Beispiele für starke Passwörter – und wie Sie sie erstellen

So erstellen Sie ein sicheres Passwort

Der beste Weg, ein starkes Passwort zu erstellen, ist die Verwendung von Passphrasen – Sätzen aus 5 bis 7 zufälligen Wörtern. Sie können auch einen vertrauenswürdigen Passwort-Manager nutzen, der zufällig generierte 15-Zeichen-Strings aus Großbuchstaben, Zahlen und Sonderzeichen vorschlägt, um Ihr Passwort vor Cracking und anderen Hackerangriffen zu schützen.

Wir haben drei Best Practices für besonders starke Passwörter ermittelt:

Vermeiden Sie einfache Passwörter

Verwenden Sie keine offensichtlichen oder typischen Passwörter. Hier ist eine kurze Liste von Passwort-Typen, die Sie meiden sollten:

• Zahlen- oder Buchstabenfolgen, z. B. "abcde" oder "12345"

• Passwörter, die Ihren vollständigen oder einen Teil Ihres Benutzernamens enthalten

• Passwörter mit persönlichen Informationen, z. B. Ihr Geburtstag oder Ihre Heimatstadt

• Aneinanderreihungen sich wiederholender Zeichen, z. B. "aaaaa" oder "0000"

• Passwörter, die lediglich "Passwort" heißen. Ob Sie es glauben oder nicht: Ja, es gibt immer noch Benutzer, die dieses Passwort verwenden.

Persönliche Informationen haben in einem Passwort nichts zu suchen. Denn Social Media sei Dank ist es für Hacker recht einfach, an die grundlegenden Daten zu gelangen, die Sie (vielleicht übermäßig) veröffentlicht haben, und sie werden alles, was sie finden können, in ihren Cracking-Versuchen verwenden.

Wappnen Sie Ihr Passwort gegen Brute-Force-Angriffe

Bei Brute-Force-Angriffen werden viele Zeichenkombinationen nacheinander durchlaufen, und zwar so lange, bis eine davon Ihrem Passwort entspricht. So können Sie sich vor dieser Gefahr schützen:

• Verwenden Sie mindestens 15 bis 20 Zeichen (je mehr, desto besser): Laut aktualisierten Richtlinien des National Institute of Standards and Technology (NIST) ist Länge Ihr bester Schutz. Jedes zusätzliche Zeichen erhöht die Anzahl potenzieller Kombinationen gewaltig, wodurch sich wiederum die Passwort-Entropie erhöht und die Zeit verlängert, die für die Ermittlung des Passworts mittels Brute Force benötigt wird.

• Verwenden Sie mehrere Zeichentypen: Besonders bei Nutzung eines Passwort-Managers ist es am besten, randomisierte Passwörter zu generieren, die aus Groß- und Kleinbuchstaben sowie Symbole und Zahlen bestehen. Denn Passwörter, die sämtliche Zeichentypen zufällig enthalten, lassen sich nicht so schnell knacken, weil sich die Anzahl der Möglichkeiten pro Zeichen maximiert. Vergessen Sie nicht, mindestens 15 Zeichen zu verwenden.

• Vermeiden Sie gängige Zeichenvertauschungen: Hacker programmieren ihre Cracking-Software so, dass sie typische Buchstabenvertauschungen oder "Leetspeak" (l337 $p34k) berücksichtigt, wie z.B. "0" anstelle von "O". "p4$$w0rd" ist somit genauso leicht zu knacken wie "Passwort".

• Denken Sie sich etwas Besseres aus als QWERTZ: Vermeiden Sie die Verwendung einprägsamer Tastaturpfade wie "qwertz" oder "asdf" – diese sind nicht schwieriger zu knacken als normale Wörter.

Verwenden Sie Passphrasen

Durch Verkettung mehrerer Wörter erstellen Sie eine extralange Passphrase, die gegen Wörterbuch- und Brute-Force-Angriffe gleichermaßen resistent ist. Sie können die Wörter mit Bindestrichen, Punkten oder Unterstrichen verbinden.

