Im Jahr 2026 sollte ein Passwort mindestens 15 Zeichen lang sein, bei sensiblen Daten noch länger. Die moderne Empfehlung des NIST betrachtet die Länge als wichtigsten Faktor, noch vor erzwungenen Sonderzeichen und Groß-/Kleinschreibung. Streben Sie 15 bis 20 Zeichen oder eine Passphrase aus vier bis fünf Wörtern an, um die Entropie zu erreichen, die Brute-Force-Angriffe abwehrt.
Jahrelang lauteten die Regeln: "Verwenden Sie 8 Zeichen mit einem Großbuchstaben, einer Zahl und einem Sonderzeichen." Dieser Rat ist veraltet und stellenweise sogar kontraproduktiv. Der aktuelle Konsens von Sicherheitsforschern und dem US-amerikanischen National Institute of Standards and Technology (NIST) ist einfacher und stärker: Machen Sie es lang. Dieser Leitfaden erklärt, warum Länge Komplexität schlägt, welche Entropie-Ziele sinnvoll sind und wie lange verschiedene Passwörter zum Knacken brauchen.
Wie lang sollte ein Passwort sein? Die kurze Antwort#
Die praktische Untergrenze im Jahr 2026 liegt bei 15 Zeichen. Die aktuellen digitalen Identitätsrichtlinien des NIST empfehlen, dass Systeme Passwörter mit mindestens 64 Zeichen zulassen und ein Minimum von 8 überprüfen, aber Sicherheitsteams betrachten 15 weithin als das reale Minimum für ein starkes Passwort, da jedes zusätzliche Zeichen die Arbeit, die ein Angreifer leisten muss, vervielfacht.
Hier ist die abgestufte Betrachtungsweise:
- Minimal akzeptabel: 12 Zeichen. Funktioniert, aber zunehmend die untere Grenze.
- Starker Standard: 15 bis 16 Zeichen für alltägliche Konten.
- Sensible Konten: 20+ Zeichen für E-Mail, Banking, Passwort-Manager und Admin-Logins. Dies sind die Schlüssel zu allem anderen.
Der Grund, warum Länge gewinnt, ist mechanisch, keine Frage der Meinung. Jedes zusätzliche Zeichen vervielfacht die Anzahl der möglichen Kombinationen, die ein Angreifer testen muss. Das werden wir als Nächstes mit Entropie quantifizieren.
Warum Länge Komplexität schlägt#
Die alte Regel setzte auf Komplexität: ein Großbuchstabe, eine Ziffer und ein Sonderzeichen. Das Problem ist, dass Menschen diese Regeln auf vorhersehbare Weise erfüllen. Aus „Passwort“ wird „Passwort1!“. Das erzwungene Sonderzeichen bringt fast nichts, weil Angreifer die Muster kennen, und schlimmer noch: Komplexitätsregeln treiben Menschen zu kurzen, schwer zu merkenden Zeichenfolgen, die sie dann überall wiederverwenden.
NIST hat diesen Kurs ausdrücklich geändert. Die aktuellen Richtlinien besagen: Hört auf, willkürliche Zusammensetzungsregeln zu erzwingen (keine Pflichtmischung von Zeichentypen) und hört auf, regelmäßige Passwortänderungen zu erzwingen, es sei denn, es gibt Hinweise auf eine Kompromittierung. Beide alten Gewohnheiten machten Passwörter für Menschen schwerer, ohne sie für Computer wesentlich schwerer zu machen.
Länge bewirkt das Gegenteil. Eine lange Passphrase wie correct-horse-battery-staple ist für Sie leicht zu merken und für eine Maschine brutal zu erraten, weil ihre Stärke aus der schieren Anzahl von Kombinationen kommt, nicht aus einem $, das Sie vergessen haben.
Der Wandel in einem Satz: Eine einprägsame 16-Zeichen-Passphrase schlägt eine kryptische 8-Zeichen-Zeichenfolge in jeder Hinsicht, sowohl bei der Sicherheit als auch bei der Benutzerfreundlichkeit.
