Warum wiederverwendete Passwörter gefährlich sind
Der Durchschnittsmensch jongliert mit über 100 Konten, kann sich aber nur eine Handvoll Passwörter merken — also verwendet er sie wieder oder verlässt sich auf schwache Varianten wie „password1“ und „password2“. Wird eine einzige Website kompromittiert (was tausende Male pro Jahr passiert), spielen Bots dieses E-Mail-Passwort-Paar innerhalb von Stunden bei Banken, E-Mail-Diensten und sozialen Medien durch. Das ist Credential Stuffing, und ein eindeutiges Passwort pro Konto ist die einzige echte Verteidigung. (Was ein Passwort tatsächlich stark macht und wie Zero-Knowledge-Speicherung funktioniert, erfahren Sie im Learn-Artikel zur Passwortsicherheit.)
Einen Passwort-Manager in 4 Schritten einrichten
- 1Wählen und installieren Sie einen Passwort-Manager. PrivaPass arbeitet vollständig in Ihrem Browser und kommt ganz ohne Konto aus. Weitere Optionen sind Bitwarden (quelloffen, mit kostenloser Stufe), 1Password oder der integrierte Passwort-Manager Ihres Browsers.
- 2Importieren oder erstellen Sie Ihre Einträge. Beginnen Sie damit, Passwörter direkt beim Anmelden auf den jeweiligen Seiten zu speichern. Die meisten Manager bieten zudem an, die im Browser gespeicherten Passwörter zu importieren. Erzeugen Sie zunächst für Ihre wichtigsten Konten neue, vollständig zufällige Passwörter.
- 3Prüfen und ersetzen Sie Ihre schwachen und wiederverwendeten Passwörter, beginnend mit den Konten, die alles andere zurücksetzen können — zuerst Ihre primäre E-Mail, dann Bankgeschäfte und Finanzen. Überprüfen Sie Ihre Adressen auf haveibeenpwned.com und wechseln Sie alles aus, was in einem bekannten Datenleck auftaucht.
- 4Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei allen kritischen Konten — besonders E-Mail, Bankgeschäfte und allem, was zum Zurücksetzen anderer Passwörter genutzt werden kann. Selbst wenn Ihr Master-Passwort irgendwie kompromittiert wird, blockiert 2FA unbefugten Zugriff; bevorzugen Sie eine Authenticator-App oder einen Passkey gegenüber SMS.
Profi-Tipps für die Passwortsicherheit
Verwenden Sie für Ihr Master-Passwort eine Passphrase — eine Abfolge aus 4 bis 5 zufälligen Wörtern ist sicherer als ein komplexes, aber kurzes Passwort und lässt sich zugleich leichter merken. Speichern Sie Ihr Master-Passwort niemals irgendwo digital ab. Schreiben Sie es auf Papier und bewahren Sie es an einem sicheren Ort offline auf. Überprüfen Sie regelmäßig Dienste wie Have I Been Pwned (haveibeenpwned.com), um zu sehen, ob eine Ihrer E-Mail-Adressen in bekannten Datenpannen aufgetaucht ist. Wechseln Sie Passwörter vorsorglich, sobald ein von Ihnen genutzter Dienst einen Vorfall meldet — warten Sie nicht erst, bis ein Zurücksetzen erzwungen wird.