Ein Beispiel für ein unsicheres Passwort im Vergleich zu einer sicheren Passphrase.

Die Wörter in Ihrer Passphrase sollten keine offensichtliche Verbindung zueinander haben, da Passwort-Cracking-Software verwandte Wörter erraten könnte. Zum Beispiel sind die Passwörter "das-ist-mein-passwort" und "gute-zeiten-schlechte-zeiten" nicht so sicher wie zufällig aneinandergereihte Wörter. Verbinden Sie zufällige Wörter wie "bananenbrille-maurer-einkaufszettel", um Hacker zu überlisten.

Die besten Passwortmethoden (und gute Beispiele)

Zu den schwer zu knackenden Passwortmethoden gehören obskure Passphrasen, Mnemonics und die Satzmethode. Damit stellen Sie Hacker vor große Schwierigkeiten, ob Sie nun Ihre Online-Anmeldedaten aktualisieren oder passwortgeschützte Dateien und Ordner auf Ihrem PC erstellen.

Hier sind einige unserer Favoriten zur Erstellung sicherer Passwörter:

Die undurchschaubare Passphrase

Bei dieser Methode wird das Konzept der Passphrase um einige Sicherheitsstufen erhöht. Seien Sie cleverer als die Hacker und wählen Sie ungewöhnliche Wörter wie Eigennamen, historische Figuren, altertümliche Wörter oder Wörter aus verschiedenen Sprachen aus.

Als Erinnerungshilfe für Ihre neue Passphrase denken Sie sich dann eine einprägsame Geschichte rund um die ausgewählten Wörter aus.

Beispiele

Wie wäre es zum Beispiel mit dieser Passphrase: SunTzu-Cheesesteak-Transistor-Christmas-obrigado. Die Geschichte könnte lauten: Der große Militärstratege Sun Tzu hatte große Lust auf Cheesesteak-Sandwiches und bekam zu Weihnachten einen transistorgesteuerten Sandwich-Maker geschenkt, für den er sich auf Portugiesisch bedankte.

Um das Passwort noch sicherer zu machen, fügen Sie Symbole und Zeichen zwischen den Wörtern oder anstelle einiger Buchstaben ein. Beispiel: SunTzu>chee$esteak-transistor?Christmas-0brigado.

Leetspeak in einer Passphrase ist in Ordnung, da Passphrasen im Allgemeinen sehr lang sind und zufällige Wörter verwenden.

Der Satz

Diese Methode hat der Cybersicherheitsexperte Bruce Schneier erfunden. Bei ihr wird ein Satz nach einer selbst erfundenen Regel in ein Password umgewandelt. Sie könnten zum Beispiel die ersten beiden Buchstaben aller Wörter im Satz zu einem Passwort verbinden.

Beispiele

Aus dem Satz "Mein Lieblingsalbum von Bruce Springsteen ist eindeutig Nebraska" würde dann MeLivoBrSp-iseiNe. Wie Sie sehen, haben wir zur Erhöhung der Sicherheit einen Satz ausgewählt, der sowohl Satzzeichen als auch mehrere Großbuchstaben enthält.

Ähnlich könnte aus "Der Mai ist der fünfte Monat des Jahres" MaISde5.M0deJa und aus "Freitag ist die ganze Nacht Party!" FrisDIgaN8p! werden.

Das Muskelgedächtnis

Muskelgedächtnis bedeutet, dass Sie neuronale Bahnen durch die Wiederholung von Bewegungen verstärken. Einfach ausgedrückt, geht es darum, Ihr Passwort so oft einzugeben, dass sich Ihre Muskeln ohne Nachzudenken daran erinnern, was zu tun ist.

