Die Sicherheit eines Passworts hängt auch von seiner Länge ab: "Mit jeder Stelle potenziert sich die Anzahl der möglichen Kombinationen", sagt Ennen. Allerdings sei die mögliche Stellenanzahl je nach Software verschieden. "Selbst wenn man bis zu zwölf Zeichen eingeben kann - manche Programme brechen schon nach sechs oder acht Zeichen die Erkennung ab." Ein Mix aus Zahlen und Buchstaben sollte also zu Beginn der Zeichenfolge stehen und nicht erst am Ende.

Zwar seien Anwender auch mit einem noch so kryptischen Passwort nicht zu 100 Prozent vor Hackern geschützt. "Wer aber Kombinationen aus Buchstaben, Ziffern und Sonderzeichen auf mindestens acht Zeichen verteilt, zieht zumindest den Entschlüsselungsprozess in die Länge", sagt Ennen. Kreativität ist allerdings auch dabei gefragt: "123abc" etwa ist kein wirklich sicheres Passwort.

Laut "c't"-Redakteur Bachfeld kann eine Eselsbrücke helfen: "Man kann zum Beispiel die Anfangsbuchstaben seines Lieblingsliedes nehmen und einige durch Zahlen ersetzen", sagt er. Das A lasse sich etwa gegen eine 4 austauschen oder ein I gegen eine 1. "Schon hat man etwas Kryptisches, das man selbst gut entschlüsseln kann." Das BSI rät dazu, Passwörter regelmäßig auszutauschen – "für jede Jahreszeit ein eigenes", sagt Ennen. Oft seien Programme mit Passwort-Generatoren ausgestattet, die Nutzern neue Codes vorschlagen.

Auf keinen Fall sollte für alle Anwendungen und Dienste derselbe Code benutzt werden. "Sonst ist gleich alles gehackt, wenn das Passwort ausspioniert wird", warnt Sicherheitsexperte Ennen. Eine weitere Variante sei es, drei oder vier gute Passwörter für Bank, E-Mail und Auktionshäuser zu nutzen. Die besten Strategien nützen allerdings nichts, wenn Nutzer selbst einem Phisher auf den Leim gehen. "Wer selbst sein Passwort auf einer gefälschten Seite eingibt, ist reingefallen", sagt Ennen.