Wie sicher ist mein Passwort wirklich?
Passwörter sind wie Schuhe: irgendwann hat man zu viele, sie sind oft zu eng, und ab und zu verliert man einen. Doch im Gegensatz zu Schuhen schützen Passwörter den Zugang zu unserer digitalen Existenz — E-Mail, Bank, Steuer, Fotos. Wie sicher ein Passwort wirklich ist, hängt von erstaunlich wenigen Faktoren ab. Diesen Artikel lesen, in 10 Minuten klüger sein.
Entropie: die Mathematik hinter »sicher"
Die Stärke eines Passworts wird in Bits Entropie gemessen. Vereinfacht: log₂(N^L), wobei N die Größe des verwendeten Alphabets ist und L die Länge. Ein 8-Zeichen-Passwort aus Kleinbuchstaben (N = 26) hat ca. 38 Bit Entropie — heute innerhalb von Sekunden bis Minuten knackbar. Ein 16-Zeichen-Passwort aus dem gleichen Alphabet kommt schon auf 75 Bit, was Brute-Force-Angriffe in den Bereich von Jahren bis Jahrzehnten verschiebt.
Wichtig: Diese Rechnung gilt nur für wirklich zufällige Passwörter. Ein Wort wie »Sommer2024!" sieht für den Menschen komplex aus, hat aber kaum Entropie, weil Angreifer Wörterbücher und einfache Regelwerke nutzen. Tools, die nur Länge oder Zeichensatz prüfen, überschätzen die Stärke solcher Passwörter dramatisch.
Wer greift wie an?
Brute Force
Beim Brute-Force-Angriff probiert der Angreifer alle möglichen Zeichenkombinationen, bis eine passt. Moderne GPUs schaffen Milliarden MD5-Hashes pro Sekunde — wer schwach gehasht hat, ist verloren. Aber: gegen ein gut gehashtes Passwort (bcrypt, scrypt, Argon2) verlangsamt sich der Angreifer um Größenordnungen. Brute Force wird damit zur Geduldsfrage, die Passwortlänge ausspielt.
Dictionary- und Hybrid-Angriffe
Statt blind alle Zeichenkombinationen zu testen, nutzen Angreifer Wörterbücher: Listen häufiger Passwörter, geleakte Sammlungen aus früheren Datenpannen, Begriffe in Landessprachen, Namen, Geburtstage. Hybrid-Angriffe kombinieren das mit Regeln wie »erstes Zeichen groß", „l durch 1 ersetzen", „Jahreszahl hintenhängen". Damit fallen die meisten „kreativen" menschlichen Passwörter binnen Stunden.
Credential Stuffing
Hier muss der Angreifer dein Passwort gar nicht knacken — er kennt es schon. Aus Datenlecks anderer Dienste stammen Millionen E-Mail/Passwort-Paare. Wer dasselbe Passwort auf mehreren Plattformen nutzt, ist sofort betroffen. Deshalb gilt: für jede wichtige Site ein eigenes, einzigartiges Passwort.
Strategien für gute Passwörter
Was macht ein Passwort sicher in der Praxis?
- Länge schlägt Komplexität: ein 20 Zeichen langes Passwort aus Kleinbuchstaben ist sicherer als ein 8-Zeichen-Wortkonstrukt mit Sonderzeichen. Aktuelle NIST-Empfehlungen verzichten darum auf Komplexitäts-Pflichten und setzen auf mindestens 12–15 Zeichen.
- Diceware-Passphrases: fünf bis sieben zufällig gewürfelte Wörter aus einer Standard-Liste (z. B. »korrekt pferd batterie heftklammer trompete schlange") erreichen leicht 60–90 Bit Entropie und sind erstaunlich gut zu merken.
- Zufällig generierte Strings: für Passwörter, die du nicht tippen, sondern von einem Passwort-Manager einfügen lässt, ist ein 20+-Zeichen-Zufallsstring optimal. Das maximiert Entropie pro Zeichen und kennt keine Wörterbuch-Schwäche.
