Passwortsicherheit 2026: Was wirklich funktioniert
Mehr als nur die Grundlagen – wie moderne Passwortangriffe funktionieren, warum Komplexitätsregeln versagen und was Ihre Konten heute wirklich schützt.
Der Rat hat sich seit 20 Jahren nicht geändert: Verwende starke Passwörter. Doch die Bedrohungslandschaft hat sich drastisch verändert. Hier erfahren Sie, was 2026 wirklich funktioniert – und warum die alten Regeln oft versagen.
Wie Passwörter kompromittiert werden
Wer den Angriff versteht, kann sich besser verteidigen:
Credential Stuffing — Angreifer nutzen geleakte Benutzername/Passwort-Paare aus einem Datenleck (Milliarden davon existieren in öffentlichen Datenbanken) und probieren sie auf anderen Websites aus. Wer Passwörter wiederverwendet, riskiert, dass ein einziges Leck alles gefährdet.
Brute Force — Das systematische Durchprobieren jeder möglichen Kombination. Bei langen, zufälligen Passwörtern unpraktikabel, aber verheerend wirksam gegen kurze oder musterbasierte Passwörter.
Wörterbuchangriffe — Die Verwendung von Listen mit häufigen Passwörtern und ihren Varianten (password, P@ssw0rd, password123). Komplexitätsregeln, die genau diese Muster erzeugen, vermitteln trügerische Sicherheit.
Phishing — Sie werden dazu verleitet, Ihr Passwort auf einer gefälschten Website einzugeben. Hier hilft keine Passwortstärke.
Credential Leaks — Datenbanken aus kompromittierten Diensten. Prüfen Sie auf haveibeenpwned.com, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht.
Warum Komplexitätsregeln versagen
Die klassischen Regeln – „muss Groß- und Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten" – erzeugen vorhersehbare Muster:
Summer2024!— Erfüllt alle Regeln, wird per Wörterbuchangriff in Sekunden geknacktCorrect!Horse2#— Dasselbe Problem
Diese Regeln wurden für Passwörter entwickelt, die sich Menschen merken können. Sie scheitern, weil Menschen stets denselben Mustern folgen. Die Regel selbst wird zum Angriffsvektor.
Was Länge wirklich bewirkt
Geschwindigkeit beim Passwort-Knacken im Jahr 2024 (GPU-basiert, bcrypt-Hash):
| Länge | Zeichensatz | Zeit zum Knacken |
|---|---|---|
| 8 Zeichen | Nur Kleinbuchstaben | Sekunden |
| 8 Zeichen | Gemischt + Sonderzeichen | Minuten bis Stunden |
| 12 Zeichen | Gemischt + Sonderzeichen | Monate |
| 16 Zeichen | Gemischt + Sonderzeichen | Jahrhunderte |
| 20 Zeichen | Nur Kleinbuchstaben | Immer noch Jahrhunderte |
Länge schlägt Komplexität. Ein 20-stelliges Passwort aus Kleinbuchstaben ist stärker als ein 8-stelliges „komplexes" Passwort. Jedes zusätzliche Zeichen vervielfacht den Suchraum.
Diceware: einprägsam und sicher
Diceware generiert Passphrasen aus zufällig ausgewählten Wörtern:
correct-horse-battery-staple
Diese Phrase aus 4 Wörtern ist:
- Einprägsam — Sie können sie sich tatsächlich merken
- Sicher — 4 gewöhnliche Wörter aus der EFF-Wortliste liefern ~51 Bit Entropie
- Schnell zu tippen — keine Sonderzeichen, nach denen man suchen muss
Ein 5. Wort erhöht die Entropie auf ~64 Bit – stärker als die meisten „komplexen" 12-Zeichen-Passwörter und deutlich einfacher zu merken.
Probieren Sie unseren Diceware Password Generator – er verwendet kryptografische Zufälligkeit und die EFF-Wortliste.
Zufällige Passwörter für alles andere
Für Konten, bei denen Sie das Passwort nicht eintippen müssen (90 % aller Websites), generiert und speichert ein Passwort-Manager vollständig zufällige Passwörter:
K7#mP2xQnL9vR4tY
Sie müssen dieses Passwort weder sehen noch eintippen. Der Manager füllt es automatisch aus. Unser Password Generator erstellt solche Passwörter mit konfigurierbarer Länge und Zeichensätzen.
Die wichtigste Regel: ein einzigartiges Passwort pro Website – ohne Ausnahme. Wiederverwendung ist der mit Abstand größte Fehler in Sachen Passwortsicherheit.
Passwortstärke prüfen
Nicht alle Stärkeprüfer sind gleich. Ein guter bewertet:
- Entropie (tatsächliche Zufälligkeit), nicht nur die Einhaltung von Regeln
- Mustererkennung —
P@ssw0rdschneidet schlecht ab, obwohl es Komplexitätsregeln erfüllt - Wörterbuchangehörigkeit — Ist dies ein bekanntes schwaches Passwort?
Unser Password Strength Checker verwendet zxcvbn, dieselbe Bibliothek, die Dropbox entwickelt hat – sie modelliert realistische Angriffe, anstatt nur Checklisten abzuhaken.
Zwei-Faktor-Authentifizierung (2FA)
Die einzelne wirkungsvollste Sicherheitsmaßnahme, die Sie ergreifen können, ist das Aktivieren von 2FA für wichtige Konten. Selbst ein kompromittiertes Passwort ermöglicht keine Anmeldung ohne den zweiten Faktor.
TOTP (Time-based One-Time Passwords) — Apps wie Google Authenticator generieren einen 6-stelligen Code, der sich alle 30 Sekunden ändert. Unser TOTP Generator ermöglicht es Ihnen, TOTP-Abläufe mit einem geheimen Schlüssel zu testen.
Prioritätskonten für 2FA:
- E-Mail (steuert die Kontowiederherstellung für alles andere)
- Passwort-Manager
- Bank- und Finanzkonten
- Arbeitskonten
SSH- und RSA-Schlüssel: Passwörter für Maschinen
Für den Serverzugriff und die API-Authentifizierung sollten Schlüsselpaare statt Passwörter verwendet werden:
- SSH-Schlüssel — Ed25519-Schlüssel sind der moderne Standard für den Serverzugriff. Generieren Sie diese mit unserem SSH Key Generator.
- RSA-Schlüssel — Werden für Verschlüsselung, Signierung und Legacy-Systeme verwendet. Generieren Sie 2048-Bit- oder 4096-Bit-Paare mit unserem RSA Key Generator.
Schlüssel sind grundlegend stärker als Passwörter, weil sie zu lang zum Eintippen, zu zufällig zum Erraten sind und nie über das Netzwerk übertragen werden.
Zusammenfassung
Die Sicherheitshierarchie, geordnet nach Wirksamkeit:
- Einzigartiges Passwort pro Website — Nutzen Sie einen Passwort-Manager
- Lang und zufällig — 16+ Zeichen für eingetippte Passwörter oder Diceware für einprägsame Varianten
- 2FA für kritische Konten — besonders E-Mail
- Datenleck-Exposition prüfen — Jedes kompromittierte Passwort sofort ändern
Komplexitätsregeln, erzwungener regelmäßiger Passwortwechsel und Sicherheitsfragen sind veraltetes Sicherheitstheater. Länge, Einzigartigkeit und 2FA sind das, was Sie wirklich schützt.