Um ein sicheres Passwort zu erstellen, machen Sie es lang und unvorhersehbar: Zielen Sie auf mindestens 16 Zeichen oder eine zufällige Passphrase aus vier bis sechs Wörtern ab, die von einem Tool und nicht von Ihrem Gehirn generiert wird. Länge schlägt Symbol-Jonglieren, weil jedes zusätzliche Zeichen die Zeit, die ein Angreifer zum Knacken benötigt, vervielfacht. Der Rat, den Sie vor einem Jahrzehnt bekamen (ein Großbuchstabe, eine Zahl, ein Sonderzeichen, acht Zeichen), ist heute genau die Art von Passwort, die Maschinen am schnellsten erraten.
Diese Anleitung zeigt Ihnen, wie Sie ein sicheres Passwort so erstellen, wie es Sicherheitsexperten im Jahr 2026 tatsächlich tun, und sie zeigt die Mathematik, damit Sie verstehen, warum. Sie lernen, was ein Passwort wirklich schwer zu knacken macht, wie Entropie und Knackzeit tatsächlich funktionieren, warum eine einprägsame Passphrase ein zufälliges, nicht merkfähiges Zeichenfolge schlagen kann, und wie Sie unknackbare Passwörter in Ihrem Browser generieren, ohne einem Server Ihre Geheimnisse anzuvertrauen.
Was ein Passwort im Jahr 2026 stark macht#
Ein starkes Passwort ist eines, das ein Angreifer in praktisch jeder Zeitspanne nicht erraten, nachschlagen oder mit Brute-Force knacken kann. Drei Faktoren entscheiden darüber: seine Länge, seine Zufälligkeit und ob es jemals durchgesickert ist. Alles andere (Symbole mischen, E durch 3 ersetzen, ein "!" am Ende hinzufügen) ist meist nur Theater.
Der Grund ist einfach. Angreifer sitzen nicht vor einem Login-Bildschirm und tippen Vermutungen ein. Sie stehlen eine Datenbank mit gehashten Passwörtern und führen offline Milliarden von Versuchen pro Sekunde durch. Gegen diese Feuerkraft sind die einzigen Verteidigungsmechanismen, die zählen, rohe Unvorhersagbarkeit und Länge.
Hier ist, was ein starkes Passwort von einem schwachen unterscheidet:
- Länge. Mehr Zeichen bedeuten exponentiell mehr Kombinationen. Das ist der größte Hebel, den Sie haben.
- Zufälligkeit (Entropie). Ein von einem Menschen gewähltes Passwort folgt Mustern. Ein von einem Zufallsgenerator gewähltes Passwort tut das nicht. Muster sind das, worauf Knacksoftware ausgelegt ist.
- Einzigartigkeit. Ein auf mehreren Websites wiederverwendetes Passwort ist nur so sicher wie die unsicherste Website, die es hat. Ein einziger Datenleck gefährdet jedes Konto.
- Nicht zuvor durchgesickert. Milliarden echter Passwörter sind durchgesickert. Wenn Ihres auf einer Liste steht, ist seine Stärke null, egal wie clever es aussieht.
Kurze Realitätsprüfung: "P@ssw0rd!" erfüllt fast jede klassische Komplexitätsregel (Großbuchstabe, Kleinbuchstabe, Zahl, Symbol) und ist eines der ersten Passwörter, die jedes Knackwörterbuch ausprobiert. Komplexitätsregeln sind nicht gleich Stärke.
Länge vs. Komplexität: Warum Länge gewinnt#
Dies ist der Teil, den die meisten Passwort-Ratgeber falsch verstehen, also hier der Beweis statt nur des Slogans. Die Passwortstärke wird in Entropie gemessen, ausgedrückt in Bits. Jedes Bit verdoppelt die Anzahl möglicher Passwörter, die ein Angreifer ausprobieren muss. Die Formel ist einfach:
Entropie (Bits) = Länge × log2(Größe des Zeichenvorrats)
Der Zeichenvorrat gibt an, wie viele mögliche Zeichen jede Position haben kann. Nur Kleinbuchstaben sind 26. Mit Großbuchstaben sind es 52. Mit Ziffern 62. Mit üblichen Symbolen etwa 95.
