Sichere Passwörter ohne Stress – einfach erklärt

Sichere Passwörter sind das Fundament Ihrer Sicherheit im Internet – aber wer sich für jedes Konto ein eigenes, langes Passwort ausdenken und merken soll, scheitert daran. Niemand kann sich dreißig komplizierte Passwörter merken. Die ehrliche Antwort lautet: Sie sollen sich Passwörter gar nicht mehr merken. Diese Aufgabe übernimmt ein Programm, das man Passwort-Manager nennt. Und für die wirklich wichtigen Konten kommt ein zweiter Schutz dazu, die Zwei-Faktor-Authentifizierung, die einen Dieb selbst dann ausbremst, wenn er Ihr Passwort hat.

Dieser Ratgeber erklärt beides verständlich: Warum die alten Passwort-Regeln nicht mehr gelten, wie ein Passwort-Manager funktioniert, welcher empfehlenswert ist und wo Sie Zwei-Faktor unbedingt einschalten sollten.

Warum „kompliziert” allein nicht reicht

Wenn ein Angreifer heute an Passwörter kommt, dann fast nie, weil er Ihres erraten hat. Er kommt daran, weil ein Online-Dienst gehackt wurde, bei dem Sie ein Konto haben – und mit ihm Millionen anderer Kunden. Diese Daten landen in Sammlungen, die im Internet kursieren. Der Angreifer probiert Ihre E-Mail-Adresse plus Passwort dann reihum bei den großen Diensten: bei Amazon, bei Ihrem E-Mail-Anbieter, bei PayPal. Wenn Sie überall dasselbe Passwort verwenden, ist er drin.

Die einzige wirksame Antwort darauf ist: für jedes Konto ein anderes Passwort. Nicht „mein Standardpasswort plus die ersten zwei Buchstaben des Dienstes” – das durchschaut jeder Algorithmus in Sekunden. Sondern wirklich für jedes Konto eine eigene, lange, zufällige Zeichenfolge.

Genau das kann sich kein Mensch merken. Und genau deshalb gibt es Passwort-Manager.

Was ein Passwort-Manager macht

Ein Passwort-Manager ist ein Programm, das alle Ihre Zugangsdaten in einem digitalen Tresor speichert. Sie merken sich genau ein einziges Passwort – das sogenannte Master-Passwort, mit dem dieser Tresor aufgeht. Alles andere übernimmt das Programm: Es erfindet beim Anmelden bei einem neuen Dienst automatisch ein langes, zufälliges Passwort, speichert es ab, und füllt es beim nächsten Besuch von selbst aus. Sie sehen es nie wieder, müssen es nicht eintippen, müssen es nicht aufschreiben.

Der Effekt ist doppelt. Erstens haben Sie für jedes Konto ein anderes, starkes Passwort – ohne dafür auch nur ein einziges davon im Kopf behalten zu müssen. Zweitens müssen Sie sich tatsächlich nur noch ein einziges Passwort merken, das Master-Passwort. Das darf dann ruhig kompliziert sein, denn es ist das einzige, mit dem Sie noch hantieren.

An der Stelle haben viele Menschen einen verständlichen Reflex: Ein Programm, das alle meine Passwörter kennt? Ist das nicht erst recht gefährlich? Die Sorge ist nachvollziehbar. Die Antwort ist: Nein, im Gegenteil. Seriöse Passwort-Manager verschlüsseln den Tresor so, dass selbst der Hersteller die Inhalte nicht lesen kann. Geknackt wird er nur, wenn jemand Ihr Master-Passwort kennt – und das wissen nur Sie. Das Risiko, das ein Manager neu einführt, ist um Größenordnungen kleiner als das Risiko, das er beseitigt: Passwörter, die Sie überall wiederverwenden.

Welcher Passwort-Manager ist der richtige? Unsere Empfehlung: Bitwarden

Bei den Programmen gibt es viele gute Anbieter, aber einer hebt sich für die meisten Menschen heraus: Bitwarden. Drei Gründe.

