Starkes Passwort, leicht zu merken

Es ist oft nicht leicht, sich starke Passwörter zu merken. Aber es gibt einige Tricks, mit denen das doch ganz einfach möglich ist.

Vorgaben für ein starkes Passwort

E-Mailpostfächer können bei uns nicht gespeichert werden, wenn das Passwort nicht mindestens drei der folgenden Kriterien erfüllt:

  • Es werden mindestens acht Zeichen verwendet
  • Ziffern sind enthalten
  • Kleinbuchstaben werden verwendet
  • Großbuchstaben werden verwendet
  • Es sind Sonderzeichen enthalten

Aber auch beim Setzen und Ändern anderer Passwörter im Kundenmenü (FTP-Account, Telefonpasswort, etc.) erhalten unsere Kunden nun einen Hinweis zur Stärke des eingegebenen Passworts:

Starkes Passwort festlegen

Wir empfehlen dringend, dieser Anzeige auch Beachtung zu schenken und ein starkes Passwort zu verwenden.

Was sind schwache Passwörter?

Es sollten niemals Passwörter verwendet werden, die leicht zu erraten sind. Dazu zählen insbesondere Namen von nahen Angehörigen oder des Haustiers sowie Geburtsdaten, aber auch allgemeine Wörter aus dem Wörterbuch. Wenn es für einen Menschen nahezu unmöglich erscheint, sämtliche Wörter des Wörterbuchs als mögliches Passwort auszuprobieren, braucht ein handelsüblicher Computer dafür meist nur wenige Sekunden.

Aber auch einfache Muster wie „asdfgh“ oder „qwert“ (im ersten Augenblick zusammenhanglose Buchstabenkombinationen, aber werfen Sie einmal einen Blick auf Ihre Tastatur) sollten vermieden werden, da auch diese für Hacker leicht zu „erraten“ sind.

Wie sehen starke Passwörter aus?

Ein starkes Passwort sollte mindestens drei der oben genannten Kriterien, besser noch alle Kriterien erfüllen.
Zwar ist ein Passwort wie „Herbst07“ schon deutlich schwieriger zu knacken als einfach nur „Herbst“, bietet jedoch noch immer nicht so viel Sicherheit wie z.B. „H3rb5t#07“.

Aber nicht nur die Beachtung der aufgeführten Kriterien sorgt für den notwendigen Schutz, den ein Passwort bieten sollte. Auch der Umgang damit ist ausschlaggebend dafür, dass Dritte nicht an die geschützten Daten kommen.

Folgende Punkte tragen ebenfalls zum Schutz der Daten durch ein starkes Passwort bei.

Das Passwort sollte…

  • … möglichst viele unterschiedliche Buchstaben, Ziffern und Sonderzeichen enthalten
  • … regelmäßig geändert werden
  • … nicht auf Merkzetteln oder dem Computer (im Klartext) gespeichert werden
  • … bei der Eingabe auf der Tastatur nicht von Dritten „mitgelesen“ werden können
  • … anderen Personen nicht verraten werden
  • … nur für einen Login/Dienst verwendet werden

Wie vergibt man ein starkes Passwort, dass man sich auch merken kann?

Allein schon als Kunde bei uns kann man eine Menge Passwörter vergeben: Eines für das Kundenmenü, ein Telefonpasswort, Passwörter für FTP-Accounts und E-Mailadressen, etc.

Und meist nutzt man dann noch Accounts auf vielen anderen Seiten wie z.B. soziale Netzwerke, Onlinebanking, Aktionsbörsen usw., die alle mit einem Passwort versehen sind.

Kurz gesagt, man hat – hält man alle Hinweise ein – etliche Passwörter à la „Ceghbh+9,3<N“.

Und wer kann sich das alles merken? Genau: Keiner.

Also gilt es, bei der Passwortvergabe kreativ zu sein und sich im Idealfall eigene „Passwort-Rezepte“ zu erstellen.

Beliebt ist dabei insbesondere der Austausch von Buchstaben durch ähnlich aussehende Ziffern (im Netzjargon auch „Leetspeak“ genannt). So wird z.B. aus dem vorher genannten Beispiel „Herbst“ das schon deutlich stärkere Passwort „H3rb5t“, das nun noch mit Sonderzeichen und Zahlen versehen werden sollte.
Da der Austausch von Buchstaben durch Ziffern jedoch immer mehr Verwendung findet, ist das Einflechten von „Leets“ zwar nicht verkehrt, sollte jedoch nicht ausschließlich verwendet werden.

Sehr stark und trotzdem recht einfach zu merken sind Sätze, deren Anfangsbuchstaben als Passwort verwendet werden. Da auch gängige Sprichwörter inzwischen teils in die Passwortlisten der Hacker aufgenommen wurden, sollte man selbst ausgedachte Sätze verwenden.

