten weiter
Phishing und Social Engineering gehören zu den beliebtesten Methoden der Cyberkriminellen, um an Ihre Zugangsdaten zu gelangen. Indem sie ein Gefühl der Angst, Dringlichkeit oder Autorität vermitteln, bringen sie ihre Opfer dazu, Benutzernamen und Passwort preiszugeben. Sobald sie Ihre Zugangsdaten haben, nutzen sie diese für verschiedene betrügerische Zwecke, wie Finanzbetrug, Identitätsdiebstahl oder Credential Stuffing.
Beachten Sie, dass Phishing-Methoden weit über E-Mails hinausgehen. Seit geraumer Zeit machen sich Cyberkriminelle die verschiedensten Kommunikationskanäle zunutze – darunter SMS, scheinbar harmlose Nachrichten in Messaging-Apps und sogar Telefonanrufe.
Brute-Force-Angriffe: Tipps zum Schutz
Brute-Force-Angriffe nutzen die Schwachstellen kurzer, offensichtlicher und unsicherer Passwörter aus, indem sie mittels automatisierter Software systematisch unzählige Kombinationen testen. Doch mit diesen effektiven Sicherheitsmaßnahmen können Sie Brute-Force-Angriffe ins Leere laufen lassen:
- Nutzen Sie starke Passwörter, wie in diesem Artikel beschrieben.
- Nutzen Sie Multi-Faktor-Authentifizierung (MFA). Selbst wenn die Angreifenden an Ihre Zugangsdaten gelangen, können Sie aufgrund des zweiten Authentifizierungsfaktors keinen Zugriff erlangen.
- Begrenzen Sie mögliche Anmeldeversuche bei der Authentifizierung.
- Fordern Sie von Ihren Mitarbeitenden, CAPTCHA als zusätzliche Sicherheitsmaßnahme zu nutzen.
- Nutzen Sie eine IP-Denylist (bzw. IP-Blocklist), um die Quelle schädlicher Inhalte zu blockieren.
- Führen Sie regelmäßige Software- und Firmware-Updates durch, um mögliche Schwachstellen zu schließen.
Augen auf in der Öffentlichkeit
Öffentliche Orte sind für Cyberkriminelle ein lukratives Jagdrevier. Wo viele Personen und Geräte mit dem Internet verbunden sind, steigt das Risiko für betrügerische Aktivitäten – umso mehr in unzulänglich gesicherten Netzwerken ohne Passwortschutz. Wenn Sie sich zum Beispiel in das kostenlose öffentliche WLAN-Netz am Flughafen oder in einem Café einloggen, sollten Sie unbedingt ein VPN (Virtual Private Network) erstellen, um sich vor böswilligen Beobachtern zu schützen.
Doch selbst die ältesten Methoden stellen an öffentlichen Orten auch heute noch ein beachtliches Risiko dar. So wird zum Beispiel beim „Shoulder Surfing“ Ihr Bildschirm beobachtet, um so Ihre Zugangsdaten auszuspähen. Dieses Risiko können Sie reduzieren, indem Sie Blickschutzfilter oder spezielle Displayfolie nutzen, die Ihre Inhalte für andere nicht einsehbar machen.
Geben Sie Phishing keine Chance
Das Bewusstsein für sichere Passwörter steigern: So können Organisationen ihre Zugangsdaten schützen
Indem Sie die Best Practices bei der Passworterstellung befolgen und lange, komplexe Passwörter aus verschiedenen Zeichenarten wählen, können Sie den Schutz Ihrer Konten steigern. Doch auch Best Practices sind nicht endgültig, denn während Cyberkriminelle ihre Methoden weiter revolutionieren und sich neue, innovative Tools zunutze machen, müssen wir sie kontinuierlich anpassen. Ein Passwort, das gestern noch als sicher galt, könnte schon heute schnell zu entschlüsseln sein. Das unterstreicht die Wichtigkeit von kontinuierlichem Security Awareness Training.
Das Awareness-Training von SoSafe umfasst Lernmodule zum Erstellen sicherer Passwörter, die Sie auf die Anforderungen Ihrer Mitarbeitenden abstimmen können. Zudem werden sie ständig optimiert und basierend auf den neuesten Erkenntnissen und Entwicklungen der Cybersicherheitsbranche aktualisiert. Mit dem Content Management Feature unserer Lernplattform können Sie Ihre Passwortrichtlinien mit Ihren Mitarbeitenden teilen und die Akzeptanz nachverfolgen – ein weiteres effektives Tool zur Stärkung Ihrer Cybersicherheit.