Erstens ist Bitwarden in der kostenlosen Version bereits voll alltagstauglich. Unbegrenzt viele Passwörter, auf beliebig vielen Geräten, mit Apps für Windows, Mac, iPhone, Android und allen gängigen Browsern. Wer mehr will – etwa eine Familienfunktion, mit der Ehepartner gemeinsame Konten teilen – zahlt zehn Euro im Jahr für die Premium-Version oder etwa vierzig Euro im Jahr für eine ganze Familie. Damit ist Bitwarden deutlich günstiger als die meisten Konkurrenten.

Zweitens ist die Software quelloffen. Das heißt: Unabhängige Sicherheitsexperten können den Code einsehen und prüfen, ob er hält, was er verspricht. Bei vielen anderen Anbietern muss man dem Hersteller einfach glauben. Bei Bitwarden lässt sich nachvollziehen, was passiert.

Drittens ist die Bedienung schlicht. Keine bunten Kacheln, keine Werbeflächen für Zusatzprodukte, keine ständigen Pop-ups. Einmal eingerichtet, läuft das Programm leise im Hintergrund – auch für Senioren ohne tiefes Computer-Wissen gut zu bedienen.

Wer mehr Komfort und ein moderneres Gefühl möchte, kann sich Dashlane oder 1Password ansehen – beide sind ausgezeichnet, aber teurer und in der Grundversion eingeschränkter. Für die allermeisten Leser ist Bitwarden die richtige Wahl. Sie finden das Programm direkt auf der Webseite des Herstellers unter bitwarden.com – die kostenlose Version reicht für den Anfang vollkommen aus.

In eigener Sache: Für Bitwarden bekommen wir keine Provision. Bitwarden bietet keinen solchen Vertrag für Empfehlungs-Webseiten an. Wir empfehlen es trotzdem, weil es die beste Lösung ist – und nicht, weil dabei für uns etwas abfällt.

Zwei-Faktor-Authentifizierung: Der zweite Schutz für wichtige Konten

Selbst das beste Passwort kann gestohlen werden – durch eine täuschend echte E-Mail, eine gefälschte Webseite, einen unerkannten Trojaner. Für die wirklich wichtigen Konten gibt es deshalb einen zweiten Schutz: die Zwei-Faktor-Authentifizierung, oft mit „2FA” oder „MFA” abgekürzt (Multi-Faktor-Authentifizierung).

Das Prinzip ist einfach. Beim Anmelden reicht das Passwort allein nicht mehr aus. Es kommt ein zweiter Schritt dazu: ein sechsstelliger Zahlencode, der nur dreißig Sekunden gültig ist und auf Ihrem Smartphone erzeugt wird. Wer das Passwort hat, aber nicht zusätzlich Ihr Telefon, kommt nicht herein.

Für diesen zweiten Schritt gibt es zwei Wege, die im Alltag eine Rolle spielen – und sie sind unterschiedlich gut.

Der häufigste Weg ist die SMS. Sie geben Ihre Telefonnummer an, der Dienst schickt den Code per Kurznachricht. Das ist besser als nichts, aber unsicher: SMS lassen sich abfangen, und Kriminelle haben Wege gefunden, sich eine fremde Telefonnummer auf eine eigene SIM-Karte umzuleiten. Wenn Sie die Wahl haben, nehmen Sie nicht SMS.

Besser ist eine Authenticator-App. Das ist ein kleines Programm auf dem Smartphone, das die Codes selbst erzeugt – ohne Verbindung zum Mobilfunknetz, ohne Internet. Auch Bitwarden selbst kann diese Codes erzeugen, was die Bedienung weiter vereinfacht: Sie haben dann alles in einer App. Wer Bitwarden nicht nutzen möchte, kann auf eigenständige Apps wie Authy oder Aegis (für Android) zurückgreifen, die kostenlos und solide sind.

Wo Sie Zwei-Faktor unbedingt einschalten sollten

Sie müssen Zwei-Faktor nicht überall haben. Beim Streaming-Dienst ist es Übermaß. Bei drei Sorten Konten ist es dagegen Pflicht:

Ihr E-Mail-Konto. Das ist der Generalschlüssel zu allem anderen. Wer Zugriff auf Ihr Postfach hat, kann sich bei jedem anderen Dienst „Passwort vergessen?” anklicken und übernimmt der Reihe nach Ihre Konten. E-Mail ist die wichtigste Stelle überhaupt.