Beobachten Sie nun, was passiert, wenn Sie Komplexität gegen Länge eintauschen. Vergleichen Sie zwei Passwörter:
| Passwort-Stil | Länge | Zeichenvorrat | Ungefähre Entropie | Anmerkungen |
|---|---|---|---|---|
Tr0ub4d! | 8 | 95 (alle Typen) | ~52 Bits | Das klassische komplexe 8-Zeichen-Passwort |
correcthorsebatterystaple | 25 | 26 (Kleinbuchstaben) | ~117 Bits (wort-zufällig) | Viel stärker trotz null Symbolen |
Das "komplexe" Passwort verliert deutlich. Die Länge wird über das gesamte Passwort multipliziert, sodass das Hinzufügen von Zeichen die Entropie weitaus schneller wachsen lässt als die Erweiterung des Zeichenvorrats. Die Verdopplung der Länge verdoppelt in etwa die Bits. Das Hinzufügen eines Symbolsatzes zu einem kurzen Passwort bewegt kaum etwas.
Die praktische Regel#
Hören Sie auf, die falsche Variable zu optimieren. Ein 12-stelliges Zufallspasswort ist für Konten mit niedrigem Risiko in Ordnung. Ein 16-stelliges Zufallspasswort ist ein solider Standard. Für alles, was wichtig ist (E-Mail, Banking, Ihr Passwort-Manager), wählen Sie länger oder verwenden Sie eine Passphrase. Die Zeichenmischung ist zweitrangig gegenüber der Länge.
Aus diesem Grund schlägt ein Zufallspasswort-Generator, der die Länge auf 20, 30 oder 40 Zeichen erhöhen lässt, jede "Mach es komplex"-Regel. Die Maschine wird nicht müde beim Tippen, und Ihr Passwort-Manager merkt es sich für Sie, sodass Länge Sie nichts kostet.
Die Entropie und die mathematische Knackzeit (auf Deutsch erklärt)#
Viele Leute werfen mit Aussagen um sich wie „Dieses Passwort würde eine Milliarde Jahre zum Knacken brauchen“, ohne zu zeigen, woher die Zahl kommt. Hier ist die ehrliche Version, dargestellt als Spannen, weil die tatsächliche Knackgeschwindigkeit von der Hardware und dem Hash-Algorithmus abhängt.
Die Geschwindigkeit eines Angreifers wird in Versuchen pro Sekunde gemessen. Eine einzelne moderne GPU kann Milliarden von Versuchen pro Sekunde gegen einen schnellen Hash wie MD5 oder ungesalzenes SHA-1 durchführen. Ein gut finanzierter Angreifer mit einem GPU-Rig kann das auf Billionen pro Sekunde steigern. Gegen einen langsamen, richtig gesalzenen Hash (bcrypt, Argon2) schafft dieselbe Hardware vielleicht nur Tausende oder Zehntausende von Versuchen pro Sekunde, weshalb diese Algorithmen genau existieren.
Die durchschnittliche Anzahl von Versuchen, um ein Passwort zu knacken, ist die Hälfte des gesamten Schlüsselraums, und der Schlüsselraum ist 2 hoch die Entropie in Bits. Die Knackzeit skaliert also wie folgt:
| Entropie | Gesamtkombinationen | Zeit bei 1 Billion Versuchen/Sek. (schneller Hash) |
|---|---|---|
| 40 Bits | ~1 Billion | Etwa 1 Sekunde |
| 60 Bits | ~1,15 Trillionen | Tage bis Wochen |
| 80 Bits | ~1,2 Septillionen | Zehntausende von Jahren |
| 100+ Bits | astronomisch groß | In keinem menschlichen Zeitrahmen knackbar |
Ein paar ehrliche Einschränkungen, damit es realistisch bleibt und nicht wie Marketing klingt:
- Diese Zahlen gehen davon aus, dass der Angreifer das Passwort nicht bereits aus einem Leak kennt. Ein kompromittiertes Passwort wird in Millisekunden geknackt, egal wie hoch seine Entropie ist.