Nimmt man z.B. die Aussage: „Morgens einen Tee? Nein, lieber 2 Tassen Kaffee.“ und verwendet davon die jeweils ersten Buchstaben der Wörter und die Satzzeichen, erhält man ein starkes Passwort: „MeT?N,l2TK.“. Kaffeetrinker können sich das sicher gut merken 😉 und dennoch entspricht das Passwort sämtlichen empfohlenen Richtlinien.

Auch die Verschmelzung zweier Wörter kann eine Variante zur Erstellung eines sicheren Passworts sein, bei dem dann auch nichts mehr gegen den Tausch von Buchstaben durch ähnlich aussehende Ziffern spricht. So kann aus „Domain&Web“ ein neues Passwort wie „D0&Webma1n“ entstehen.

Ob nun aber Anfangsbuchen von Sätzen, Verschmelzungen oder ganz andere Varianten zur Generierung eines starken Passworts verwendet werden, muss jeder nach eigenem Belieben entscheiden. Die Verwendung von „Passwort-Rezepten“ macht es jedoch möglich, sich selbst unmöglich kryptographisch erscheinende Buchstaben-Zahlen-Sonderzeichen-Salate zu merken. 😉

End of article

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

16 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • David
    David - 5. August 2013 um 09:41 Uhr

    … oder einen Passwortmanager (mit einem zentralen sehr guten Passwort) verwenden, und schon ist das individuelle Passwort für jeden Dienst und Account kein großes Problem mehr.

  • David
    David - 5. August 2013 um 09:43 Uhr

    (also, das MERKEN dieser Passwörter ist dann kein Problem mehr – individuelle Passwörter geht natürlich auch ohne Manager, wenn man ein extrem gutes Gedächtnis hat 🙂

  • Stefan Kohler
    Stefan Kohler - 5. August 2013 um 09:48 Uhr

    Es wäre interessant wie oft das Passwort „MeT?N,l2TK.“ in Zukunft auftaucht 😀

  • Leere Dose
    Leere Dose - 5. August 2013 um 11:50 Uhr

    Nur schade, dass Domainfactory die Passwörter nach wie vor UNVERSCHLÜSSELT speichert.

    So nützt bei einem Angriff auf die DF-Infrastruktur auch das beste Passwort nichts mehr!

  • alexplus
    alexplus - 5. August 2013 um 12:41 Uhr

    Dazu passend: http://xkcd.com/936/

  • Ernstl
    Ernstl - 5. August 2013 um 13:17 Uhr

    Hier muss ich Leere Dose allerdings recht geben. Dass man an diversen Stellen in den Kundenmenüs seine Passwörter anzeigen lassen kann, empfinde ich auch als sehr unglücklich. Von daher kann nur jedem empfohlen werden df-Passwörter nicht noch anderweitig zu verwenden.

    @df: Das sollte wirklich geändert werden. Als Admin kann ich meine Passwörter jederzeit überschreiben. Aber sie sollten doch niemals irgendwo im Klartext auftauchen… weder im Kundenmenü noch euren Datenbanken. Ist da eine Änderung geplant??

  • Drakon
    Drakon - 5. August 2013 um 13:21 Uhr

    Was nützt mir, wenn ich mir ein sicheres und starkes Paßwort ausdenke, aber euer System es nicht akzeptiert. So gestern erst wieder bei der Erstellung eines FTP-Zugangs geschehen. Irgendein Sonderzeichen wurde nicht akzeptiert.

  • Anna
    Anna - 6. August 2013 um 12:26 Uhr

    @Drakon – danke für den Hinweis, das sehen wir uns an!
    @Leere Dose: Dazu gab es schon einige Diskussionen und auch eine Stellungnahme von uns in unserem Forum:
    https://www.df.eu/forum/threads/68720-Klartext-Passw%C3%B6rter-bei-domainFactory
    Über die Dringlichkeit der Thematik sind wir uns bewusst und arbeiten auch mit Hochdruck an einer Lösung, die alle unsere Kunden zufriedenstellt. Diesen und auch noch weiteren Forenthreads zu dem Thema können Sie entnehmen, dass – gerade im Bereich unserer Reseller – sehr geteilte Meinungen dazu geäußert wurden. Demnach ist es für uns natürlich auch wichtig, möglichst allen unseren Kunden dazu eine akzeptable Umsetzung anzubieten. Seien Sie also versichert, dass wir das Thema sehr ernst nehmen und daran arbeiten, diesbezüglich jedoch noch um etwas Geduld bitten müssen. Sobald es neue Informationen dazu gibt, werden wir Sie selbstverständlich informieren.