Der Zufalls-Passwort-Generator von Avast kann Ihnen dabei helfen, ein zufälliges Passwort zu erstellen, bis Sie eines haben, mit dem Sie sich wohlfühlen. Üben Sie anschließend die Eingabe, bis es zur Routine wird. Wenn Sie sich das nächste Mal einloggen, werden Sie das Passwort wie von selbst tippen. Achten Sie nur darauf, kein Passwort zu verwenden, das zu leicht zu merken ist – denn wenn es das für Sie ist, ist es wahrscheinlich auch für andere leicht zu erraten.

Wenn Sie mehrere Geräte nutzen, um auf Ihre Online-Konten zuzugreifen, ist es sinnvoll, Ihr Passwort auf jedem zu üben, da sich Ihre Bewegungen auf einem Mobiltelefon oder Tablet von denen auf einem Computer unterscheiden können.

Idealerweise üben Sie nur in einem echten Login-Feld, um zu vermeiden, dass Sie versehentlich eine Kopie Ihres Passworts speichern.

Beispiele

Wenn Sie die Muskelgedächtnis-Methode verwenden, ist es wichtig, eine Balance zu finden zwischen einem komplexen Passwort und einem, das Sie sich tatsächlich merken können. Die Verwendung eines Zufallspasswort-Generators bedeutet, dass die Beispiele alle extrem unterschiedlich ausfallen werden, wie !YRo]0caPRgW, Qk7b9jxbHn1ZV8f und p;0c0 K)Tw2JP.

Die Mnemotechnik-Methode

Die Mnemotechnik-Methode besteht darin, jedem Zeichen in einem Passwort ein Wort zuzuordnen, um es sich zu merken. Die Farben des Regenbogens (rot, orange, gelb, grün, blau, indigo, violett) lassen sich auf Englisch beispielsweise als "Roy G. Biv" merken.

Um eine Eselsbrücke zu erstellen, teilen Sie das Passwort in Buchstaben oder Abschnitte von 2 bis 4 Zeichen auf. Übersetzen Sie jeden Abschnitt in einen Klang, ein Bild oder ein Wort. Fügen Sie Rhythmen, Alliterationen oder Reime hinzu, um es einprägsamer zu machen.

Sie können Groß-/Kleinschreibung, Zahlen und Sonderzeichen als Gedächtnisstützen verwenden, wie zum Beispiel:

• Großbuchstaben können für einen Eigennamen oder einen Ausruf verwendet werden.

• Zahlen können anstelle von Buchstaben oder für Reime und Merkstützen verwendet werden, wie z. B. 2=Ei oder 4=Bier.

• Symbole können als Wortplatzhalter dienen, z. B. @ für "an", ! für "absolut" oder ( für "offen".

Beispiele

Das starke Passwort oJtr@m4&fd>sadb.A! könnte man sich merken als "Onkel Jakob trinkt bei mir Bier und fällt dann sofort auf den Boden. Autsch!" Oder 4#sg;mK!esi2l könnte heißen "Vier Schüsse gehört; meine Königin! Ein Sieg im Eierlauf!"

Die ISO-Code-Methode

Bei dieser Methode werden die ISO-Codes aus verschiedenen Ländern verwendet und zu einer langen Zeichenfolge zusammengefügt. Ein ISO-Code ist ein internationaler Code, der ein Land und seine Unterabteilungen repräsentiert. Der ISO-Code für Deutschland ist z. B. DEU und für das Vereinigte Königreich GBR.

Versuchen Sie, die Codes der letzten fünf Länder, die Sie besucht haben, zu verwenden, um ein einprägsames Passwort zu erstellen. Wenn Ihnen diese Methode gefällt, können Sie Ihr Passwort immer aktualisieren, wenn Sie oder Ihre Lieben neue Orte besuchen, indem Sie entweder ISO-Codes hinzufügen oder das älteste Land durch das neueste ersetzen.

Alternativ können Sie auch Länder wählen, die Sie unbedingt noch besuchen wollen, die Sie interessieren oder die Sie ganz zufällig ausgewählt haben.