Ihr Online-Banking. Hier gibt es ohnehin meist eine zweite Stufe – durch eine TAN per App oder Gerät. Sorgen Sie dafür, dass diese aktiv ist und nicht durch eine bequemere, aber unsichere Variante ersetzt wurde.

Konten mit hinterlegten Zahlungsdaten. Amazon, PayPal, Apple-ID, Google-Konto. Überall dort, wo jemand auf Ihre Kosten einkaufen oder Geld bewegen könnte.

Welche alten Ratschläge nicht mehr gelten

Zwei alte Ratschläge zu Passwörtern hören Sie vielleicht noch häufig – beide gelten heute nicht mehr.

Der erste: Passwörter regelmäßig ändern. Diese Empfehlung stammt aus einer Zeit, als man alle paar Monate vorsorglich das Passwort tauschte. Heute weiß man: Wer regelmäßig ändern muss, wählt schwächere Passwörter, weil er sie sich merken muss. Sicherheitsbehörden weltweit haben ihre Empfehlung umgekehrt – ein gutes, einzigartiges Passwort behält man, bis es einen konkreten Anlass zum Wechseln gibt (etwa eine Datenpanne beim Anbieter).

Der zweite: Passwörter aus Sonderzeichen, Zahlen, Großbuchstaben mischen. Auch hier gilt heute: Länge schlägt Komplexität. Ein Passwort aus vier zufälligen Wörtern – etwa Hafen Lampe Birne Felsen – ist sicherer und merkbarer als K7$pQ!2x. Bei einem Passwort-Manager spielt das ohnehin keine Rolle, weil das Programm zufällige Zeichenketten erzeugt. Wichtig ist die Regel nur noch für Ihr eines Master-Passwort.

So fangen Sie heute an

Wenn Sie nichts weiter tun, dann das hier: Richten Sie Bitwarden ein, denken Sie sich ein langes Master-Passwort aus, und tragen Sie als Erstes die drei wichtigsten Konten ein – E-Mail, Bank, Amazon oder PayPal. Schalten Sie für diese drei zusätzlich die Zwei-Faktor-Authentifizierung ein, am besten per Authenticator-App, nicht per SMS.

Den Rest können Sie nach und nach übertragen, immer dann, wenn Sie sich ohnehin gerade irgendwo einloggen. Innerhalb weniger Wochen sind alle Ihre Konten umgestellt – und Sie müssen sich kein einziges der dort gespeicherten Passwörter mehr merken.

Das ist der unspektakulärste, aber wirksamste Schritt zu echter Sicherheit im Netz. Kein Geräteverbot, kein Verzicht auf Komfort. Nur ein Programm, das Ihnen die Aufgabe abnimmt, die Sie ohnehin nie zuverlässig erfüllen konnten.

Häufige Fragen

Wie aufwendig ist das?
Wenig. Bitwarden ist bewusst schlicht gehalten und führt Sie Schritt für Schritt durch die Einrichtung. Wer Hilfe braucht, kann sich am Anfang von einem Familienmitglied unterstützen lassen – nach der Einrichtung läuft das Programm selbstständig im Hintergrund.

Was passiert, wenn ich das Master-Passwort vergesse?
Dann kommt niemand mehr in Ihren Tresor – auch der Hersteller nicht. Das ist gewollt, denn nur dadurch ist Ihr Tresor wirklich sicher. Notieren Sie das Master-Passwort einmal auf Papier und verwahren Sie es an einem festen, geschützten Ort.

Was kostet Bitwarden?
Die kostenlose Version reicht für die meisten Menschen aus. Wer mehr Funktionen möchte, zahlt zehn Euro pro Jahr (Einzelperson) oder etwa vierzig Euro pro Jahr (Familie bis sechs Personen).

Kann mein Passwort-Manager gehackt werden?
Theoretisch kann jedes Programm gehackt werden. Praktisch ist das Risiko bei Bitwarden gering, weil der Tresor verschlüsselt ist und der Hersteller selbst Ihre Passwörter nicht lesen kann. Das Risiko ohne Passwort-Manager – also gleiche Passwörter überall – ist deutlich größer.