- Password-Manager: KeePass(XC), 1Password, Bitwarden und Co. erzeugen und speichern eindeutige Passwörter pro Site. Das Master-Passwort ist die einzige Passphrase, die du dir noch merkst — die sollte dafür wirklich gut sein.
- Niemals wiederverwenden: für E-Mail, Banking, primären Cloud-Speicher und Identity-Provider (Google, Apple) gilt strikt: jeweils eigenes Passwort plus eigene 2FA. Wer hier wiederverwendet, riskiert eine Domino-Übernahme.
Zwei-Faktor-Authentifizierung
Selbst ein 80-Bit-Passwort hilft wenig, wenn es durch Phishing in fremde Hände gerät. Hier kommt 2FA ins Spiel: zusätzlich zum Passwort braucht der Angreifer einen zweiten Faktor — typischerweise einen kurzlebigen Code aus einer Authenticator-App (TOTP) oder einen Hardware-Token (FIDO2/WebAuthn). Selbst wenn das Passwort geleakt wird, bleibt der Account ohne den zweiten Faktor verschlossen.
SMS-2FA ist besser als nichts, aber anfällig für SIM-Swap-Angriffe und sollte für hochwertige Konten vermieden werden. Authenticator-Apps wie Aegis, 2FAS oder Authy sind besser; FIDO2-Sicherheitsschlüssel (YubiKey, NitroKey) sind der Goldstandard und schützen sogar zuverlässig gegen Phishing.
Have I Been Pwned und Co.
Der Dienst »Have I Been Pwned" sammelt öffentlich bekannte Datenpannen und erlaubt dir zu prüfen, ob deine E-Mail in einem Leak auftaucht. Der zugehörige Pwned-Passwords-Datensatz enthält über eine Milliarde geleakter Passwort-Hashes — bevor du ein Passwort vergibst, kann eine schnelle Prüfung dort verraten, ob es bereits irgendwo aufgetaucht ist.
Viele Passwort-Manager prüfen mittlerweile automatisch, ob deine gespeicherten Passwörter in solchen Listen vorkommen. Wer ein Treffer-Passwort verwendet, sollte es überall, wo dasselbe Passwort eingesetzt wurde, zügig ändern.
Meine eigene Passwort-Reise (und der peinliche Anfang)
Ich gestehe: 2012 hatte ich für 80 % meiner Accounts dasselbe Passwort. Es war ein vermeintlich »starkes« Passwort mit Sonderzeichen, Groß-/Klein- und Zahlen — und über 8 Jahre alt. Dass es 2018 im Adobe-Hack veröffentlicht wurde, habe ich erst 2020 mitbekommen, als ein Phishing-Versuch auf mein Mail-Konto verdächtig zielsicher war. Der Angreifer hatte mein altes Passwort, das immer noch funktionierte. Damit war ich in genau der Kategorie, über die ich heute belehrend schreibe.
Die Migration dauerte zwei Wochenenden. Bitwarden installiert, Browser-Verlauf nach Logins durchgegangen, jedes Konto besucht, generiertes 25-Zeichen-Passwort eingesetzt. Insgesamt 187 Accounts. 23 davon konnte ich überhaupt nicht mehr öffnen — Anbieter offline oder Account vergessen. Die restlichen 164 sind seit 2020 sauber. Mein Hauptpasswort für Bitwarden ist eine Passphrase aus 6 zufälligen Wörtern plus eine Zahl — die einzige Sache, die ich seitdem auswendig kennen muss.
Was sich seitdem verändert hat: ich werde nicht mehr nervös, wenn ich von einem neuen Daten-Leak höre. Bei Have-I-Been-Pwned-Benachrichtigungen schaue ich nach, welcher Account betroffen ist, klicke einmal in Bitwarden auf »neues Passwort generieren«, ändere es beim Anbieter — fertig in 2 Minuten. Vorher hatte ich Panik-Anfälle: »oh nein, jetzt müssen 80 Accounts geändert werden«. Diese Ruhe ist das echte Argument für einen Passwort-Manager.
