Von Aal bis Zwetschge: Wer ein reales Wort als Passwort nutzt, darf sich nicht wundern, wenn Kriminelle das entsprechende Internetkonto übernehmen. Denn so gesicherte Accounts sind für die automatisierten Wörterbuch-Attacken der Hacker eine leichte Beute, warnen die Polizeiliche Kriminalprävention und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum zehnten Safer Internet Day am Dienstag (5. Februar). Für jeden Dienst empfehle sich zudem ein eigenes Passwort. Sonst hätten Angreifer Zugriff auf alle Konten des Users, wenn sie an nur einer Stelle an das Passwort gelangen.

Ein starkes Passwort besteht aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen und sollte insgesamt mindestens acht Zeichen lang sein, raten die Experten. Bei der WLAN-Verschlüsselung sollte das Passwort sogar mindestens eine Länge von 20 Zeichen aufweisen.

Nicht nur Wörter sind als Passwort tabu. Auch wer Namen, Geburtsdaten, Jahreszahlen, Nummern- und Buchstabenfolgen oder Tastaturmuster wählt, handelt leichtsinnig. Ebenso ungeeignet sind Wörter oder Namen, an deren Anfang oder Ende einfach nur Ziffern oder Sonderzeichen hinzugefügt werden, warnen die Behörden.

Ein gutes Passwort muss in seiner Gesamtheit völlig sinnlos erscheinen. Weil so ein Passwort aber schwer zu merken ist, rät das BSI zu einem Merksatz als Eselsbrücke. Aus „Ich habe 100 sichere Passwörter, um mich im Internet anzumelden!“ wird etwa „Ih100sP,umiIa!“. Der Merksatz muss unbedingt selbst ausgedacht sein. Wer Anfangsbuchstaben von bekannten Phrasen, Sätzen, Liedtexten oder Gedichten wählt, läuft Gefahr, dass Angreifer diese bereits in ihren Wörterbuch-Attacken berücksichtigen.

Weil sich aber kaum jemand gleich mehrere sichere Kauderwelsch-Passwörter merken kann, lässt sich eines variieren - etwa indem man an das Grundpasswort nach einer bestimmten Regel Buchstaben oder Zeichen anhängt oder voranstellt. Diese lassen sich beispielsweise aus dem Anbieternamen des Dienstes, aus der Internetadresse oder einer anderen Konstante herleiten.

Um es Kriminellen schwerer zu machen, sollte man Passwörter alle drei Monate wechseln und immer vor Phishing-Attacken auf der Hut sein. Voreingestellte Passwörter gilt es stets zu ändern.