- Ein langsamer Hash (bcrypt, Argon2) macht jede Zeile in dieser Tabelle für den Angreifer drastisch langsamer, was gut für Sie ist, aber außerhalb Ihrer Kontrolle liegt.
- Die Spalte „1 Billion Versuche/Sek.“ ist ungefähr der schlimmste realistische Fall für einen einzelnen Hochleistungsangreifer gegen einen schnellen, schlecht geschützten Hash. Die meisten realen Ziele sind langsamer.
Die praktische Schlussfolgerung: Bei etwa 70 bis 80 Bits Entropie hört ein Passwort auf, für einen realistischen Angreifer durch Brute-Force knackbar zu sein. Ihre Aufgabe ist es, diese Hürde zu nehmen, und das schaffen Sie am einfachsten mit Länge.
Warnung: Entropie zählt nur, wenn die Zufälligkeit echt ist. Wenn Sie die Wörter oder Zeichen selbst auswählen, fügen Sie Muster ein, die die effektive Entropie weit unter die obigen Werte drücken. Lassen Sie immer einen Generator die Auswahl treffen.
Wie man Schritt für Schritt ein sicheres Passwort erstellt#
Sie haben zwei gute Optionen: eine zufällige Zeichenfolge oder eine zufällige Passphrase. Beide funktionieren. Wählen Sie die Passphrase, wenn Sie sich das Passwort merken müssen (Ihr Master-Passwort, Ihr Geräte-Login). Wählen Sie die zufällige Zeichenfolge, wenn ein Passwort-Manager es speichert und Sie es nie von Hand eingeben.
Schritt 1: Entscheiden Sie, ob Sie es sich merken müssen#
Wenn ein Passwort-Manager das Passwort speichert und automatisch ausfüllt, müssen Sie es sich nie merken, also verwenden Sie eine lange zufällige Zeichenfolge. Wenn Sie es aus dem Gedächtnis eingeben müssen (das Passwort, das Ihren Passwort-Manager entsperrt, Ihr Laptop-Login, eine Geräte-PIN, die Sie nirgendwo speichern können), verwenden Sie eine Passphrase. Merkbarkeit und Sicherheit sind keine Gegner, sobald Sie das richtige Werkzeug für jede Aufgabe wählen.
Schritt 2: Verwenden Sie einen Generator, niemals Ihre Fantasie#
Menschen sind schreckliche Zufallszahlengeneratoren. Wir greifen zu Geburtstagen, Haustiernamen, Tastaturmustern (qwerty, 1q2w3e) und denselben drei "cleveren" Ersetzungen, die alle anderen verwenden. Wörterbücher zum Knacken von Passwörtern basieren genau auf diesen menschlichen Gewohnheiten. Öffnen Sie einen sicheren Passwort-Generator und lassen Sie ihn die Zufälligkeit für Sie erzeugen. Ein guter läuft vollständig in Ihrem Browser, sodass das generierte Geheimnis nie einen Server erreicht.
Schritt 3: Setzen Sie die Länge auf mindestens 16 (oder 4 bis 6 Wörter)#
Für eine zufällige Zeichenfolge sind 16 Zeichen eine starke Untergrenze und 20+ ist besser für wertvolle Konten. Für eine Passphrase sind vier Wörter das praktische Minimum und fünf oder sechs Wörter sind bequem unknackbar, wenn die Wörter zufällig aus einer großen Liste ausgewählt werden. Beispiel einer zufällig generierten Passphrase: harvest-quartz-meadow-tunnel-blaze. Fünf unzusammenhängende Wörter, leicht vorstellbar, sehr schwer zu erraten.
Schritt 4: Machen Sie es einzigartig für dieses eine Konto#
Generieren Sie ein neues Passwort für jedes Konto. Niemals wiederverwenden. Wiederverwendung ist die am meisten ausgenutzte Schwachstelle im Internet, da Angreifer Anmeldedaten von einer kompromittierten Website nehmen und sie überall sonst wiederverwenden (ein Angriff namens Credential Stuffing). Ein einzigartiges Passwort pro Website bedeutet, dass ein Leck auf ein Konto beschränkt bleibt.