Sonderfall WordPress: warum dein WP-Admin nicht mehr sicher ist als dein schlechtestes Plugin
WordPress läuft auf rund 43 % aller Websites weltweit (Stand 2026). Genau diese Verbreitung macht es zum Hauptziel automatisierter Angriffe. Mein WordPress-Server bei einer Telekom-Tochter sah 2024 im Schnitt 3.000 Login-Versuche pro Tag — und das war eine völlig unauffällige Domain mit ein paar hundert Besuchern. Wer ein einfaches WP-Admin-Passwort hat, hat in einer Woche eine kompromittierte Site.
Drei Maßnahmen, die zusammen 99 % der automatischen Angriffe abwehren: (1) starkes, einzigartiges Admin-Passwort (25+ Zeichen), (2) Two-Factor-Authentication (Plugin wie »Two Factor« oder »Wordfence Login Security«), (3) IP-basierte Rate-Limiter via Plugin (Wordfence, Limit Login Attempts Reloaded). Mit dieser Kombi schaffen es Bots nicht mehr in die Login-Schleife. Wer auch noch den Login-Pfad von /wp-admin auf etwas Custom umzieht, ist faktisch nicht mehr in den automatischen Scans drin.
Wenn dein WordPress kompromittiert wurde und du den Admin-Zugang verloren hast: über phpMyAdmin direkt in der wp_users-Tabelle den Passwort-Hash überschreiben. Genau dafür ist unser WordPress-Passwort-Hash-Generator da — gibst dein neues Passwort ein, bekommst den PHPass-Hash, kopierst ihn in wp_users.user_pass, fertig. Diese Recovery-Methode habe ich in 2026 schon dreimal bei Kunden angewandt; sie ist Standard.
Passkeys 2026: stand heute schon Realität (Update)
Wir haben in einem separaten Artikel [Passkeys vs. Passwörter 2026: NIST 800-63-4 und der reale Rollout] die aktuellen Zahlen aufgeschrieben: über 1 Milliarde Passkeys aktiviert, 48 % der Top-100-Webseiten unterstützen die Technologie, NIST verlangt phishing-resistente Authentifizierung für AAL2. Wer 2026 ein neues Online-Konto anlegt, sollte beim Setup nach »Passkey aktivieren« suchen — Apple, Google, Microsoft, PayPal, GitHub haben es prominent.
Praktischer Effekt im Alltag: weniger Login-Friktion (5 Sekunden statt 30), keine Phishing-Anfälligkeit, weniger »Passwort vergessen«-Schleifen. Aber Passwörter sind nicht tot — sie bleiben für 5+ Jahre noch der Standard bei kleinen SaaS-Anbietern, behördlichen Portalen und Self-Hosted-Tools wie WordPress. Die richtige Strategie 2026 ist nicht »Passwörter abschaffen«, sondern »Passwörter strikt im Manager halten, Passkeys wo verfügbar nutzen, beides parallel«.
Welcher Passwort-Manager? Eine kurze, ehrliche Übersicht
Die Entscheidung für einen Manager ist wichtiger als die genaue Auswahl — alle modernen Optionen sind sicher genug. Eine kurze Charakterisierung der gängigsten:
- Bitwarden — Open Source, gratis-Tier für persönliche Nutzung, 10 EUR/Jahr für Premium. Beste Wahl für Einzelnutzer und Familien. Cross-platform, Browser-Extensions, Mobile Apps. Self-Hosting möglich (Vaultwarden) für Maximum-Kontrolle.
- 1Password — Premium-Produkt, kein Gratis-Tier, ab 30 EUR/Jahr. Beste UX, professionelle Team-Features, sehr gut für kleine Firmen. Wenn das Budget keine Rolle spielt: Lieblings-Wahl vieler Profis.
- Dashlane — Mid-Range, 40 EUR/Jahr. Hat 2024 den »personal data monitoring«-Bereich stark ausgebaut. Solide Wahl, etwas weniger Marktanteil als die Top 2.
- KeePassXC — komplett gratis, komplett offline. Die Datenbank ist eine lokale Datei, du synchronisierst sie selbst (Dropbox, Nextcloud, USB-Stick). Maximum-Kontrolle, minimaler Komfort. Für Privacy-Maximalisten und IT-Profis.
