Passwörter
sicher, alltagstauglich
Passwörter sind nicht „altmodisch“. Sie sind immer noch einer der wichtigsten Schutzfaktoren – vor allem, weil der häufigste Angriff so aussieht:
- Datenleck → Passwörter werden ausprobiert
- Phishing (Betrug per Nachricht) → Du gibst Zugangsdaten selbst ein
- Wiederverwendung → ein Treffer öffnet viele Türen
Kurzer Einwurf zu Botnetzen und Passwörtern
Ein Botnetz ist eine Gruppe von infizierten Geräten (PCs, Smartphones, Router, Kameras, Kühlschränke usw.), die heimlich von Kriminellen ferngesteuert werden.
Jedes Gerät ist ein „Bot“ (ferngesteuerter Helfer). Zusammen sind sie ein „Netz“.
„Ein Botnetz kann aus ein paar Tausend bis Hunderttausenden (selten Millionen) gekaperten Geräten bestehen – je nach Ziel der Angreifer.“
Wofür wird das benutzt?
„Botnetze testen Anmeldedaten millionenfach. Oft wird nicht geraten, sondern es werden bereits geleakte E-Mail/Passwort-Kombinationen automatisch auf anderen Webseiten ausprobiert (Credential Stuffing).
Password Spraying (wenige Standardpasswörter gegen viele Konten): „Sommer2026!“, „123456“ usw.
Credential Stuffing (Testen geleakter Logins): Gestohlene E-Mail/Passwort-Kombis automatisiert ausprobieren.
Spam (Müll-Nachrichten) / Betrug: Mails, Kommentare, Nachrichten massenhaft versenden.
DDoS (verteilte Überlastungsattacke): Viele Geräte schicken gleichzeitig Anfragen → Website geht in die Knie.
Daraus folgt:
Nutze für jeden Dienst ein eigenes, langes Passwort (am besten als Passphrase) und aktiviere 2-Faktor-Authentisierung. Ein Passwort-Manager hilft Dir dabei, ohne Stress starke, einzigartige Passwörter zu nutzen.
Merksätze (bitte wirklich merken)
1) Sicherheit ist kaskadierend:
Jede Maßnahme macht es etwas sicherer – 100% Sicherheit gibt es nicht. Ziel ist: Angriffe unwahrscheinlich machen und den Schaden klein halten.
2) Ein Passwort ist keine „Sicherheit“.
Ein Passwort ist nur eine Schicht. Die zweite Schicht heißt: 2FA (Zwei-Faktor-Authentifizierung).
3) Nicht klicken schlägt Technik.
Viele Konten gehen nicht wegen Super-Hacks verloren, sondern wegen Druck + Link + Eingabe.
Die 7 Regeln, die wirklich zählen
- Einzigartig pro Dienst
Ein Konto = ein Passwort. Keine Ausnahmen. - Lang
Mindestens 16 Zeichen, besser 20–30. - Unvorhersagbar
Keine Namen, Orte, Geburtstage, Kennzeichen, Lieblingssätze, Haustiere. - Keine Muster
Kein „immer gleiches Schema“, keine Endungen wie z.B. …!2026 oder xYz123!Facebook, xYz123!Bank usw., keine festen Bausteine, die überall vorkommen. - Keine „typischen Ersetzungen“
a=@,o=0,i=1– kennen Angreifer längst. - 2FA an
Für E-Mail, Apple-ID/Google, Banking, PayPal, Social Media: Pflicht. - Passwort-Manager nutzen
Weil Menschen Muster bauen – und Muster sind angreifbar.
Was Angreifer wirklich machen (kurz, damit du’s verstehst)
Credential Stuffing (Login-Versuche mit geleakten Daten)
E-Mail + Passwort aus einem Datenleck werden automatisiert bei 100 anderen Diensten getestet.
Das funktioniert nur wegen Wiederverwendung.
Phishing (Betrug per Nachricht)
Du wirst auf eine Fake-Seite gelotst und gibst Passwort + ggf. 2FA-Code ein.
Brute Force (Durchprobieren)
Kurze Passwörter knackt man automatisiert, vor allem bei schlecht geschützten Systemen oder lokalen Dateien.