Schritt 5: Überprüfen Sie seine Stärke, bevor Sie es speichern#
Bevor Sie es speichern, führen Sie eine Plausibilitätsprüfung durch. Fügen Sie es in einen Passwort-Stärke-Checker ein, um die geschätzte Entropie und Knackzeit zu sehen und zu bestätigen, dass es nicht in einer bekannten Datenbank geleakter Passwörter steht. Ein generiertes Passwort sollte sehr hoch bewertet werden, aber der Check fängt auch den Fall ab, dass Sie es von Hand geändert und versehentlich ein starkes Passwort in ein erratbares verwandelt haben.
Schritt 6: Speichern Sie es in einem Passwort-Manager und fügen Sie 2FA hinzu#
Speichern Sie das Passwort in einem seriösen Passwort-Manager, sodass Sie sich nur eine starke Master-Passphrase merken müssen. Aktivieren Sie dann die Zwei-Faktor-Authentifizierung (2FA) für jedes Konto, das sie unterstützt. Selbst ein perfektes Passwort kann durchsickern; 2FA bedeutet, dass ein gestohlenes Passwort allein nicht ausreicht, um Zugang zu erhalten.
Passphrasen: Starke Passwörter, die Sie sich wirklich merken können#
Eine Passphrase besteht aus mehreren zufälligen Wörtern, die aneinandergereiht werden. Sie ist die beste Lösung für das Problem „sicher, aber einprägsam“. Der Grund, warum das funktioniert: Sie merken sich nicht 25 zufällige Zeichen, sondern eine Handvoll Wörter. Die Entropie entsteht dadurch, wie viele mögliche Wörter jede Position füllen könnten.
Die bewährte Methode ist Diceware: Sie würfeln, um Wörter aus einer großen standardisierten Liste auszuwählen (die EFF-Liste enthält 7.776 Wörter). Jedes zufällig gewählte Wort fügt etwa 12,9 Bit Entropie hinzu. Die Mathematik ist klar:
- 4 Wörter: etwa 51 Bit (ordentlich, für niedrige Anforderungen geeignet)
- 5 Wörter: etwa 64 Bit (stark)
- 6 Wörter: etwa 77 Bit (ausgezeichnet, Master-Passwort-Niveau)
- 7 Wörter: etwa 90 Bit (für fast jeden übertrieben)
Die zwei Regeln, die eine Passphrase gut oder schlecht machen:
- Die Wörter müssen zufällig gewählt werden, nicht von Ihnen. „MeinHundLiebtPizza“ sind vier Wörter und fast keine Entropie, weil ein Mensch einen sinnvollen Satz gewählt hat.
lebhaft-anker-pelikan-rhabarbersind vier Wörter, die ein Generator aus Tausenden ausgewählt hat, darin liegt die Stärke. - Ändern Sie sie nicht, damit sie wie ein Passwort aussieht. Ein
123!am Ende hilft kaum und erschwert das Merken. Die Zufälligkeit der Wortwahl leistet die Hauptarbeit.
Eine zufällige Passphrase aus vier bis sechs Wörtern ist genauso stark wie eine lange zufällige Zeichenfolge, aber viel einfacher zu tippen und zu merken. Deshalb empfehlen Sicherheitsteams sie heute für das eine oder zwei Passwörter, die Sie im Kopf behalten müssen.
Was NIST jetzt wirklich empfiehlt#
Der größte Wandel in der Passwort-Richtlinie kam von NIST, der US-Normungsbehörde, deren Empfehlungen prägen, wie ernsthafte Organisationen Anmeldesysteme aufbauen. Die Leitlinien 2024-2025 (in der SP 800-63-Familie) haben viele alte Mythen widerlegt. Falls Ihre IT-Abteilung noch die alten Regeln durchsetzt, zeigt dies, warum sie veraltet sind.
Was NIST jetzt sagt:
- Länge hat Priorität. Erlauben Sie lange Passwörter (mindestens 64 Zeichen) und fördern Sie Länge statt Komplexitätsregeln.
