Ratgeber · Pflege & Unterstützung Passwörter endlich ordentlich: Brunos Plan mit Manager, Passphrase & Passkeys
Weg mit Zettelchaos und „Sommer2012!“ – Bruno zeigt dir, wie du mit Passwortmanager, langer Passphrase, 2-Faktor und Passkeys Ruhe ins Konto bringst. Inklusive Familien-Notfallzugriff.
Inhalt
- Brunos Bordansage: Kurs „Bequem & sicher“
- Schritt 1: Master-Passphrase – aber richtig
- Schritt 2: Passwortmanager einrichten
- Schritt 3: 2-Faktor – aber ohne SMS
- Schritt 4: Passkeys aktivieren (wo es geht)
- Schritt 5: Familien-Notfallzugriff
- Typische Fehler (und Brunos Lösung)
- Familien-Dreieck: Senior – Kinder – Enkel
- Praxisbeispiele (aus Brunos Kajüte)
- Mini-FAQ
- Checkliste: Passwörter endlich ordentlich
- Quellen
- Manager benutzen statt Zettel & Merkhirn; lange Passphrase (gern 5–7 Zufallswörter) als Master-Passwort. NIST: Länge > Komplexitätszirkus; kein Pflichtwechsel ohne Verdacht, Paste erlauben.
- 2-Faktor: Am besten Sicherheitsschlüssel/Passkeys oder App-Codes; SMS nur Notlösung (FBI/CISA warnen). CISA
- Passkeys kommen überall (Apple/Google/Microsoft) und sind phishing-resistent – nach und nach bei wichtigen Konten aktivieren.
- Notfallzugriff für Familie einrichten (z. B. Bitwarden „Emergency Access“, 1Password Emergency Kit/Recovery).
- Pwned-Check: E-Mail/Passwörter auf Leaks prüfen (haveibeenpwned).
Brunos Bordansage: Kurs „Bequem & sicher“
Ich sag’s geradeheraus: Lange Passphrasen schlagen „Sonderzeichen-Salat“. NIST schreibt: mindestens 8 Zeichen, ideal lange Passphrasen erlauben (bis 64), keine Pflichtwechsel ohne Verdacht und Copy-&-Paste ist ausdrücklich okay (für Manager).
Und weil 2025 die Phisher nicht schlafen: SMS-Codes sind angreifbar; App-Codes sind besser, Passkeys/Sicherheitsschlüssel am besten (phishing-resistent).
Schritt 1: Master-Passphrase – aber richtig
- Nimm 5–7 zufällige Wörter (Diceware-Methode), die zufällig ausgewürfelt werden – nicht „OmasLieblingskuchen“. Das merkt man sich, Computer mögen’s gar nicht. EFF führt durch. Electronic Frontier Foundation
- Beispiel (Schema, nicht übernehmen): hafen lampe kartoffel segel wolldecke post.
- Warum? Länge schlägt Muster – und zufällige Wörter haben hohe Entropie. Electronic Frontier Foundation
Schritt 2: Passwortmanager einrichten
- Manager wählen, Master-Passphrase setzen, Paste erlaubt (= gut). NIST: Manager ausdrücklich zulassen. pages.nist.gov
- Datenimport: Browser-Speicher leeren und alles in den Manager ziehen.
- Breach-Check: E-Mail bei Have I Been Pwned prüfen; kompromittierte Logins im Manager neu setzen. Have I Been Pwned
Schritt 3: 2-Faktor – aber ohne SMS
- Besser: App-Codes (Authenticator). Am besten: FIDO2-Sicherheitsschlüssel / Passkeys (phishing-resistent). CISA: SMS meiden. CISA
- Sicherheitsschlüssel kurz erklärt: Kleiner USB/NFC-Stick, der mit öffentlichem/privatem Schlüssel signiert – keine Codes, nichts abfischbar. Frontegg
Schritt 4: Passkeys aktivieren (wo es geht)
- Passkeys ersetzen Passwörter: Entsperren per Finger/Face/PIN, Schlüssel bleibt auf deinem Gerät (oder sicher synchronisiert). Unterstützt von Apple, Google, Microsoft.