Entropie: Die Zahl, die Stärke wirklich misst#
„Stärke“ klingt vage, bis man sie beziffert. Diese Zahl ist die Entropie, gemessen in Bits. Die Entropie schätzt, wie unvorhersagbar ein Passwort ist, und verdoppelt sich mit jedem zusätzlichen Bit. Die Formel für ein zufällig generiertes Passwort lautet:
Entropie (Bits) = Länge x log2(Größe des Zeichenvorrats)
Der Zeichenvorrat gibt an, wie viele Symbole jede Position haben kann:
- nur Kleinbuchstaben: 26
- Kleinbuchstaben + Großbuchstaben + Ziffern: 62
- mit gängigen Sonderzeichen: etwa 95
Setzt man reale Werte ein, wird die Rolle der Länge deutlich:
| Passwort | Zeichenvorrat | Entropie (Bits) |
|---|---|---|
| 8 Zeichen, Buchstaben + Ziffern | 62 | ~48 Bits |
| 12 Zeichen, Buchstaben + Ziffern | 62 | ~71 Bits |
| 15 Zeichen, Buchstaben + Ziffern | 62 | ~89 Bits |
| 16 Zeichen, mit Sonderzeichen | 95 | ~105 Bits |
| 4-Wort-Zufallspassphrase | 7.776 Wörter | ~52 Bits |
| 5-Wort-Zufallspassphrase | 7.776 Wörter | ~65 Bits |
Die anzustrebenden Ziele:
- 60+ Bits: eine vernünftige Untergrenze für alltägliche Konten. Ein 12-stelliges zufälliges alphanumerisches Passwort erreicht dies.
- 80+ Bits: bequem stark. Ein 15-stelliges zufälliges alphanumerisches Passwort liegt hier.
- 128 Bits: der Goldstandard für hochwertige Geheimnisse, die Art von Entropie, die in kryptografischen Schlüsseln verwendet wird. Ein 20-stelliges Passwort mit gemischtem Zeichensatz nähert sich diesem Wert an.
Beachten Sie die Zeilen mit Passphrasen. Eine zufällige 4-Wort-Passphrase (die Diceware-Methode, bei der Wörter mit Würfeln oder einem sicheren Zufallsgenerator aus einer Liste von 7.776 Wörtern ausgewählt werden) liegt bei etwa 52 Bits, und ein fünftes Wort schiebt sie über 65 Bits. Deshalb ist eine lange Passphrase sowohl einprägsam als auch stark, solange die Wörter zufällig und nicht aus einem Liedtext gewählt werden.
Passwortlänge vs. Knackzeit#
Entropie ist abstrakt, daher sehen Sie hier, was sie in Echtzeit bedeutet. Die folgenden Zahlen gehen von einem Offline-Angriff gegen eine schnelle, GPU-beschleunigte Maschine aus, die etwa 100 Milliarden Kandidaten pro Sekunde errät, eine realistische Obergrenze für das Knacken einer durchgesickerten Datenbank mit schwach gehashten Passwörtern. (Online-Angriffe gegen einen Live-Login sind aufgrund von Ratenbegrenzungen weitaus langsamer.)
| Passwort | Entropie | Zeit zum Knacken (schneller Offline-Angriff) |
|---|---|---|
| 8 Zeichen, Buchstaben + Ziffern | ~48 Bit | Minuten |
| 12 Zeichen, Buchstaben + Ziffern | ~71 Bit | Jahrhunderte |
| 15 Zeichen, Buchstaben + Ziffern | ~89 Bit | Millionen Jahre |
| 16 Zeichen, mit Sonderzeichen | ~105 Bit | Praktisch für immer |
| 4-Wort-Zufallspassphrase | ~52 Bit | Stunden |
| 5-Wort-Zufallspassphrase | ~65 Bit | Viele Jahre |
Beachten Sie den Sprung von 8 auf 15 Zeichen. Das Hinzufügen von sieben Zeichen verlängert die Knackzeit von Minuten auf Millionen Jahre bei derselben Hardware. Das ist das gesamte Argument für die Länge in einer Zeile. Ein 8-stelliges Passwort, selbst ein "komplexes", ist nicht mehr sicher gegen einen Angreifer, der Ihren gehashten Passwort-Hash offline hat.