- Verpflichtende Komplexitätsregeln abschaffen. Die Vorgabe von Großbuchstaben, Zahlen und Sonderzeichen verbessert die Sicherheit nicht messbar und treibt Menschen zu vorhersehbaren Mustern wie
Passwort1!. - Keine regelmäßigen Passwortwechsel erzwingen. Routinemäßige 90-Tage-Abläufe schwächen Passwörter, da Menschen nur kleine vorhersehbare Änderungen vornehmen (
Frühling2025wird zuSommer2025). Nur bei Hinweis auf Kompromittierung zurücksetzen. - Gegen durchgesickerte Passwortlisten prüfen. Blockieren Sie bekannte geleakte Passwörter, was weitaus wichtiger ist als jede Komplexitätsregel.
- Alle Zeichen erlauben, inklusive Leerzeichen und Emojis. Größere Zeichenmengen, keine willkürlichen Einschränkungen.
Der rote Faden ist derselbe, zu dem dieser Leitfaden immer wieder zurückkehrt: Unvorhersehbarkeit und Länge schlagen Komplexitätstheater. NIST hat aufgeholt, was die Entropie-Mathematik immer gezeigt hat.
| Alte Empfehlung (Mythen vor 2020) | Was NIST jetzt empfiehlt |
|---|---|
| Mindestens 8 Zeichen | Lange Passwörter, praktisch 16+ |
| Muss Großbuchstaben, Kleinbuchstaben, Zahl, Sonderzeichen enthalten | Komplexitätsregeln gestrichen |
| Alle 90 Tage ändern | Nur bei Hinweis auf Kompromittierung ändern |
| Sicherheitsfragen als Backup | Stattdessen 2FA verwenden |
| Einfügen von Passwörtern blockieren | Einfügen erlauben, damit Passwortmanager funktionieren |
Häufige Fehler bei starken Passwörtern, die Sie vermeiden sollten#
Selbst Leute, die die Regeln kennen, tappen in dieselben Fallen. Achten Sie auf Folgendes.
- Ein einziges "starkes" Passwort überall verwenden. Ein 20-stelliges Meisterwerk, das auf zehn Websites wiederverwendet wird, ist nur einen Datenleck von einem Totalausfall entfernt. Stärke überlebt keine Wiederverwendung.
- Vorhersehbare Muster in einem langen Passwort.
Summer2025Summer2025ist lang, aber trivial zu erraten. Länge hilft nur, wenn sie zufällig ist. - Leetspeak als Sicherheitsmaßnahme.
P@$$w0rdist nicht wesentlich schwerer zu knacken alspassword. Knackprogramme wenden diese Ersetzungen automatisch an. - Auf persönlichen Informationen basieren. Namen, Geburtstage, Ihre Straße, Ihr Team. All das ist von sozialen Medien abgreifbar und wird zuerst ausprobiert.
- Dem Generator einer unbekannten Website vertrauen. Wenn ein Passwort-Generator Ihr neues Passwort an seinen Server sendet, vertrauen Sie Fremden ein Geheimnis an. Bevorzugen Sie einen, der alles lokal in Ihrem Browser generiert.
- 2FA überspringen, weil das Passwort "stark genug" ist. Kein Passwort ist leck-sicher. Die Zwei-Faktor-Authentifizierung ist das Sicherheitsnetz, das ein gestohlenes Passwort allein nutzlos macht.
Fazit: So erstellen Sie ein sicheres Passwort richtig#
Hier das Ganze auf den Punkt gebracht. Um ein sicheres Passwort zu erstellen, hören Sie auf, clever sein zu wollen, und vertrauen Sie stattdessen auf Länge plus echte Zufälligkeit. Nutzen Sie einen Generator. Streben Sie 16 oder mehr zufällige Zeichen an, wenn ein Passwortmanager es speichert, oder eine zufällige vier- bis sechswörtige Passphrase, wenn Sie es sich merken müssen. Machen Sie jedes Passwort einzigartig, prüfen Sie es gegen Datenleak-Listen und setzen Sie 2FA obendrauf.
