Richtlinien und Sicherheit

Auswählen eines starken Passworts

Der schwächste Punkt der Sicherheit deiner Online-Konten ist meist dein Passwort. Bei WordPress.com betreiben wir großen Aufwand, damit deine Inhalte sicher und geschützt sind und niemand außer dir darauf zugreifen kann.

Aber wenn eine andere Person dein Passwort erraten oder auf andere Weise daran gelangen konnte, kann sie damit jede Sicherheitsmaßnahme überwinden, da WordPress.com diese Person für dich hält. Sie kann beliebige Änderungen an deinem WordPress.com-Blog oder -Konto vornehmen, beispielsweise deine Inhalte löschen.

Um das zu verhindern, zeigt dir dieser Leitfaden, wie du starke Passwörter erstellen kannst, die sich nur schwer erraten oder knacken lassen. Lies dir die folgenden Tipps durch und überprüfe dein eigenes Passwort. Wenn du der Meinung bist, dass dein Passwort unsicher ist, empfehlen wir dringend, es zu ändern.

Herkömmliche Passwörter sind nicht mehr sicher

Techniken zum Knacken von Passwörtern wurden in den letzten Jahren schnell erheblich weiterentwickelt, die Methoden zum Erstellen von Passwörtern konnten damit jedoch nicht Schritt halten. Deshalb gelten die häufigsten Ratschläge zum Erstellen starker Passwörter heute als veraltet und unpraktisch.

Ein nach diesen Prinzipien erstelltes Passwort wie jal43#Koo%a, ist für einen Computer sehr leicht zu knacken und für Menschen sehr schwer zu merken und zu tippen.

Die neuesten und effektivsten Passwortangriffe schaffen bis zu 350 Milliarden Versuche pro Sekunde, und diese Zahl wird in den nächsten Jahren mit Sicherheit noch erheblich steigen.

Zum Erstellen eines starken Passworts sind heute moderne Techniken nötig, von denen wir dir im nächsten Absatz zwei vorstellen.

↑ Inhaltsverzeichnis ↑

Moderne Methoden

Für das Generieren eines starken Passworts gibt es viele verschiedene Ansätze, aber Passwort-Manager und Passphrasen gehören zu den besten. Wähle die Methode, die für dich am besten funktioniert, und lies dir im entsprechenden Abschnitt dieses Artikels die nächsten Schritte durch.

Am besten: Verwende einen Passwort-Manager – Ein Passwort-Manager ist eine Software-Anwendung für deinen Computer oder dein Mobilgerät, die sehr starke Passwörter generiert und sie in einer sicheren Datenbank speichert. Auf diese Datenbank greifst du mit einer einzigen Passphrase zu, und anschließend kann der Passwort-Manager deinen Benutzernamen und dein Passwort automatisch in Website-Formularen eingeben.

Deshalb musst du dir nie wieder Gedanken über das Erstellen, Merken oder Eingeben eines guten Passworts machen. Das ist die einfachste und sicherste heute verfügbare Methode, die wir dringend empfehlen.

Gut: Erstelle eine Passphrase statt eines Passworts – Eine Passphrase funktioniert ähnlich wie ein Passwort, nutzt jedoch eine zufällige Wörterkombination statt eines einzigen Begriffs, beispielsweise kopie hinweis falle hell.

Da die Länge eines Passworts einer der wichtigsten Faktoren für seine Stärke ist, sind Passphrasen erheblich sicherer als herkömmliche Passwörter. Gleichzeitig lassen sie sich auch viel leichter merken und eingeben.

Sie sind nicht so stark wie die von Passwort-Managern generierten Passwörter, aber wenn du keinen Passwort-Manager nutzen möchtest, sind sie eine sehr gute Option. Zudem eignen sich Passphrasen ideal als Master-Passwort für einen Passwort-Manager oder dein Betriebssystem-Konto, da diese nicht automatisch vom Passwort-Manager ausgefüllt werden.

↑ Inhaltsverzeichnis ↑

Verwendung eines Passwort-Managers

Es werden viele verschiedene Passwort-Manager-Anwendungen angeboten, sodass du dich für eine entscheiden und sie auf deinem Computer installieren musst. Dies sind allgemeine Schritte, deshalb solltest du für weitere Einzelheiten in der Dokumentation deiner jeweiligen Anwendung nachschlagen.

