Wie sicher muss ein Passwort wirklich sein?
Seien wir ehrlich: Ihre Rechnungsdaten sind vermutlich nicht das, was einen Geheimdienst nachts wach hält. Trotzdem verdienen sie ein gutes Passwort. Die Frage ist nur: Wie gut muss „gut" sein?
Das eigentliche Problem
Niemand setzt sich hin und versucht, ausgerechnet Ihre Firmendatei zu knacken. So funktionieren Angriffe nicht. Was wirklich passiert: Millionen gestohlener Passwörter aus Datenlecks werden automatisiert gegen alles geworfen, was ein Login hat.
Wenn Ihr Passwort „Sommer24" ist und Sie es auch bei Ihrem E-Mail-Konto verwenden, haben Sie ein Problem – nicht wegen Ihrer Rechnungen, sondern wegen allem anderen, das am selben Passwort hängt.
Warum „komplex" nicht hilft
„Mindestens ein Großbuchstabe, eine Zahl, ein Sonderzeichen" — das klingt sicher, führt aber zu Passwörtern wie Sommer24!. Technisch erfüllt es die Regeln. Sicher ist es trotzdem nicht.
Das Problem ist nicht fehlende Komplexität. Das Problem ist Vorhersehbarkeit. Menschen sind schlecht darin, sich zufällige Dinge auszudenken — und genau das nutzen Angreifer aus.
Die Sache mit den vier Wörtern
Die Idee ist bestechend: Nehmen Sie vier zufällige Wörter. „Wolke Gabel Dachboden Pinguin". Leicht zu merken, schwer zu knacken — über 2 Billiarden Kombinationen, mit PBKDF2 praktisch unknackbar.
Für ein einzelnes Passwort ist das perfekt. Aber wie viele Logins haben Sie? E-Mail, Cloud, Banking, Buchhaltung, zehn Online-Shops, drei Streaming-Dienste… Können Sie sich für jeden davon vier andere zufällige Wörter merken?
Wo die Methode scheitert
Genau hier. Beim zweiten, dritten, zwanzigsten Login. „Wolke Gabel Dachboden Pinguin" können Sie sich merken. Aber war das jetzt das Passwort für die Bank oder für den Cloud-Speicher? Und welche vier Wörter waren es beim E-Mail-Konto?
In der Praxis passiert dann das, was immer passiert: Man nimmt überall das gleiche Passwort. Oder eine Variante davon. „WolkeGabel1" für die Bank, „WolkeGabel2" für die Cloud. Angreifer kennen dieses Muster.
Ein Passwort, um alle zu ersetzen
Ein Passwort-Manager generiert für jedes Login ein eigenes, zufälliges Passwort — 20 Zeichen, purer Zufall, unmöglich zu erraten. Sie müssen sich keines davon merken.
Sie merken sich nur noch eines: das Master-Passwort für den Manager selbst. Und genau dafür eignen sich die vier zufälligen Wörter perfekt. Ein einziges starkes Passwort, das den Zugang zu allen anderen schützt.
Welcher Manager?
Apples „Passwörter"-App ist bereits auf Ihrem Mac und synchronisiert über iCloud. 1Password und Bitwarden sind Alternativen mit mehr Funktionen. Welchen Sie wählen, spielt weniger eine Rolle als die Tatsache, dass Sie einen benutzen.
Entscheidend ist: Lassen Sie den Manager die Passwörter generieren. Nicht „Sommer24" in den Manager tippen — sondern den Zufallsgenerator nutzen, der 20-stellige Zeichenketten erzeugt, die kein Mensch errät.
Und in GrandTotal?
Wenn Sie Ihre Firmendatei verschlüsseln, schützt AES-256 Verschlüsselung Ihre Daten. Der Schlüssel wird aus Ihrem Passwort abgeleitet. Ein vom Passwort-Manager generiertes Zufallspasswort macht diese Verschlüsselung praktisch unknackbar.
Speichern Sie das Passwort in der „Passwörter"-App von macOS — dann müssen Sie es nicht bei jedem Öffnen eingeben, und es ist trotzdem sicher hinterlegt.
Es geht nicht um Ihre Rechnungen
Müssen Ihre Rechnungsdaten unknackbar sein? Wahrscheinlich nicht. Aber ein Passwort ist eine Gewohnheit, kein Einzelfall. Wer für die Firmendatei „Sommer24" nimmt, nimmt es auch für das E-Mail-Konto und das Online-Banking.
Ein Passwort-Manager plus ein starkes Master-Passwort kosten Sie zehn Minuten Einrichtung. Die Gewohnheit, die Sie dabei aufbauen, schützt nicht nur Ihre Rechnungen — sondern alles andere auch.
Kurz gesagt
Ein Passwort pro Dienst
Die wichtigste Regel überhaupt
Passwort-Manager nutzen
Generiert und speichert für jeden Login
Vier zufällige Wörter
Als Master-Passwort — nicht für jeden Dienst
Länge schlägt Komplexität
„Wolke Gabel Dachboden" > „P@ssw0rd!"
Testen Sie es