Zwei Einschränkungen halten dies ehrlich:
- Diese Zeiten setzen ein wirklich zufälliges Passwort voraus. Ein 15-stelliges Passwort, das aus einem Wörterbuchwort plus einer Jahreszahl besteht, ist weitaus schwächer, als seine Länge vermuten lässt, da Angreifer zuerst Muster erraten, nicht zufällige Zeichenfolgen.
- Die Zahlen hängen davon ab, wie die Website Ihr Passwort gespeichert hat. Ein langsamer, gesalzener Hash (bcrypt, Argon2) macht Angriffe weitaus langsamer als die obige Obergrenze für schnelle Hashes. Sie haben darauf keinen Einfluss, ein weiterer Grund, auf Länge zu setzen.
Sie können live Entropie- und Knackzeit-Schätzungen für jeden Kandidaten mit einem kostenlosen Passwortstärke-Checker sehen, der schnellste Weg, den Unterschied zwischen 8 und 16 Zeichen zu spüren.
So erstellst du 2026 ein sicheres Passwort#
Du hast zwei gute Optionen: einen zufälligen String aus einem Generator (am besten, kombiniert mit einem Passwort-Manager) oder eine zufällige Passphrase (am besten, wenn du sie dir merken musst). So funktioniert der Ablauf in beiden Fällen.
Schritt 1: Wähle zuerst die Länge#
Entscheide dich zuerst für die Länge, basierend auf dem Wert des Kontos: 15 bis 16 Zeichen für normale Logins, 20+ für deine E-Mail, Bank und den Passwort-Manager. Die Länge ist der Hebel, also setze sie hoch und lass die anderen Entscheidungen folgen.
Schritt 2: Generiere es zufällig, erfinde es nicht#
Menschen sind schlechte Zufallszahlengeneratoren. Wir greifen zu Namen, Daten und Tastaturmustern, die Angreifer zuerst testen. Nutze einen kostenlosen Passwort-Generator, um einen wirklich zufälligen String deiner gewählten Länge zu erstellen. Für Konten, die du aus dem Gedächtnis eingeben musst, generiere stattdessen eine mehrwortige Passphrase, mindestens vier Wörter, fünf für sensible Logins.
Schritt 3: Jedes Passwort einzigartig machen#
Die Länge schützt ein Konto nur, wenn das Passwort nicht wiederverwendet wird. Wenn eine Website gehackt wird, testen Angreifer dieses exakte E-Mail-Passwort-Paar gegen Banken, E-Mail und Shops, eine Taktik namens Credential Stuffing. Ein einzigartiges Passwort pro Website begrenzt den Schaden auf ein Konto. Das ist im großen Stil aus dem Gedächtnis unmöglich, was das Hauptargument für einen Passwort-Manager ist.
Schritt 4: Speichere sie in einem Manager und aktiviere 2FA#
Ein Passwort-Manager generiert, speichert und füllt lange, einzigartige Passwörter automatisch aus, sodass du dir nur eine starke Master-Passphrase merken musst. Füge dann die Zwei-Faktor-Authentifizierung (eine Authenticator-App oder einen Hardware-Schlüssel, nach Möglichkeit nicht SMS) für deine wichtigen Konten hinzu. Selbst ein perfektes Passwort ist mit einem zweiten Faktor dahinter stärker.
Schritt 5: Überprüfe deine Konten auf bekannte Datenlecks#
Ein langes Passwort hilft nicht, wenn es bereits in einem früheren Datenleck offengelegt wurde und jetzt auf einer Wortliste steht. Überprüfe deine E-Mail-Adressen mit einem Dienst wie Have I Been Pwned und rotiere jedes Passwort, das dort auftaucht. Ändere Passwörter in Zukunft nur, wenn es einen Grund dafür gibt, nicht nach einem willkürlichen 90-Tage-Rhythmus, den NIST nicht mehr empfiehlt.
Passphrase vs Passwort: Welches sollten Sie verwenden?#
Beide können sicher sein. Die richtige Wahl hängt davon ab, ob eine Maschine oder Ihr Gehirn sich daran erinnern muss.
- Zufällige Zeichenfolge (z.B.