- Starte bei E-Mail, Bank, Amazon, Apple/Google/Microsoft-Konto. (Microsoft stellt bis Aug 2025 Passwort-Autofill im Authenticator ein → Fokus auf Passkeys.)
Schritt 5: Familien-Notfallzugriff
- Bitwarden: „Emergency Access“ – Vertrauensperson mit Wartezeit (View/Takeover). Bitwarden
- 1Password: Emergency Kit (PDF) sicher ablegen + Recovery über Familien-Organisator: Zugriff wiederherstellen, falls jemand das Passwort vergisst.
Typische Fehler (und Brunos Lösung)
- Zwangswechsel alle 90 Tage – macht’s schlechter. Wechsel nur bei Verdacht/Leak. pages.nist.gov
- „Sonderzeichenpflicht“ ohne Länge – unnötig. Lieber lang + einzigartig. pages.nist.gov
- Ein Passwort überall – nein. Manager generiert für jeden Dienst neu. (Blocklisten gegen „123456…“ & Co. sind Best Practice.) pages.nist.gov
Familien-Dreieck: Senior – Kinder – Enkel
- Seniorinnen und Senioren: Master-Passphrase aufsetzen, Manager nutzen, Passkeys bei Hauptkonten aktivieren.
- Kinder: Breach-Check mit den Eltern machen, 2-Faktor überall einschalten, Notfallzugriff (Emergency/Recovery) sauber einrichten.
- Enkel: Beim Passkey-Onboarding helfen und alte SMS-2FA auf App/Schlüssel umstellen. CISA
Praxisbeispiele (aus Brunos Kajüte)
- Umstieg in 15 Minuten: Helga und ich erzeugen eine 6-Wort-Passphrase (Diceware) → Manager entsperrt → Browser-Passwörter importiert → E-Mail/Bank mit 2-Faktor gesichert → bei E-Mail & Amazon Passkey aktiviert.
- Notfall geregelt: Ich trage Rob als Emergency-Kontakt ein (48-Std-Wartezeit). Für Helga drucke ich das Emergency Kit und lege es in den Ordner „Wichtig“.
Mini-FAQ
Wie lang soll die Master-Passphrase sein? 5–7 zufällige Wörter (Diceware) sind stark und merkbar. Electronic Frontier Foundation
Muss ich Sonderzeichen nutzen? Nein – Länge ist wichtiger; alle Zeichen sind erlaubt, aber kein Zwang. NIST Veröffentlichungen
Wie oft Passwort wechseln? Nur bei Verdacht/Leak. Pflichtwechsel schaden. pages.nist.gov
Sind Passkeys wirklich sicherer? Ja, sie sind phishing-resistent und werden breit unterstützt.
SMS-2FA behalten? Nur falls es nichts Besseres gibt; App-Codes/Schlüssel bevorzugen. CISA
Checkliste: Passwörter endlich ordentlich
☐ Master-Passphrase (5–7 Zufallswörter) erstellen (Diceware) Electronic Frontier Foundation ☐ Passwortmanager einrichten; Paste nutzen erlaubt (NIST) pages.nist.gov ☐ Breach-Check: E-Mail bei Have I Been Pwned prüfen; kompromittierte Logins ändern Have I Been Pwned ☐ 2-Faktor überall: App-Codes oder Sicherheitsschlüssel/Passkeys – keine SMS wenn möglich CISA ☐ Passkeys bei Hauptkonten aktivieren (Apple/Google/Microsoft, E-Mail, Bank, Amazon) ☐ Notfallzugriff: Bitwarden „Emergency Access“ oder 1Password Emergency Kit/Recovery einrichten ☐ Alte Doppelgänger löschen: Gleiche Passwörter durch einzigartige ersetzen; Sperrliste beachten pages.nist.gov ☐ Jährlicher Aufräum-Tag mit Familie: Leaks prüfen, 2FA/Passkeys nachziehen
Quellen
- https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-63b.pdf
- https://fidoalliance.org/passkeys/
- https://bitwarden.com/help/emergency-access/
- https://haveibeenpwned.com/
- https://www.cisa.gov/sites/default/files/2024-12/guidance-mobile-communications-best-practices.pdf
- https://support.1password.com/emergency-kit/
- https://www.eff.org/dice