Tipp: Zufällige Länder sind eine gute Idee, wenn Sie häufig Reise-Updates auf sozialen Medien teilen, da ein Hacker leicht Ihre letzten Urlaubsziele herausfinden könnte.

Beispiele

Die letzten fünf Länder, die ich besucht habe, waren zum Beispiel Spanien, China, Australien, Kanada und Ägypten. Unter Verwendung der ISO-Codes dieser Länder könnte mein Passwort daher lauten: ESPCHNAUSCANEGY. Um die Sicherheit zu erhöhen, könnte ich Groß- und Kleinbuchstaben sowie Sonderzeichen verwenden oder Buchstaben durch Zahlen ersetzen, wie E5PCHnAuSC^N3&Y.

Wenn ich als nächstes nach Norwegen reise, könnte ich das Land, dessen Besuch am längsten zurückliegt, ersetzen. Das neue Passwort hieße dann: NORCHnAuSC^N3&Y.

Die mathematische Methode

Die mathematische Methode verwendet Gleichungen für die Erstellung eines sicheren Passworts. Das bedeutet nicht, dass Sie zufällige Zahlen und Symbole einfügen, sondern dass das Passwort selbst einer logischen Berechnung folgt.

Sie können auch abstrakte Gleichungen – mathematische Logik oder Ursache und Wirkung, von denen Sie wissen, dass sie wahr sind – verwenden, um ein einzigartiges, einprägsames Passwort zu erstellen, insbesondere wenn es mit Ihren Interessen oder Ihrem Leben zu tun hat.

Mit anderen Worten: Das Passwort sollte sich wie eine Gleichung lesen, mit Eingaben, einem Operator und einem Ergebnis:

• Eingaben: die Zahlen, Objekte oder Konzepte, die Sie kombinieren.

• Operator: die Aktion zwischen ihnen (wie +, -, x, / bzw. die Wortformen).

• Resultat: das Ergebnis.

Beispiele

Ein einfaches mathematisches Passwort könnte so aussehen: 539+98=sechshundert&siebenunddreißig.

Alternativ können Sie auch etwas kreativer werden und sich etwas wie fussballteam+rotekarte=10 ausdenken. Die Logik dahinter ist, dass eine Fußballmannschaft aus 11 Spielern besteht, aber wenn einer davon mit einer roten Karte des Feldes verwiesen wird, sind nur noch 10 Spieler übrig.

Wie Sie Passwörter geheim halten

Der beste und einfachste Weg, Ihre Passwörter geheim zu halten und Ihre Daten zu schützen, ist die Verwendung eines komplexen Passworts, das für jedes Konto einzigartig ist. Wenn Sie dazu einen Passwort-Manager einsetzen, behalten Sie leicht die Übersicht.

Hier sind noch weitere Möglichkeiten zum Schutz Ihrer Passwörter:

Sichern Sie Ihre E-Mails ab

Als Erstes sollten Sie sicherstellen, dass Ihre E-Mails nicht gefährdet sind. Wenn sich jemand Zugang zu Ihrem Posteingang verschafft, kann er möglicherweise Ihre bestehenden Passwörter zurücksetzen, indem er auf "Passwort vergessen?" klickt. Er braucht nur darauf zu warten, dass der Link zum Zurücksetzen in Ihrem Posteingang erscheint.

Verwenden Sie Avast Hack Check um festzustellen, ob Passwörter, die mit Ihrer E-Mail-Adresse verknüpft sind, geleakt wurden. Sollte dies der Fall sein, ändern Sie die Passwörter sowie das Passwort für Ihr E-Mail-Konto sofort.