Die besten Methoden für sichere Passwörter
Methode A (empfohlen): Passwort-Manager + Zufallspasswörter
Das ist die beste Mischung aus Sicherheit + Alltag.
So machst Du’s
- Passwort-Manager nutzen (Passwort-Tresor)
- Für jedes Konto ein zufälliges Passwort erzeugen lassen
- Länge: 20–30 Zeichen
- 2FA aktivieren, wo möglich
Warum das so stark ist
- wirklich zufällig
- keine Muster
- keine Wiederverwendung
- Du musst es nicht „erfinden“
Kronjuwelen-Regel:
Für E-Mail, Apple-ID/Google, Passwort-Manager, Banking, PayPal:
→ nur Methode A (nicht „selbst gebaut“).
Methode B: Passphrase (Passwort-Satz) – wenn Du es Dir merken musst
Eine Passphrase (Passwort-Satz) ist mehrere Wörter + Trennzeichen.
Wichtig: nicht ein schöner Spruch, sondern so, dass es nicht erratbar ist.
Gute Passphrase-Eigenschaften
- sehr lang (20+ Zeichen)
- mehrere Teile
- nicht persönlich
- nicht aus Deinem Alltag ableitbar
Wofür geeignet?
- Master-Passwort (Hauptpasswort) für den Passwort-Manager und Dein E-Mail-Account (damit setzt du auch eventuell vergessene Passwörter zurück)
- Geräte-PIN-Ersatz ist das nicht – dafür ist es zu lang und meist sind PINs nur Numerisch
Methode C: „Eigenes System“ (nur wenn Du diszipliniert bist)
Manche bauen sich Passwörter selbst. Das kann funktionieren, aber es hat Risiken:
- Muster können erkennbar werden, wenn ein Passwort geleakt wird
- man fängt an zu vereinfachen („passt schon“)
- man vertippt sich oder vergisst Regeln
Wenn Du ein eigenes System nutzt: so wird es besser
✅ Länge 16–30
✅ pro Dienst ein eigener Anteil
✅ keine Klartext-Anbieternamen im Passwort
✅ zusätzlich ein „geheimer Block“, der nicht aus Satz/Datum/Anbieter kommt
✅ keine überall identische Struktur
Wichtig: Sobald Du merkst, dass Du Muster baust: lieber Passwort-Manager.
Was Du unbedingt lassen solltest (die Klassiker)
❌ Ein Passwort für mehrere Konten
❌ „Sommer2026!“, „Passwort123!“
❌ Geburtsdatum, Namen, Orte, Kennzeichen
❌ „Ich tausche nur Buchstaben gegen Zahlen“ (zu bekannt)
❌ Anbietername im Klartext im Passwort
❌ Passwort in Notizen ungeschützt speichern
❌ Passwort per Messenger verschicken
2FA richtig nutzen (damit Passwörter nicht Dein einziger Schutz sind)
2FA (Zwei-Faktor-Authentifizierung) bedeutet:
Passwort plus zweite Bestätigung (App/Code/Push).
Gute 2FA-Reihenfolge
- Authenticator-App (Code-App)
- Push-Bestätigung (nur wenn Du wirklich hinschaust)
- SMS (geht, aber schwächer)
Merksatz:
Kein echter Support fragt nach Deinem 2FA-Code. Nie.
Passwort-Notfallplan (wenn Du glaubst, es war ein Scam)
Wenn Du nur geklickt hast
- Tab schließen, nichts eingeben
Wenn Du Passwort eingegeben hast
- Passwort sofort ändern (nicht über den Link!)