7vQ!pL2m@Rk9zXw4): maximale Entropie pro Zeichen, ideal für alles, was Ihr Passwort-Manager für Sie ausfüllt. Sie tippen es nie, also muss es nicht einprägsam sein. - Zufällige Passphrase (z.B.
velvet-anchor-puzzle-cinder-flint): etwas geringere Entropie pro Zeichen, aber viel leichter zu merken, ideal für die wenigen Geheimnisse, die Sie von Hand eingeben müssen, wie das Master-Passwort Ihres Passwort-Managers oder Ihren Laptop-Login.
Der schlechteste Kompromiss ist ein kurzes, „cleveres“ Passwort, das weder zufällig genug für Sicherheit noch lang genug für Ausgleich ist. Egal für welchen Stil Sie sich entscheiden, generieren Sie es mit einem kostenlosen Passwort-Generator, anstatt es selbst zu erfinden, damit das Ergebnis wirklich zufällig und kein erratbares menschliches Muster ist. Für mehr Informationen zum Erstellen schwer zu knackender Anmeldedaten lesen Sie unseren Leitfaden zum Passwort-Generator für hack-sichere Passwörter. Wenn Sie auch mit Hashing arbeiten, deckt unser Hash-Generator die algorithmische Seite ab.
Häufig gestellte Fragen#
Wie lang sollte ein Passwort im Jahr 2026 sein? Mindestens 15 Zeichen für ein starkes Alltagspasswort und 20 oder mehr für sensible Konten wie E-Mail, Banking und Ihren Passwort-Manager. Das NIST betrachtet die Länge als wichtigsten Faktor und empfiehlt keine erzwungenen Komplexitätsregeln oder routinemäßigen Passwortablauf mehr.
Ist ein 12-stelliges Passwort noch sicher? Ein wirklich zufälliges 12-stelliges Passwort ist brauchbar, mit etwa 71 Bit Entropie, die die meisten Angriffe abwehrt. Aber 15 Zeichen sind 2026 der sicherere Standard, denn jedes zusätzliche Zeichen vervielfacht den Arbeitsaufwand des Angreifers und verlängert die Knackzeit von Jahrhunderten auf Millionen von Jahren bei schneller Offline-Hardware.
Ist Länge oder Komplexität wichtiger für ein Passwort? Länge. Das Hinzufügen von Zeichen erhöht die Anzahl möglicher Kombinationen weitaus schneller als das Hinzufügen eines einzelnen Symbols, und erzwungene Komplexitätsregeln verleiten Benutzer zu kurzen, vorhersagbaren, wiederverwendeten Passwörtern. Eine lange zufällige Passphrase schlägt eine kurze kryptische Zeichenfolge sowohl in Sicherheit als auch Merkbarkeit.
Was ist eine Passphrase und ist sie stärker als ein Passwort? Eine Passphrase ist eine Aneinanderreihung mehrerer zufälliger Wörter, zum Beispiel vier oder fünf Wörter, die nach der Diceware-Methode ausgewählt wurden. Sie kann sehr stark sein, etwa 52 Bit für vier Wörter und 65+ für fünf, und dabei viel leichter zu merken als eine zufällige Zeichenfolge. Die Stärke kommt von der Zufälligkeit der Wörter, nicht von einem bekannten Zitat.
Wie wird die Passwortstärke tatsächlich gemessen? Durch Entropie in Bit, berechnet als Länge multipliziert mit dem Logarithmus zur Basis 2 der Zeichenpoolgröße. Mehr Bit bedeutet mehr Unvorhersagbarkeit und eine längere Knackzeit. Streben Sie 60+ Bit für normale Konten und 128 Bit für hochwertige Geheimnisse an. Ein Passwortstärke-Checker zeigt die Live-Schätzung.
Wie lange dauert es, ein Passwort zu knacken? Es hängt von Länge, Zufälligkeit und der Speichermethode der Website ab. Bei einem schnellen Offline-Angriff fällt ein 8-stelliges Passwort in Minuten, während ein zufälliges 15-stelliges Passwort Millionen von Jahren dauern würde. Wörterbuchbasierte Passwörter fallen weitaus schneller als ihre Länge vermuten lässt, da Angreifer zuerst häufige Muster testen.