Quelle: Gen Threat Report für das 3. Quartal 2025

Datenpannen kommen immer wieder vor. Die gestohlenen Daten werden häufig auf dem Schwarzmarkt anderen Cyberkriminellen zum Kauf angeboten. Avast Hack Check überprüft öffentliche Datenschutzpannen und überwacht das Dark Web auf Ihre E-Mail-Adresse. Es liefert jedoch nur einen Schnappschuss für den Moment der Ausführung. Für eine kontinuierliche Überwachung auf Datenpannen und zusätzliche Sicherheitstipps für Ihre Daten empfehlen wir ein Tool wie Avast BreachGuard.

Vertrauen Sie nicht jedem

Es ist mittlerweile eine gängige Praxis, dass Websites die Passwörter ihrer Benutzer verschlüsseln, sodass Hacker, denen der Zugriff auf die Datenbanken gelingt, die gestohlenen Informationen erst einmal entschlüsseln müssen. Websites, die Passwörter noch im Klartext speichern, haben im Internet von heute nichts verloren.

Warnzeichen für Websites mit schwacher Passwortsicherheit sind beispielsweise, dass das Passwort nach der Eingabe auf Ihrem Bildschirm erscheint, oder dass die Option "Passwort vergessen" Ihnen eine Kopie Ihres Passworts sendet statt einen Link zum Zurücksetzen. Wenn Sie vermuten, dass Ihr Passwort nicht sicher ist, löschen Sie Ihr Konto auf der betreffenden Website, und ändern Sie alle Ihre Passwörter.

Sie sollten auch keine Anmeldedaten oder sensible personenbezogene Daten auf einer Website eingeben, die HTTP statt HTTPS verwendet. HTTPS ist das sicherste und modernste Protokoll zur Verschlüsselung von Daten während der Übertragung.

Verwenden Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) ist mittlerweile eine Standard-Sicherheitspraktik und bietet zusätzlichen Schutz für Ihre Anmeldung, weil dabei mehr als nur Ihr Passwort abgefragt wird. Zu den gängigen Authentifizierungsmethoden gehören Codes, die per SMS versendet werden, Mobil-Apps, Fingerabdruck- oder Gesichtserkennung sowie physische Token.

Sollte ein Hacker an ein Passwort gelangen, muss er dann mindestens noch eine weitere Hürde überwinden, bevor er sich Zugang zu einem Benutzerkonto verschaffen kann. Laut Microsoft werden durch die Aktivierung von Multi-Faktor-Authentifizierung (wie 2FA) für ein Online-Konto 99,9 % der Angriffe auf ein Konto abgewehrt.

Beachten Sie, dass SMS-basierte 2FA in der Regel die unsicherste Option ist, da Textnachrichten gefälscht oder abgefangen werden können. Das FBI hat Warnungen bezüglich textbasierter 2FA ausgesprochen, nachdem die Hackergruppe Scattered Spider die Login-Sicherheit durch Hinzufügen neuer 2FA-Geräte zu Benutzerkonten umgangen hat. Die beste Wahl zur Authentifizierung ist eine entsprechende App.

FIDO-zertifizierte Sicherheitsschlüssel

Zu den sichersten Methoden der Multi-Faktor-Authentifizierung gehören physische Sicherheitsschlüssel. Sie sind als USB-, NFC- und Bluetooth-Versionen verfügbar und gewähren ausschließlich dem Inhaber des Schlüssels Zugang. Sie sind damit wesentlich sicherer als SMS – vorausgesetzt, der Schlüssel geht nicht verloren.

Passkeys sind eine verwandte, passwortlose Anmeldemethode, bei der Ihr Telefon oder Laptop als Authentifikator verwendet wird.

FIDO Alliance ist die Industriegruppe, die die offenen Standards für Sicherheitsschlüssel und Passkeys definiert und zertifiziert. Nutzen Sie für ein Optimum an Authentifizierung und Schutz Services, die FIDO-Passkeys unterstützen, wie z. B. Google, PayPal und Amazon.