  1. Wähle einen Passwort-Manager. Zu den beliebtesten gehören:
    • 1Password (Closed Source, kommerziell)
    • LastPass (Closed Source, kostenlos/kommerziell)
    • Dashlane (Closed Source, kostenlos/kommerziell)
    • KeePass (Open Source, kostenlos)
    • RoboForm (Closed Source, kommerziell).
    • Mit der Suchmaschine deiner Wahl findest du noch mehr Vorschläge.
  2. Installiere die Anwendung auf deinem Computer.
  3. Installiere alle Erweiterungen oder Plugins für die Webbrowser, die du nutzt.
  4. Erstelle ein starkes Master-Passwort zum Öffnen der Passwort-Datenbank. Im Abschnitt Erstellen einer Passphrase in diesem Artikel findest du entsprechende Hinweise.
  5. (Optional): Notiere das Master-Passwort und bewahre es an einem sicheren Ort auf, beispielsweise in einem Schließfach oder einem gesicherten Safe. Es ist wichtig, darauf zurückgreifen zu können, falls du einmal das Master-Passwort vergisst.
  6. (Optional): Nutze deine Passwort-Datenbank auf mehreren Geräten mit den integrierten Anwendungsfunktionen oder über einen Dienst wie SpiderOak. Wenn du einen externen Dienst nutzt, solltest du unbedingt ein starkes Passwort erstellen und (sofern möglich) die Zwei-Schritt-Authentifizierung für das Konto aktivieren.

Nachdem du deinen Passwort-Manager eingerichtet hast, kannst du damit starke Passwörter generieren. Rufe dazu die integrierte Funktion zur Passwortgenerierung auf und konfiguriere sie so, dass Passwörter mit 30–50 zufälligen Zeichen, Groß-/Kleinschreibung, Ziffern und Symbolen erstellt werden.

Password-Generator

Das Ergebnis sollte in etwa so aussehen: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@

Das wirkt wahrscheinlich abschreckend, aber du solltest berücksichtigen, dass du dir dieses Passwort niemals merken oder eingeben musst – der Passwort-Manager übernimmt das für dich.

↑ Inhaltsverzeichnis ↑

Erstellen einer Passphrase

Eine Passphrase wird genauso erstellt wie ein herkömmliches Passwort, sie muss jedoch nicht so komplex sein, da die Länge der Phrase genug Sicherheit bietet, um die fehlende Komplexität auszugleichen.

  1. Wähle vier zufällige Wörter aus. Du kannst natürlich auch den xkcd Passphrase Generator verwenden, aber es ist besser,  wenn du dir selbst eines ausdenkst.
  2. Wenn du möchtest, kannst du Leerzeichen zwischen den Wörtern hinzufügen.

Nun hast du beispielsweise eine solche Phrase: kopie hinweis falle hell

Du kannst dich damit begnügen oder mit den folgenden Schritten die Stärke weiter erhöhen:

  1. Schreibe einige der Buchstaben groß.
  2. Füge einige Ziffern und Symbole ein.

Nach dem Anwenden dieser Regeln kann die Passphrase so aussehen: Kopie hinweis 48 Falle (#) hell

Das solltest du vermeiden:

  • Die Wörter sollten nicht nach einem vorhersagbaren Muster angeordnet sein oder einen vollständigen Satz bilden, da die Passphrase dadurch leichter zu erraten ist.
  • Nutze keine Liedtexte, Zitate oder anderweitige Veröffentlichungen. Angreifer besitzen riesige Datenbanken veröffentlichter Inhalte, aus denen Passwörter gebildet werden können.
  • Verwende keine persönlichen Informationen. Selbst wenn diese mit Zahlen und Buchstaben kombiniert werden, kann jemand, der dich kennt oder dich online recherchiert, anhand dieser Informationen ein Passwort erraten.

↑ Inhaltsverzeichnis ↑

Zusätzliche Tipps für beide Methoden

Auch abseits deines WordPress.com-Kontos solltest du beim Erstellen von Passwörtern einige Dinge beachten, damit deine Informationen sicher geschützt bleiben.