- Browser-eigene Manager (Chrome, Safari, Firefox) — besser als gar nichts, aber begrenzt: an einen Browser gebunden, eingeschränkte Sharing-Optionen, schwacher Schutz bei kompromittiertem Browser-Profil. OK für unkritische Logins, nicht für Banking und kritische Konten.
Mein Vorschlag für 90 % der Leser: Bitwarden, kostenlose Version. Funktioniert auf jedem Gerät, ist Open Source, hat alle Features, die du brauchst, kostet nichts. Wenn du eine Familie hast, lohnt das Familien-Abo (40 EUR/Jahr für 6 Personen) — sicheres Sharing von WLAN-Passwort, Netflix-Konto und Bank-Login innerhalb der Familie.
Häufige Fragen
Wie lang sollte ein Passwort sein?
Für ein zufällig generiertes Passwort aus 70+ Zeichen aus dem Alphabet: ab 16 Zeichen sehr robust gegen Brute-Force. Für Passphrases nach Diceware: 6 oder 7 Wörter. Das Master-Passwort eines Password-Managers sollte mindestens 80 Bit Entropie haben — also 6+ Diceware-Wörter oder 14+ zufällige Zeichen aus großem Alphabet.
Sollte ich mein Passwort regelmäßig ändern?
Aktuelle NIST-Empfehlungen sagen: nein, nicht aus Routine. Erzwungene Routinewechsel führen dazu, dass Nutzer kleine Variationen wählen (»Sommer2024!" wird zu „Sommer2025!") — die Sicherheit sinkt eher, als dass sie steigt. Ändern solltest du dein Passwort, wenn du einen Verdacht auf Kompromittierung hast oder ein Dienst von einem Leak betroffen ist.
Sind Passkeys das Ende von Passwörtern?
Passkeys (FIDO2/WebAuthn) sind ein großer Schritt: kein Passwort wird mehr übertragen, das Gerät hält den privaten Schlüssel, der Server kennt nur den öffentlichen. Phishing wird strukturell schwieriger. Klassische Passwörter werden uns trotzdem noch jahrelang begleiten — als Fallback, für Legacy-Systeme und in Umgebungen ohne Passkey-Support. Lerne, mit beidem zu leben.
Soll ich Passwörter regelmäßig ändern?
Nein — NIST SP 800-63-4 (2025) hat die alte »alle 90 Tage ändern«-Regel explizit gestrichen. Erzwungene Rotation führt nachweislich zu schwächeren Passwörtern (Nutzer wählen variations wie »Sommer2026!« → »Sommer2027!«), nicht zu stärkeren. Stattdessen: lange einzigartige Passwörter, plus sofortige Änderung bei Verdacht auf Compromise (Have-I-Been-Pwned-Alarm, Phishing-Versuch). Das ist die moderne Best Practice 2026.
Wie sicher ist mein Master-Passwort?
Das Master-Passwort sollte deutlich länger sein als deine einzelnen Account-Passwörter — empfohlen sind mindestens 16 Zeichen oder eine Diceware-Passphrase aus 6 Wörtern (~77 Bit Entropie). Wichtig: schreibe es einmal physisch auf und lege es an einem sicheren Ort ab (Tresor, Bankschließfach). Kein Master-Passwort vergessen — der Verlust bedeutet den Verlust aller anderen Passwörter.
Was tun, wenn mein Passwort-Manager-Anbieter selbst gehackt wird?
LastPass wurde 2022 gehackt, die verschlüsselten Vault-Backups landeten bei Angreifern. Das Risiko ist real. Schutzmaßnahmen: (1) starkes Master-Passwort — bei AES-256 mit 16+ Zeichen ist Brute-Force praktisch unmöglich. (2) Two-Factor-Authentication beim Manager selbst (idealerweise mit YubiKey). (3) Offline-Backup deiner Vault alle 6 Monate (CSV-Export, verschlüsselt auf USB-Stick). Mit diesen drei Maßnahmen ist auch ein Manager-Hack für dich kein Albtraum.
Kommentare
Die Kommentare werden von Disqus bereitgestellt. Bevor sie geladen werden, brauchen wir deine Einwilligung — Disqus ist ein Drittanbieter und setzt eigene Cookies.