Halten Sie sich an diese Best Practices für die Passwortsicherheit

• Verwenden Sie in ungesicherten WLANs ein VPN: Die Aktivierung eines VPN beim Zugriff auf kostenloses öffentliches WLAN, etwa am Flughafen oder im Café, bietet zusätzlichen Schutz vor unseriösen Netzwerken und Schnüfflern und verhindert, dass jemand Ihre Anmeldedaten abfangen kann.

• Geben Sie Ihr Passwort nicht im Klartext weiter: Senden Sie niemals E-Mails oder SMS mit Ihrem Passwort, da diese leicht abgefangen werden können und dauerhafte Aufzeichnungen hinterlassen, die Angreifer später auswerten können.

• Wählen Sie schwer zu erratende Sicherheitsfragen: Denn im Internet kursieren eine Menge Informationen über Sie. Wenn Sie aufgefordert werden, Fragen zur Sicherheitsüberprüfung zu erstellen, wählen Sie nicht die Optionen, die leicht mit einer schnellen Suche in Ihren Social-Media-Konten oder anderen öffentlich verfügbaren Informationen beantwortet werden können.

• Verwenden Sie ein starkes Antivirus-Programm: Falls das Schlimmste passiert und Ihr Passwort in die Hände von Hackern fällt, kann Sie eine großartige Antivirus-Software vor Malware und anderen Bedrohungen wie Scams schützen.

• Verwenden Sie einen Passwort-Manager: Die sichere Speicherung Ihrer Passwörter in einem vertrauenswürdigen Passwort-Manager macht es einfacher, einzigartige und komplexe Zeichenkombinationen zu verwenden.

• Verwenden Sie einen sicheren Browser: Laden Sie einen vertrauenswürdigen Browser mit Datenschutzfunktionen herunter, für einen zusätzlichen Schutz beim Surfen im Internet. Solche Browser helfen dabei, Tracker und riskante Werbung oder Websites zu blockieren.

Das regelmäßige Ändern von Passwörtern war früher gang und gäbe, wird aber nicht mehr empfohlen. Das NIST (National Institute of Standards and Technology) rät den Anbietern von Konten nun, eine Passwortänderung nur dann zu erzwingen, wenn es Hinweise darauf gibt, dass der Authentifikator kompromittiert wurde. Die NIST-Dokumentation richtet sich zwar an Organisationen, die mit staatlichen Informationssystemen arbeiten, wird aber auch weithin als Industriestandard verwendet.

Alternativen zu starken Passwörtern

Anstatt herkömmliche Passwörter für den Zugriff auf Ihre Konten zu verwenden, nutzen einige Unternehmen oder Website-Administratoren mittlerweile Alternativen wie Single Sign-On und passwortlose Authentifizierung.

Single Sign-On (SSO)

SSO ist eine Technologie, die es einem Identitätsanbieter (Identity Provider, IdP) ermöglicht, Sie einmal zu verifizieren und Anmeldetoken für andere zugelassene Apps auszustellen. In vielen Unternehmen ist Microsoft Entra ID der IdP und ermöglicht es Benutzern, sich nahtlos bei Teams, SharePoint und Apps von Drittanbietern wie Salesforce anzumelden, ohne dass Sie Ihre Anmeldedaten erneut eingeben müssen. SSO macht starke Passwörter zwar nicht überflüssig, kann aber indirekt helfen, ein gutes Passwort zu schützen, da Sie es sich nicht jedes Mal für die Anmeldung merken müssen.

Passwortlose Authentifizierung

Dies bezieht sich auf jede Methode, die es Ihnen ermöglicht, ohne Passworteingabe auf Ihre Konten zuzugreifen. In der Regel ist es etwas, das Sie sind oder haben. Etwas, das Sie "sind", wird für die biometrische Authentifizierung verwendet. Beispiele dafür sind Face ID auf iPhones oder Touch ID auf MacBooks. Etwas, das Sie "haben", bezieht sich auf Authentifizierungs-Apps, Smart Cards oder gerätebasierte Smart Keys.

Wie kann ein Passwort gehackt werden?

