Ohne Passwörter kommt man im Internet nicht weit. Viele Portale verlangen, dass sich Benutzer mit Namen und Passwort anmelden – sei es beim E-Mail-Konto, für Facebook oder bei der E-Banking-Anmeldung. Nicht sinnvoll ist es, ein simples Passwort wie «12345», das Geburtsdatum oder den Vornamen zu verwenden. Hacker knacken solche Passwörter innerhalb von Sekunden.
Ein sicheres Passwort sollte möglichst lang sein und aus grossen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen. Experten empfehlen zudem dringend, für verschiedene Portale stets unterschiedliche Passwörter zu verwenden. Bloss ist es dann kaum möglich, sich alle diese Passwörter zu merken. Aufschreiben ist keine Lösung.
Denn hat ein Dieb Zugriff auf den Zettel oder die Word-Datei mit der Liste, erhält er sämtliche Passwörter quasi auf dem Silbertablett.
Unsicher ist es auch, die Passwörter im Browser zu speichern. Dann haben alle, die Zugang zum Computer haben, automatisch Zugang zu den Passwörtern. Aus demselben Grund ist von Passwort-Datenbanken auf Android-Handys und iPhones abzuraten.
Besser geeignet sind sogenannte Passwortmanager. Das sind Programme, in die man alle Passwörter und Benutzernamen speichert – samt den Internetadressen, zu denen sie gehören. Geschützt sind sie mit einem einzigen, schwer zu knackenden Hauptpasswort. So muss man sich nur dieses eine Passwort merken. Es sollte sich unbedingt vom Anmeldepasswort für den Computer unterscheiden.
Es gibt einige bedienungsfreundliche Passwortmanager, die hohen Schutz versprechen. Viele davon speichern die Passwörter in einem Cloud-Speicher im Internet. Dort sind die Daten zwar stark verschlüsselt und mit dem eigenen Passwort geschützt – aber trotzdem nicht sicher: Vor zwei Jahren verschafften sich Hacker Zugang zu den Servern des bekannten Passwortmanagers Last Pass.
Wesentlich sicherer ist ein Passwortmanager, der die Daten ausschliesslich auf dem eigenen Computer speichert. Eine gute Wahl ist das kostenlose Programm KeepassXC (zu finden unter Keepassxc.org). Es ist ein Open-Source-Programm. Open Source bedeutet, dass jeder den Programmcode einsehen kann. Es gibt also keine versteckten Hintertüren, über die Daten versendet werden können. Bei der Stiftung Warentest erreichte KeepassXC punkto Datenschutz beste Noten. Das Programm ist auch auf Deutsch erhältlich.
Und so wendet man KeepassXC an:
- Inbetriebnahme: Beim ersten Start gibt man an, wie lange die Software benötigen soll, um sich nach der Eingabe des Hauptpassworts zu öffnen. Die Zeit kann auf bis zu fünf Sekunden verlängert werden. Je länger, desto sicherer. Dann brauchen auch Hacker mit Spezialprogrammen länger, um das Hauptpasswort zu knacken.
- Passwörter eintragen: Nach diesen ersten Einstellungen öffnet sich das Hauptfenster von KeepassXC. Wer viele Passwörter speichert, kann sie in Gruppen sortieren, um den Überblick zu bewahren. Im Feld links erstellt man per Rechtsklick Gruppen – zum Beispiel «Privat», «Büro» oder «Social Media». Für einen neuen Eintrag klickt man auf das Pluszeichen oben. Praktisch: Klickt man auf das Würfelzeichen rechts neben dem Passwortfeld, so wird automatisch ein sicheres Passwort erzeugt.
- Browser-Zusatzprogramm: Benutzernamen und Passwort lassen sich nun von Hand in die gewünschte Website kopieren. Einfacher geht es per Browser-Zusatzprogramm (Add-on). Die Links zu den Add-ons der Browser sind in den Keepass-Einstellungen zu finden: Einfach draufklicken und im Browser installieren. Ist das Add-on aktiviert, muss man sich in KeepassXC mit seinem Hauptpasswort anmelden. Ruft man danach eine Internetseite auf, die im Passwortmanager gespeichert ist, kann man in der Anmeldezeile auf das Keepass-Symbol klicken. Der Benutzernamen und das Passwort tragen sich dann automatisch ein.
- Sicherheitseinstellungen: Das Zahnradsymbol führt zu den Einstellungen. Man kann zum Beispiel unter «Zwischenablage leeren» einstellen, wie lang man ein Passwort auf Websites einsetzen kann, nachdem man es kopiert hat.
Ein sicheres Passwort ist mindestens 15 Zeichen lang
Wer einen Passwortmanager verwendet, sollte dafür ein besonders sicheres Hauptpasswort erstellen. Dieses wird oft «Masterpasswort» genannt. Es sollte aus Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen und mindestens 15 Zeichen lang sein. Komplexe Passwörter braucht es, weil Hacker mit ihren Programmen einfache Namen, Begriffe oder Zahlenfolgen innert weniger Sekunden knacken können.
Es ist sehr wichtig, dass man sich das Masterpasswort merken kann. Das geht leichter, wenn man zum Beispiel die Anfangsbuchstaben von einprägsamen Sätzen verwendet. Ein Beispiel: Die Sätze «Im Jahr 2021 war ich in den Sommerferien in Spanien. Es war viel zu heiss» ergeben das Passwort «IJ2021wiidSiS.Ewvzh».
Eine andere Möglichkeit sind sogenannte Passphrasen – also unzusammenhängende Abfolgen von Wörtern. Man sollte aber keine Sätze wählen, die Hacker erraten können. Auch keine berühmten Sätze aus der Literatur. Besser ist es, etwa die Einrichtung im Wohnzimmer aufzuzählen: «Sofa Büchergestell Tisch Vase Stuhl Bild Aquarium Zeitungsständer Fernseher Lautsprecher Stereoanlage». Passphrasen sollten mindestens 25 Zeichen lang sein.
Wichtig: Formulieren Sie das Masterpasswort mit Bedacht. Denn wenn Sie es vergessen, kommen Sie an kein einziges im Manager gespeichertes Passwort mehr heran.