- „Überall abmelden“ nutzen (wenn verfügbar)
- 2FA aktivieren/prüfen
Wenn Du 2FA/TAN/OTP bestätigt hast
- Sofort handeln: Konto prüfen, Logins prüfen, Zahlungen prüfen
- bei Banking/PayPal: Support über echte Nummer kontaktieren
Minimal-Setup: So bist Du schon deutlich sicherer als die meisten
✅ Passwort-Manager
✅ 20–30 Zeichen pro Dienst (zufällig)
✅ 2FA an bei E-Mail, Banking, PayPal, Apple-ID/Google
✅ Keine Wiederverwendung
✅ Ruhe bewahren bei Druck-Nachrichten
Verschiedene Passwortmanager
plattformübergreifend – mit kurzem Fazit
| Manager | Plattformen | Sync/Modell | Preis (ab) | Kurzfazit |
|---|---|---|---|---|
|
Bitwarden Website |
Win/macOS/Linux iOS/iPadOS/Android Browser-Add-ons |
Cloud (Online-Abgleich) optional Self-Hosting (selbst betreiben) |
Gratis: Ja Premium: ~19,80 $/Jahr Familie: ~47,88 $/Jahr |
Plus: sehr solide Basis + gutes Preis/Leistung. Minus: UI/Komfort teils weniger „poliert“ als Premium-Konkurrenz. |
|
1Password Website |
Win/macOS/Linux iOS/iPadOS/Android Browser-Add-ons |
Cloud (Online-Abgleich) |
Gratis: Nein (Testphase) Einzel: ~2,99 $/Monat (Jahresabo) Familie: ~4,99 $/Monat (Jahresabo) |
Plus: sehr „rund“ im Alltag, starke UX. Minus: kein dauerhaft kostenloses Modell. |
|
NordPass Website |
Win/macOS/Linux iOS/iPadOS/Android Browser-Add-ons |
Cloud (Online-Abgleich) |
Gratis: Ja (Einschränkungen möglich) Premium: ~1,77–2,37 €/Monat (2J–1J) Familie: ~3,32–4,39 €/Monat (2J–1J) |
Plus: oft günstige Langzeit-Pläne. Minus: Preise schwanken stark je nach Laufzeit/Aktion. |
|
Keeper Website |
Win/macOS/Linux iOS/iPadOS/Android Browser + Web-Vault |
Cloud (Online-Abgleich) |
Gratis: Nein (Testphase möglich) Unlimited: ~39,99 $/Jahr Family: ~84,99 $/Jahr |
Plus: sehr „Enterprise-nah“ (starkes Ökosystem). Minus: preislich schnell höher, Add-ons möglich. |
|
RoboForm Website |
Win/macOS iOS/iPadOS/Android Browser-Add-ons |
Cloud (Online-Abgleich) |
Gratis: Ja (Basis) Premium: ~1,99 €/Monat (jährlich, +USt) Family: ~2,66 €/Monat (jährlich, +USt) |
Plus: Autofill (autom. Ausfüllen) + Formular-Fokus stark. Minus: wirkt teils „oldschool“, aber funktioniert. |
|
Enpass Website |
Win/macOS/Linux iOS/iPadOS/Android |
Sync über DEIN Cloud-Konto (z.B. iCloud/Google/OneDrive) |
Gratis: begrenzt/variabel Personal: ~1,99 $/Monat (jährlich) Family: ~3,99 $/Monat (jährlich) |
Plus: „keine eigene Cloud“ (du wählst den Speicher). Minus: Setup/Sync ist dein Problem – nicht ihres. |
|
Proton Pass Website |
Win/macOS/Linux iOS/iPadOS/Android Browser-Add-ons |
Cloud (Online-Abgleich) |
Gratis: Ja (Basis) Plus: ~2,99 $/Monat (jährlich; 35,88 $/Jahr) Family: oft ~4,99 $/Monat (jährlich; Aktionen möglich) |
Plus: gute Kombi, wenn man schon im Proton-Ökosystem ist. Minus: Preis-/Aktionslogik kann verwirren. |
|
KeePassXC Website |
Win/macOS/Linux Browser-Extension (Mobile via Dritt-Apps) |
Offline-Datei (KDBX) Sync selbst lösen (z.B. Nextcloud/iCloud) |
Gratis: Ja (Open Source) |
Plus: maximale Datenkontrolle (kein Anbieter-Cloud-Zwang). Minus: mobile Nutzung & Sync sind Bastelarbeit (wenn man’s sauber will). |
KeePassXC ist ideal, wenn Du keine Abos willst: kostenlos, cloud-frei (ohne Anbieter-Cloud) und Du behältst die volle Kontrolle über Deine Passwort-Datei (KDBX). Für iPhone/iPad/Android nutzt Du passende KeePass-Apps und synchronisierst die Datei über Deinen eigenen Speicher (z. B. iCloud Drive/Nextcloud). Einmal sauber eingerichtet, läuft das sehr stabil.