Dieser Ansatz erreicht die etwa 70 bis 80 Bit Entropie, ab der Brute-Force keine praktische Bedrohung mehr darstellt, und das bei ein oder zwei Passwörtern, die Sie sich wirklich merken müssen. Erstellen Sie jetzt eines mit dem kostenlosen Passwort-Generator, bestätigen Sie seine Stärke mit dem Passwort-Stärke-Checker, und wenn Sie tiefer in die Längenfrage einsteigen möchten, führt unsere Analyse wie lang ein Passwort im Jahr 2026 sein sollte die Zahlen Konto für Konto auf.
Häufig gestellte Fragen#
Wie lang sollte ein sicheres Passwort sein? Für ein zufälliges Passwort, das in einem Manager gespeichert wird, sind 16 Zeichen ein guter Standard und 20 oder mehr sind besser für wichtige Konten wie E-Mail und Banking. Für eine Passphrase, die Sie sich merken, eignen sich vier bis sechs zufällig gewählte Wörter. Die Länge ist weitaus wichtiger als die Zeichenvielfalt, da jedes zusätzliche Zeichen den Arbeitsaufwand für Angreifer exponentiell erhöht.
Ist eine Passphrase wirklich so sicher wie ein zufälliges Passwort? Ja, wenn die Wörter zufällig von einem Generator ausgewählt werden und nicht von Ihnen selbst. Eine zufällige Fünf-Wort-Passphrase hat etwa 64 Bit Entropie, was durch Brute-Force nicht knackbar ist, und bleibt dabei leicht zu merken. Der Haken ist, dass sinnvolle, selbst gewählte Phrasen wie "IchLiebeMeinenHund2025" fast keine Entropie haben und niemals verwendet werden sollten.
Warum ist die Länge wichtiger als das Hinzufügen von Sonderzeichen? Weil die Länge über das gesamte Passwort multipliziert wird, während der Zeichenvorrat nicht erweitert wird. Das Hinzufügen eines Zeichentyps vergrößert die Anzahl möglicher Zeichen pro Position, aber das Hinzufügen weiterer Zeichen vervielfacht die Gesamtkombinationen um ein Vielfaches. Die Entropieberechnung zeigt, dass ein langes Passwort nur aus Kleinbuchstaben ein kurzes "komplexes" Passwort mit Großbuchstaben, Zahlen und Sonderzeichen übertrifft.
Muss ich meine Passwörter alle paar Monate ändern? Nein. Die aktuellen NIST-Richtlinien raten von regelmäßigen Passwortabläufen ab, da dies zu vorhersehbaren Variationen führt, wie das Ändern einer Zahl am Ende. Ändern Sie ein Passwort nur, wenn es Hinweise auf eine Kompromittierung gibt, z. B. durch eine Sicherheitsverletzung. Ein starkes, einzigartiges Passwort wird nicht schwächer, nur weil es ungenutzt bleibt.
Sind Online-Passwortgeneratoren sicher? Sie sind sicher, wenn der Generator vollständig in Ihrem Browser läuft und das Passwort niemals an einen Server sendet. Ein clientseitiger Generator berechnet die zufälligen Zeichen lokal, sodass das Geheimnis Ihr Gerät nie verlässt. Vermeiden Sie Tools, die Ihr neues Passwort über das Netzwerk senden, und überprüfen Sie das Ergebnis mit einem Stärketest, bevor Sie es speichern.
Was ist das stärkste Passwort, das ich erstellen kann? Das stärkste praktische Passwort ist eine lange, vollständig zufällige Zeichenfolge (20 oder mehr Zeichen aus einem breiten Pool) oder eine zufällige Sechs-Wort-Passphrase, beide von einem Generator erstellt und nicht von Ihrer Fantasie. Ab etwa 80 Bit Entropie wird Brute-Force in jedem menschlichen Zeitrahmen unmöglich, sodass weitere Länge übertrieben ist. Die größeren Risiken sind dann Wiederverwendung, Phishing und Datenlecks, weshalb Einzigartigkeit und 2FA genauso wichtig sind wie das Passwort selbst.