Ein Cyberkrimineller kann Ihr Passwort mithilfe spezieller Cracking-Software, durch das Versenden von Phishing-Nachrichten oder das Durchsuchen Ihrer Beiträge in sozialen Medien erlangen. Häufig erwerben sie die Passwörter allerdings im Darkweb.

Passwort-Hacking ist ein äußerst lukratives Geschäft. Wer ein- und dasselbe Passwort seit mehreren Jahren und für verschiedene Websites nutzt, ist mit großer Wahrscheinlichkeit schon einmal Opfer von Hacking geworden. Hacker stehlen Anmeldeinformationen von Benutzern, die durch Datenlecks offengelegt wurden, stellen alle Informationen in einer umfangreichen Liste zusammen und verkaufen diese an andere Cyberkriminelle.

Im Folgenden beschreiben wir die wichtigsten Methoden zum Knacken von Passwörtern, die von Cyberkriminellen eingesetzt werden:

Brute-Force-Angriff

Bei einem Brute-Force-Angriff probieren die Hacker ein Passwort nach dem anderen aus, bis sie schließlich Ihres herausfinden. Sie nutzen dafür häufig eine leistungsstarke Automatisierungssoftware. Brute-Force-Programme sind darauf ausgerichtet, in kürzester Zeit so viele Kombinationen wie möglich auszugeben, um das richtige Passwort zu finden.

2025 berichtete SC Media über einen Brute-Force-Angriff, bei dem fast 2,8 Millionen IP-Adressen täglich verwendet wurden, um VPN-Zugangsdaten von Unternehmensnetzwerken wie SonicWall und Palo Alto Networks zu erraten.

2012 präsentierte der Sicherheitsexperte Jeremi Gosney einen maßgeschneiderten Computer namens 25-GPU-Cluster, der in der Lage war, 350 Milliarden Passwortvorschläge pro Sekunde zu generieren. Die Software benötigte sechs Stunden oder weniger, um ein beliebiges 8-stelliges Windows-Passwort zu knacken, das aus Groß- und Kleinbuchstaben, Zahlen und Symbolen besteht. Mit diesem Cluster konnte er an die Passwörter von 90 % der damaligen LinkedIn-Benutzer gelangen.

Seitdem gibt es eine deutliche Tendenz in Richtung längerer Passwörter. Jedes zusätzliche Zeichen vervielfacht die Gesamtzahl der Möglichkeiten exponentiell (auch hier wieder: höhere Passwort-Entropie), wodurch Brute-Force-Angriffe schwieriger werden. Tatsächlich kann es Hunderte oder Tausende von Jahren dauern, um wirklich zufällige Passwörter mit 15 oder mehr Zeichen zu knacken.

Wörterbuchangriffe

Wörterbuchangriffe sind eine Art hochoptimierter Brute-Force-Angriff. Anstatt allerdings zufällige Zeichenfolgen auszuprobieren, generieren die Angreifer Passwörter aus einer vordefinierten Menge von Wörtern. Wenn Ihr Passwort nur aus einem Wort besteht, können Sie schnell einem Wörterbuchangriff zum Opfer fallen.

Wer seine Passwörter gerne aus gängigen Wörtern bildet, sollte zumindest mehrere Wörter zu einer Passphrase aneinanderreihen. Mit dieser Technik lassen sich starke Passwörter bilden, die vielen Wörterbuchangriffen standhalten können. Aber die Wörter dürfen in keinem Zusammenhang zueinander stehen, denn sonst wäre die Software in der Lage, die Passphrase zu knacken.

Ihre Passphrase sollte aus zufälligen, nicht zusammenhängenden Wörtern bestehen, sonst kann sie von Passwort-Cracking-Software schnell erraten werden.

Passwörter erraten mithilfe von KI

Die Zahl von dunklen KI-Tools hat in den letzten Jahren stark zugenommen, da die Technologie in rasantem Tempo in das öffentliche Leben vorgedrungen ist. Eine gefährliche Anwendung von KI, die Hacker nutzen, sind Passwort-Cracker.

