{ freetool24 }
Security

Starke Passwörter 2026: Eine kurze Checkliste für echte Menschen

Länge vs. Komplexität, Passwort-Manager, MFA und wie man die Stärke testet, ohne Geheimnisse an einen Server zu senden.

5 Min. Lesezeit

Cybersecurity abstract

Passwortregeln wie „ein Großbuchstabe, ein Sonderzeichen" machten Sinn, als Angreifer nur wenige tausend Versuche unternahmen. Heute dominieren Credential Stuffing (die Wiederverwendung geleakter E-Mail/Passwort-Kombinationen) und Offline-Hash-Cracking. Moderne Empfehlungen bevorzugen lange, einzigartige Passwörter und einen zweiten Faktor – keine cleveren kurzen Passwörter.

Länge schlägt „clever"

Eine zufällige Vierworte-Passphrase mit Trennzeichen (z. B. im Stil correct-horse-battery-staple, aber zufällig gewählt) oder ein 20+ Zeichen langes Passwort aus einem Generator ist schwerer zu knacken als P@ssw0rd!1, das in jeder Datenleck-Liste auftaucht.

Das beste Passwort ist eines, das du nirgendwo wiederverwendest und für Dutzende von Seiten nicht auswendig lernen musst – nutze einen Passwort-Manager.

Passwort-Manager

  • Generieren einzigartige Passwörter für jede Website.
  • Speichern TOTP-Seeds oder Passkeys, wo unterstützt.
  • Schützen den Tresor mit einem starken Master-Passwort und Gerätesicherheit.

Multi-Faktor-Authentifizierung (MFA)

SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping. Bevorzuge Authenticator-Apps oder Hardware-Schlüssel (WebAuthn/FIDO2) für wichtige Konten (E-Mail, Bank, Domain-Registrar, Cloud-Admin).

Stärke lokal testen

„Stärkemesser", die dein Passwort auf einen Server hochladen, kommen nicht in Frage. Nutze Tools, die vollständig im Browser laufen und das Geheimnis niemals übertragen.

Unser Password Generator erstellt zufällige Zeichenfolgen, die du nach Länge und Zeichensätzen anpassen kannst, und der Password Strength Checker bewertet Entropie-ähnliche Signale client-seitig, damit dein Kandidatenpasswort privat bleibt.

Für Entwickler, die Passwörter speichern: niemals im Klartext speichern. Verwende langsame Hashes (Argon2, scrypt oder bcrypt) mit benutzerspezifischen Salts. Der Hash Generator eignet sich gut für Prüfsummen und HMAC-Konzepte, nicht jedoch für die Passwortspeicherung in der Produktion – verwende stattdessen geprüfte Bibliotheken in deinem Stack.

Was Nutzer wirklich tun sollten

  1. MFA für E-Mail- und Finanzkonten aktivieren.
  2. Einen Passwort-Manager verwenden und Passwörter mit 20+ Zeichen generieren lassen.
  3. Zugriffsrechte entziehen, wenn Mitarbeiter oder Auftragnehmer das Unternehmen verlassen; im Chat geteilte Secrets rotieren.
  4. Benachrichtigungen über Datenlecks beobachten und nur betroffene Passwörter ändern (oder auf die durch den Manager generierte Einzigartigkeit vertrauen).

Gute Gewohnheiten skalieren besser als perfektes Gedächtnis – und sie ergänzen sich hervorragend mit den kostenlosen Tools oben, wenn du schnelle, offline-freundliche Hilfe benötigst.

Zurück zu allen ArtikelnTools durchsuchen