Sowohl für die Erstellung und die Nutzung von sicheren Passwörtern gibt es im Internet eine ganze Reihe von Tipps und Hinweisen. Einige davon machen unter Umständen auch viel Arbeit und sind daher auf die Dauer ungeeignet, um den Schutzlevel hochzuhalten. Andere sind wieder zu einfach und lassen bestimmte Schutzlücken offen.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt folgende Punkt für sichere Passwörter:

1. Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können. Hierfür gibt es unterschiedliche Hilfsstrategien: Der eine merkt sich einen Satz und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5-6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort. Grundsätzlich gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein.
2. Bei Verschlüsselungsverfahren für WLAN wie zum Beispiel WPA und WPA2 sollte das Passwort beispielsweise mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren. Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!% ...). Manche Anbieter von Onlinediensten machen technische Vorgaben für die verwendbaren bzw. zu verwendenden Zeichen. Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese eventuell nicht eingegeben werden können.
3. Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen.
4. Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie "asdfgh" oder "1234abcd" bestehen. Manche Anbieter gleichen Passwörter gegen eine sogenannte "black list" ab, in der genau solche nicht geeigneten Passwörter hinterlegt sind. Möchte man sie nutzen, erhält man einen Hinweis, dass das Passwort in dieser Form nicht zugelassen wird bzw. nicht sicher ist.
5. Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert.
6. Wichtige Passwörter sollten in regelmäßigen Abständen geändert werden. Warum, erklären wir unter Umgang mit Passwörtern.
7. Nutzen Sie einen Passwortmanager, um Ihre unterschiedlichen Passwörter gut verwalten zu können und ihr starkes Passwort, um diesen abzusichern. So müssen Sie sich nur ein gutes Passwort merken und können trotzdem sehr starke, überall unterschiedliche Passworte verwenden.

Der Umgang der Nutzer mit (sicheren) Passwörtern ist nach wie vor höchst unterschiedlich. So geben immer noch etwa 30 Prozent der Deutschen an, ihre Passwörter handschriflich auf Zetteln zu notieren (Quelle Googleblog). Ein Einbruch im Haus oder Unachtsamtkeit mit diesen Unterlagen ist dann immer auch ein Risiko für die Sicherheit der Acounts online. Häufig werden auch gleiche Passwörter für unterschiedliche Anwendungen genutzt. Das bedeutet leider auch, dass eine Sicherheitslücke in einer Anwendung immer auch bedeutet, dass alle anderen Anwendungen kompromiitiert werden können.

Das BSI warnt daher vor zu vielen einheitlichen Passwörtern:

Viele Anwender denken sich ein Passwort aus und nutzen dieses dann für mehrere Online-Accounts, damit sie sich nicht viele verschiedene Passwörter merken müssen. Dieser Ansatz ist bequem, aber dennoch nicht zu empfehlen, selbst wenn das gewählte Passwort den oben genannten Kriterien entspricht. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, hat der Angreifer freie Bahn für alle weiteren Accounts mit dem gleichen Passwort. Er kann einfach automatisiert durchtesten, wo dieses Passwort ebenfalls verwendet wird.

Prinzipiell sollte man daher im besten Fall unterschiedliche Passwörter verwenden und auf jeden Fall Zugangsdaten für besonders sensible Anwendungen (Banking, Smartphone usw.) nicht auch für Drittanbieter-Webseiten und andere Dienste verwenden. Damit spart man sich im Zweifel auch Arbeit, da man bei Sicherheitsproblemen nicht alle Passwörter in unterschiedlichen Accounts ändern muss.

Ebenfalls wichtig: Passwörter nicht einfach weiter geben. Selbst wenn die Person, der man die Zugangsdaten schickt, diese nutzen soll, ist es wichtig im Hinterkopf zu behalten, dass diese Daten je nach Übertragung dauerhaft gespeichert bleiben. Bei Mails bleiben diese oft im Postfach, bei Facebook oder WhatsApp im Messenger. Wenn Dritte dann Zugriff auf diese Accounts bekommen (oder beispielsweise auf ungesicherte Backups), haben sie auch Zugriff auf die verschickten Passwörter und Daten und können diese ebenso nutzen. Ein verschlüsselter oder nicht zuordenbarer Versand ist daher immer besser. Es kann auch helfen, das Passwort am Telefon duchzugeben, denn das ist dann nicht gespeichert.

Zwei-Faktoren Authentifizierung

Einige Dienste sind mittlerweile dazu über gegangen, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die sogenannten Zwei-Faktoren Authentifizierung bedeutet dabei, dass neben den normalen Zugangsdaten auch noch ein weitere Faktor abgefragt wird - oft sind das SMS mit Zugangscodes, die auf das Handy geschickt werden. Das Passwort allein reicht dann also nicht mehr, um einen Account öffenen zu können, man braucht auch Zugriff auf das Handy oder den zweiten Faktor allgemein. Diese Methode erhöht die Sicherheit von Accounts deutlich, bedeutet aber auch mehr Aufwand und ist daher in der Regel nach wie vor eher in besonders sensiblen Bereiche (beispielsweise beim Banking) zu finden.

PIN und PUK beim Handy und der ec-Karte

Das PIN System, dass man aktuell noch bei Handytarifen und Simkarten sowie bei den ec-Karten findet, ist relativ alt und hat daher ziemliche Einschränkungen. Man kann in der Regel nur Zahlen nutzen und oft auch nur maximal 4 oder 6 Zahlen pro PIN. Das ist natürlich kein hoher Sicherheitslevel. Daher sollte man diese Karten im besten Fall nur offline einsetzen und noch zusätzlich absichern. Handys und Smartphones haben dazu beispielweise mittlerweile Gesichtserkennung oder Fingerabdruck-Scanner. Auf diese Weise kann man die an sich unsicheren PIN Sperren noch zusätzlich absichern und damit nach wie vor recht sicher arbeiten.