Wie sicher ist mein Passwort wirklich?

Passwörter sind wie Schuhe: irgendwann hat man zu viele, sie sind oft zu eng, und ab und zu verliert man einen. Doch im Gegensatz zu Schuhen schützen Passwörter den Zugang zu unserer digitalen Existenz — E-Mail, Bank, Steuer, Fotos. Wie sicher ein Passwort wirklich ist, hängt von erstaunlich wenigen Faktoren ab. Diesen Artikel lesen, in 10 Minuten klüger sein.

Entropie: die Mathematik hinter „sicher"

Die Stärke eines Passworts wird in Bits Entropie gemessen. Vereinfacht: log₂(N^L), wobei N die Größe des verwendeten Alphabets ist und L die Länge. Ein 8-Zeichen-Passwort aus Kleinbuchstaben (N = 26) hat ca. 38 Bit Entropie — heute innerhalb von Sekunden bis Minuten knackbar. Ein 16-Zeichen-Passwort aus dem gleichen Alphabet kommt schon auf 75 Bit, was Brute-Force-Angriffe in den Bereich von Jahren bis Jahrzehnten verschiebt.

Wichtig: Diese Rechnung gilt nur für wirklich zufällige Passwörter. Ein Wort wie „Sommer2024!" sieht für den Menschen komplex aus, hat aber kaum Entropie, weil Angreifer Wörterbücher und einfache Regelwerke nutzen. Tools, die nur Länge oder Zeichensatz prüfen, überschätzen die Stärke solcher Passwörter dramatisch.

Wer greift wie an?

Brute Force

Beim Brute-Force-Angriff probiert der Angreifer alle möglichen Zeichenkombinationen, bis eine passt. Moderne GPUs schaffen Milliarden MD5-Hashes pro Sekunde — wer schwach gehasht hat, ist verloren. Aber: gegen ein gut gehashtes Passwort (bcrypt, scrypt, Argon2) verlangsamt sich der Angreifer um Größenordnungen. Brute Force wird damit zur Geduldsfrage, die Passwortlänge ausspielt.

Dictionary- und Hybrid-Angriffe

Statt blind alle Zeichenkombinationen zu testen, nutzen Angreifer Wörterbücher: Listen häufiger Passwörter, geleakte Sammlungen aus früheren Datenpannen, Begriffe in Landessprachen, Namen, Geburtstage. Hybrid-Angriffe kombinieren das mit Regeln wie „erstes Zeichen groß", „l durch 1 ersetzen", „Jahreszahl hintenhängen". Damit fallen die meisten „kreativen" menschlichen Passwörter binnen Stunden.

Credential Stuffing

Hier muss der Angreifer dein Passwort gar nicht knacken — er kennt es schon. Aus Datenlecks anderer Dienste stammen Millionen E-Mail/Passwort-Paare. Wer dasselbe Passwort auf mehreren Plattformen nutzt, ist sofort betroffen. Deshalb gilt: für jede wichtige Site ein eigenes, einzigartiges Passwort.

Strategien für gute Passwörter

Was macht ein Passwort sicher in der Praxis?

• Länge schlägt Komplexität: ein 20 Zeichen langes Passwort aus Kleinbuchstaben ist sicherer als ein 8-Zeichen-Wortkonstrukt mit Sonderzeichen. Aktuelle NIST-Empfehlungen verzichten darum auf Komplexitäts-Pflichten und setzen auf mindestens 12–15 Zeichen.
• Diceware-Passphrases: fünf bis sieben zufällig gewürfelte Wörter aus einer Standard-Liste (z. B. „korrekt pferd batterie heftklammer trompete schlange") erreichen leicht 60–90 Bit Entropie und sind erstaunlich gut zu merken.
• Zufällig generierte Strings: für Passwörter, die du nicht tippen, sondern von einem Passwort-Manager einfügen lässt, ist ein 20+-Zeichen-Zufallsstring optimal. Das maximiert Entropie pro Zeichen und kennt keine Wörterbuch-Schwäche.
• Password-Manager: KeePass(XC), 1Password, Bitwarden und Co. erzeugen und speichern eindeutige Passwörter pro Site. Das Master-Passwort ist die einzige Passphrase, die du dir noch merkst — die sollte dafür wirklich gut sein.
• Niemals wiederverwenden: für E-Mail, Banking, primären Cloud-Speicher und Identity-Provider (Google, Apple) gilt strikt: jeweils eigenes Passwort plus eigene 2FA. Wer hier wiederverwendet, riskiert eine Domino-Übernahme.

Zwei-Faktor-Authentifizierung

Selbst ein 80-Bit-Passwort hilft wenig, wenn es durch Phishing in fremde Hände gerät. Hier kommt 2FA ins Spiel: zusätzlich zum Passwort braucht der Angreifer einen zweiten Faktor — typischerweise einen kurzlebigen Code aus einer Authenticator-App (TOTP) oder einen Hardware-Token (FIDO2/WebAuthn). Selbst wenn das Passwort geleakt wird, bleibt der Account ohne den zweiten Faktor verschlossen.

SMS-2FA ist besser als nichts, aber anfällig für SIM-Swap-Angriffe und sollte für hochwertige Konten vermieden werden. Authenticator-Apps wie Aegis, 2FAS oder Authy sind besser; FIDO2-Sicherheitsschlüssel (YubiKey, NitroKey) sind der Goldstandard und schützen sogar zuverlässig gegen Phishing.

Have I Been Pwned und Co.

Der Dienst „Have I Been Pwned" sammelt öffentlich bekannte Datenpannen und erlaubt dir zu prüfen, ob deine E-Mail in einem Leak auftaucht. Der zugehörige Pwned-Passwords-Datensatz enthält über eine Milliarde geleakter Passwort-Hashes — bevor du ein Passwort vergibst, kann eine schnelle Prüfung dort verraten, ob es bereits irgendwo aufgetaucht ist.

Viele Passwort-Manager prüfen mittlerweile automatisch, ob deine gespeicherten Passwörter in solchen Listen vorkommen. Wer ein Treffer-Passwort verwendet, sollte es überall, wo dasselbe Passwort eingesetzt wurde, zügig ändern.

Häufige Fragen

Wie lang sollte ein Passwort sein?

Für ein zufällig generiertes Passwort aus 70+ Zeichen aus dem Alphabet: ab 16 Zeichen sehr robust gegen Brute-Force. Für Passphrases nach Diceware: 6 oder 7 Wörter. Das Master-Passwort eines Password-Managers sollte mindestens 80 Bit Entropie haben — also 6+ Diceware-Wörter oder 14+ zufällige Zeichen aus großem Alphabet.

Sollte ich mein Passwort regelmäßig ändern?

Aktuelle NIST-Empfehlungen sagen: nein, nicht aus Routine. Erzwungene Routinewechsel führen dazu, dass Nutzer kleine Variationen wählen („Sommer2024!" wird zu „Sommer2025!") — die Sicherheit sinkt eher, als dass sie steigt. Ändern solltest du dein Passwort, wenn du einen Verdacht auf Kompromittierung hast oder ein Dienst von einem Leak betroffen ist.

Sind Passkeys das Ende von Passwörtern?

Passkeys (FIDO2/WebAuthn) sind ein großer Schritt: kein Passwort wird mehr übertragen, das Gerät hält den privaten Schlüssel, der Server kennt nur den öffentlichen. Phishing wird strukturell schwieriger. Klassische Passwörter werden uns trotzdem noch jahrelang begleiten — als Fallback, für Legacy-Systeme und in Umgebungen ohne Passkey-Support. Lerne, mit beidem zu leben.