Diese KI-gestützten Tools durchlaufen blitzschnell Tausende von möglichen Passwortkombinationen, um ein bestimmtes Konto zu knacken.

2023 stellten die Forscher einem solchen KI-Tool 15,6 Millionen Passwortbeispiele bereit und stellten fest, dass es 51 % der Passwörter in weniger als einer Minute knacken konnte. Sie fanden jedoch auch heraus, dass ein 18-stelliges Passwort mit Zahlen, Buchstaben (großen und kleinen) und Symbolen nahezu unknackbar ist.

Phishing

Phishing-Angriffe werden häufig per E-Mail ausgeführt. Die einschlägigen Nachrichten scheinen von einer vertrauenswürdigen Quelle zu stammen, z. B. von einer Bank, einer bekannten Website oder sogar von einem Vorgesetzten im eigenen Unternehmen. Möglicherweise werden Sie aufgefordert, Ihre Anmeldedaten auf einer Pharming-Website einzugeben, die der echten Website sehr ähnlich ist. Dies ist eine neue Phishing-Taktik, die als VibeScam bezeichnet wird, weil die gefälschte Website den "Vibe des Originals" hat. Sie gibt jedoch Ihr Passwort an die Cyberkriminellen weiter.

Diese Angriffe setzen auf Social Engineering-Techniken und verleiten dazu, übereilt und ohne langes Nachdenken zu handeln. Leider bemerken viele Phishing-Opfer erst zu spät, dass etwas nicht stimmt.

E-Mails sind nicht die einzige Methode für Phishing-Angriffe. Beliebt sind auch Telefonanrufe (und Telefon-Spoofing) sowie Textnachrichten und soziale Netzwerke. Dabei wird der Kontakt oft durch automatische Anrufe angebahnt, insbesondere wenn die Betrüger auf Kreditkarten- oder Bankkontobetrug aus sind.

Credential-Stuffing-Angriffe

Von Credential Stuffing spricht man, wenn ein Hacker Ihre Anmeldedaten von einem Konto verwendet, um Zugang zu Ihren anderen Konten zu erhalten. Während Brute-Force-Angriffe auf dem Ausprobieren von Passwörtern beruhen, wird beim Credential Stuffing ein bekanntes Passwort für mehrere Konten genutzt.

Es handelt sich um eine hocheffektive Hacking-Technik bei Benutzern, die dieselben Anmeldedaten für mehrere Konten wiederverwenden. Deshalb ist es wichtig, dass Sie für jedes Konto ein eindeutiges Passwort haben. Wenn sich ein Hacker Zugang zu einem Konto verschafft, hat er damit quasi den Schlüssel zu allen Konten in der Hand.

Das zuerst kompromittierte Kontopasswörter könnte von einem Dark-Web-Marktplatz stammen, durch einen früheren Phishing-Betrug oder durch Malware wie einen Keylogger offengelegt werden, der Ihre Eingaben aufzeichnet.

Schützen Sie Ihre Benutzerkonten mit Avast BreachGuard

Wenn eine Website Ihre Daten ausspäht, hilft ein starkes Passwort wenig, aber es kann darüber entscheiden, ob ein Konto gehackt wird oder nicht. Cyberkriminelle handeln mit Anmeldedaten im Dark Web, aber Avast BreachGuard überwacht das Web kontinuierlich, und warnt Sie, wenn Ihre Konto-Logins auftauchen. So können Sie schnell Maßnahmen ergreifen, um den Rest Ihrer Online-Konten zu schützen.

Laden Sie BreachGuard herunter, um Ihren individuellen Privacy Score mit praktischen Tipps zur Verbesserung anzuzeigen, Datenbroker automatisch zur Löschung Ihrer Informationen aufzufordern und Expertentipps zu erhalten, wenn Ihre Daten offengelegt wurden.