Verschiedene und komplexe Passwörter sind gut und richtig. Meine Passwort-DB (verschlüsselt) würde ich trotzem nicht in eine Cloud packen, sondern lieber mit Syncthing oder ähnlichen Methoden auf meinen Geräten synchron halten. Mein Favorit (nach etlichen Versuchen) ist KeepassXC.

Doch mit komplexen Passwörtern ist man vor Phishing nicht geschützt (man schützt höchstens andere Accounts, wenn man halt unterschiedliche komplexe Passwörter nutzt).

Ein Phishing-Schutz ist aber gar nicht so schwer… erfordert ein Minimum an Selbstdisziplin: Seiten mit Login NUR aus vertrauenswürdigen Quellen ansurfen… also die URL per Hand eingeben oder aus den (nicht über Clouddienste synchron gehaltenen) Lesezeichen auswählen. NIEMALS(!) einen Link zu solch einer Seite aus eine eMail heraus anklicken. Ich mache das nicht einmal bei eMails z. B. meiner eigenen WordPress Seiten, wenn ich da auf eine Kommentar-Moderation aufmerksam gemacht werde. Nööö… da rufe ich das Login der WP-Seite direkt im Browser auf und kann dann moderieren. Und das, obwohl ich schon recht gut sehe, dass die Mail wirklich von meiner WP-installation kommt.

Wenn man sich dieses Verhalten angewöhnt (und das geht am besten, wenn man wirklich NIE eine Ausnahme macht), dann verringert man das Phishing-Risiko schon deutlich. GANZ sicher ist eh nur der Tod. ;)

Werde ich auf irgendwelche (dubiosen oder sogar plausibel klingenden) "Probleme" bei… hmm… sagen wir mal PayPal… hingewiesen, dann klicke ich auch NIE auf einen Link in der Mail. Nein, ich rufe die PP-Seite direkt im Browser auf, logge mich ein… wenn dann irgendwas zu machen wäre, dann wird mir PP das schon nach dem Einloggen sagen.

Phishing-Opfer wird man oft einfach nur durch unbedachtes Verhalten.