  • Reseller4711
    Reseller4711 - 6. August 2013 um 12:41 Uhr

    So würde das eher meiner Realität entsprechen 🙂
    MeT?N,l9TK

    Als Reseller bin ich manchmal entsetzt mit welchen Passwörtern meine Kunden arbeiten. Beispiel: ich123, Sonne oder Ähnliches.
    Allerdings muss ich mich auch an der eigenen Nase packen. ich habe eine handvoll „sicherer“ Passwörter, aber einige nutze ich doch zu häufig bei unterschiedlichen „online Zugängen“. Das s muss ich ändern, also Danke für den Artikel, der mich mal wieder sensibilisiert hat.

    Nun bin ich schon bei: MeT?N,l10TK

  • Michael
    Michael - 8. August 2013 um 09:00 Uhr

    @Anna, wie wär’s mit einer Einstellmöglichkeit im Kundenmenü wie bei Online-Kündigung aktivieren:
    Einmalig einstellen, ob Passwörter in den Einstellungen auf Wunsch angezeigt werden sollen oder nur noch Möglichkeit zum Überschreiben. Und das am Besten pro Auftrag einstellbar.
    So kann jeder selbst entscheiden wie er es möchte.

  • Anna
    Anna - 8. August 2013 um 10:43 Uhr

    @Michael, wenn es rein darum geht, ob die Passwörter im Kundenmenü eingeblendet werden können oder nicht, so existiert hierfür bereits eine Option unter „Passwörter“ -> „Passwortanzeige konfigurieren“. Bezüglich der Speicherung der Passwörter an sich aber nehmen wir Ihren Vorschlag gerne auf und möchten uns dafür bedanken! 🙂

  • Michael
    Michael - 8. August 2013 um 11:36 Uhr

    @Anna, genau sowas meine ich, was man nicht einfach wieder auf aktiv setzen kann. Wenn da jetzt noch die Funktion automatisch ausgeführt würde, dass die Passwörter bei Aktivierung der Funktion auch verschlüsselt bei Euch auf den Servern gespeichert werden, sollten die Vorredner doch auch zufrieden sein.

    Nun ja, bequem ist es, aber wem extrem an Sicherheit gelegen ist weil streng vertrauliche Infos da liegen oder der Unternehmensumsatz davon abhängt, den kann ich bei solchen Themen gut verstehen.

  • Anna
    Anna - 8. August 2013 um 11:52 Uhr

    @Michael, deaktiviert man die Passwortanzeige im Kundenmenü, kann dies nicht mehr online rückgängig gemacht werden. Dafür brauchen wir dann ein unterschriebenes Schreiben des Ansprechpartners und eine Kopie des Ausweises, einen Hinweis dazu erhält man auch bei der Deaktivierung der Passwortanzeige (unten in dem blauen Hinweiskasten).

  • Markus
    Markus - 9. August 2013 um 17:09 Uhr

    dF speichert Passwörter im Klartext? Ich bin entsetzt.

    Spätestens seit PRISM und Co. sollte es ein Grundsatz sein, Passwörter immer nur als gesalzener Hash zu speichern. Wer als Dienstleister den vermeindlichen Komfort für Reseller und Co. anführt, nimmt mutwillig einen massiv schlechteren Schutz aller seiner Kunden in Kauf. Das kann ja wohl nicht sein.

    Die Abwägung zwischen Komfort und Sicherheit ist ja wohl ganz einfach, oder sollte es für einen der größten deutschen Hoster zumindest sein.

  • Lars
    Lars - 15. August 2013 um 13:13 Uhr

    http://keepass.info – die Datenbank speichere ich in meiner Google Drive. Nur ich kenne die Passphrashe (so etwa 80 Zeichen, ein sehr simpler Satz den ich mir gut eingeprägt habe) und nur ich kann darauf zugreifen – trotzdem sind meine Passwörter immer auf PC, iPad und Smartphone synchron. Problemlos und einfach. 😉

    @Markus – da die Kommunikation überwacht wird, helfen auch verschlüsselte Passworter herzlich wenig (gar nichts) gegen PRISM. Jeder deutsche E-Mail-Anbieter mit mehr als 10.000 Postfächern muss E-Mails mit bestimmten Keywords an das BKA weiterleiten.
    Das einzige, was hilft, ist eine Ende-zu-Ende-Verschlüsselung, beispielsweise PGP oder S/MIME. Wenn man beispielsweise mit mir Kontakt aufnehmen will, kann man sich auch direkt die Public Keys auf meiner Website herunterladen.

  • Passwortgenerator
    Passwortgenerator - 21. Juni 2018 um 23:25 Uhr

    Dem Beitrag kann ich nur zupflichten! Ich nutze immer einen Passwortgenerator zum Erstellen, der Mensch beherrscht einfach keinen „Zufall“. Hier https://www.starkes-passwort.de/was-muss-ich-fuer-ein-sicheres-passwort-wissen/ habe ich auch einiges zum Hintergrund und Funktionsweise eines Passwortes gelernt. Man muss auf jeden Fall dran bleiben an dem Thema. Morgen kann schon wieder alles unsicher sein, dank technologischen Fortschritt.