  • Nutze nie zweimal das gleiche Passwort. Viele beliebte Websites sichern dein Passwort nicht ausreichend in ihren Systemen, und Hacker brechen regelmäßig in diese Systeme ein und kompromittieren hunderte Millionen Konten. Wenn du Passwörter für mehrere Websites verwendest, kann der erfolgreiche Hacker einer Website sich mit deinen Anmeldedaten bei anderen Websites anmelden. Du solltest zumindest einmalige Passwörter für alle Websites nutzen, die finanzielle oder vertrauliche Daten speichern oder die deinen Ruf schädigen könnten.
  • Achte darauf, dass dein E-Mail-Passwort ebenfalls stark ist. Bei vielen Online-Diensten wie WordPress.com dient deine E-Mail-Adresse zur Identifizierung. Wenn sich ein böswilliger Benutzer Zugang zu deinen E-Mails verschafft, kann er leicht deine Passwörter zurücksetzen und sich bei deinem Konto anmelden.
  • Gib deine Passwörter niemals weiter. Selbst wenn du der Person vertraust, kann ein Angreifer sich in die Übergabe einschalten oder sie belauschen bzw. in den Computer dieser Person eindringen. Wenn du den Verdacht hast, dass jemand außer dir dein Passwort kennt, solltest du es sofort ändern.
  • Versende dein Passwort niemals per E-Mail. E-Mails sind nur selten verschlüsselt und können daher leicht von Angreifern gelesen werden. Mitarbeiter von WordPress.com werden dich niemals nach deinem Passwort fragen. Wenn du ein Passwort teilen musst, nutze eine sichere Übermittlungsmethode wie pwpush.com und lege fest, dass der Link nach dem ersten Anzeigen verfällt.
  • Speichere deine Passwörter niemals in einem Webbrowser. Da sie die Passwörter häufig nicht sicher speichern können, solltest du stattdessen einen Passwort-Manager verwenden. Weitere Informationen findest du oben im Abschnitt zu den Passwort-Managern.
  • Speichere auf einem öffentlichen Computer niemals Passwörter und nutze dort auch nie die „Angemeldet bleiben“-Funktion. In diesem Fall kann die nächste Person, die nach dir den Computer nutzt, auf dein Konto zugreifen. Außerdem solltest du dich stets abmelden oder deinen Browser schließen, wenn du den Computer verlässt.
  • Schreibe dein Passwort nicht auf. Wenn du es notiert hast und jemand diese Notiz findet, ist das Passwort nicht mehr sicher. Speichere Passwörter stattdessen in einem Passwort-Manager, wo sie verschlüsselt werden. Weitere Informationen findest du oben im Abschnitt zu den Passwort-Managern. Eine Ausnahme dieser Regel ist die sichere Aufbewahrung nicht wiederherstellbarer Passwörter (z. B. das Master-Passwort für einen Passwort-Manager oder für dein Betriebssystem-Konto). Eine gute Methode zur Absicherung ist die Aufbewahrung in einem Schließfach oder einem gesicherten Safe.
  • Ändere deine Passwörter nur, wenn sie kompromittiert sein könnten. So lange du ein starkes Passwort verwendest, wie es in diesem Artikel empfohlen wird, wird das Kompromittierungsrisiko durch häufige Passwortwechsel nicht verringert. Da die Änderung aufwendig sein kann, schleichen sich leicht schlechte Angewohnheiten ein, um sich die Arbeit zu erleichtern – was wiederum die Anfälligkeit für Angriffe steigert. Wenn du jedoch den Verdacht hast, dass jemand Zugriff auf dein Konto hat, ist ein Passwortwechsel stets eine gute Vorsichtsmaßnahme.

↑ Inhaltsverzeichnis ↑

Zwei-Schritt-Authentifizierung

Ein starkes Passwort ist die wichtigste Sicherheitsmaßnahme für dein Konto, aber wenn du noch einen Schritt weiter gehen möchtest, bieten wir die Zwei-Schritt-Authentifizierung an.

Wenn du die auch als Zwei-Schritt-Authentifizierung bezeichnete Funktion aktivierst, wirst du aufgefordert, bei jeder Anmeldung bei WordPress.com neben deinem Benutzernamen und Passwort auch einen einmaligen sechsstelligen Code einzugeben. Du erhältst den Code über eine App auf deinem Smartphone oder eine SMS-Nachricht, wobei der Code nach 60 Sekunden verfällt.

Das bedeutet, dass ein Angreifer für den Zugriff auf dein Konto nicht nur dein Passwort erraten, sondern auch dein Telefon stehlen oder hacken müsste. Die Wahrscheinlichkeit einer erfolgreichen Kompromittierung wird also erheblich verringert.