Sichere Passwörter erstellen 2026: vollständiger Leitfaden

Trotz des Aufstiegs von Biometrie und Passkeys bleiben Passwörter die primäre Authentifizierungsmethode für die überwiegende Mehrheit der Online-Konten. Laut dem Verizon Data Breach Investigations Report 2025 sind über 80 % der hackingbezogenen Sicherheitsverletzungen mit schwachen oder gestohlenen Zugangsdaten verbunden. Das bedeutet, dass Ihr Passwort oft die einzige Barriere zwischen Ihren privaten Daten und einem Angreifer ist.

Moderne Angreifer verwenden GPU-beschleunigte Brute-Force-Tools, die Milliarden von Passwortkombinationen pro Sekunde testen können. Ein einfaches 8-Zeichen-Passwort in Kleinbuchstaben kann in unter 5 Minuten geknackt werden. Ein gut konstruiertes 16-Zeichen-Passwort mit gemischten Zeichentypen würde jedoch mit aktueller Technologie Jahrhunderte zum Knacken benötigen.

Die gute Nachricht ist, dass das Erstellen eines sicheren Passworts nicht das Auswendiglernen zufälliger Zeichenketten erfordert. Moderne Ansätze wie Passphrasen und Passwort-Manager machen Sicherheit zugänglich und praktisch zugleich. Dieser Leitfaden führt Sie durch jede Technik, die von führenden Sicherheitsstandards empfohlen wird.

Entropie ist ein mathematisches Maß dafür, wie unvorhersehbar ein Passwort ist. Sie wird in Bits gemessen: Ein Passwort mit 40 Bits Entropie hat 2^40 (etwa 1 Billion) mögliche Kombinationen. Sicherheitsexperten empfehlen im Allgemeinen mindestens 60 Bits für Standardkonten und 80+ Bits für hochwertige Ziele wie Banking oder E-Mail.

Die Formel ist einfach: Entropie = log2(Pool-Größe^Länge). Ein 12-Zeichen-Passwort mit Großbuchstaben (26), Kleinbuchstaben (26), Ziffern (10) und Symbolen (33) schöpft aus einem Pool von 95 Zeichen. Das ergibt ungefähr 79 Bits Entropie — solider Schutz gegen Offline-Angriffe.

Entropie setzt jedoch voraus, dass das Passwort wirklich zufällig ist. Ein Passwort wie "Password123!" verwendet technisch alle vier Zeichenklassen, hat aber nahezu null effektive Entropie, da es einem vorhersehbaren Muster folgt. Angreifer pflegen Wörterbücher mit Millionen solcher gängigen Muster und testen sie zuerst.

Das National Institute of Standards and Technology (NIST) hat seine Digital Identity Guidelines (SP 800-63B) aktualisiert, um die moderne Forschung zur Passwortsicherheit widerzuspiegeln. Diese Richtlinien sind zum Goldstandard für Organisationen weltweit geworden.

Die wichtigsten NIST-Empfehlungen umfassen: Passwörter bis zu 64 Zeichen zulassen; ein Minimum von 8 Zeichen verlangen (12+ empfohlen); KEINE willkürlichen Komplexitätsregeln erzwingen (wie Großbuchstabe + Zahl + Symbol); KEINE periodischen Passwortänderungen verlangen, es sei denn, es gibt Hinweise auf eine Kompromittierung; Passwörter gegen bekannte Breach-Listen prüfen; und die Einfügefunktion in Passwortfeldern unterstützen.

Die Begründung für den Verzicht auf Komplexitätsregeln ist überzeugend: Erzwungene Komplexität führt dazu, dass Benutzer vorhersehbare Muster wie "Spring2026!" oder "P@ssw0rd" erstellen — Passwörter, die die Regeln erfüllen, aber trivial geknackt werden. Stattdessen betont NIST Länge und Unvorhersehbarkeit als primäre Sicherheitsfaktoren.

NIST empfiehlt außerdem, dass Organisationen Rate-Limiting bei Anmeldeversuchen implementieren, Multi-Faktor-Authentifizierung (MFA) verwenden und gespeicherte Passwörter mit modernen Algorithmen wie Argon2id oder bcrypt mit angemessenen Work-Faktoren hashen.

Eine Passphrase ist eine Folge zufälliger Wörter, die aneinandergereiht werden, wie "correct-horse-battery-staple" (das berühmte XKCD-Beispiel). Bei korrekter Generierung — unter Verwendung einer Wortliste mit mindestens 7.776 Einträgen (wie die EFF-Diceware-Liste) — fügt jedes Wort ungefähr 12,9 Bits Entropie hinzu.

Eine Vier-Wort-Passphrase bietet ungefähr 52 Bits Entropie, während eine Sechs-Wort-Passphrase ungefähr 78 Bits erreicht — vergleichbar mit einem zufälligen 12-Zeichen-Passwort, aber viel einfacher zu tippen und zu merken. Für kritische Konten verwenden Sie fünf oder sechs Wörter.

Wichtige Regeln für Passphrasen: Verwenden Sie eine wirklich zufällige Auswahlmethode (Würfel oder ein kryptographischer Zufallsgenerator — wählen Sie nie selbst Wörter aus); vermeiden Sie berühmte Zitate, Songtexte oder Buchtitel; fügen Sie ein Trennzeichen zwischen den Wörtern ein (Bindestriche, Punkte oder Leerzeichen); und erwägen Sie, ein zufälliges Wort großzuschreiben oder eine Ziffer einzufügen für zusätzliche Entropie ohne Einbuße bei der Merkbarkeit.

Für alltägliche Konten verwenden Sie einen Passwort-Manager, um einzigartige zufällige Passwörter mit 16 oder mehr Zeichen zu generieren und zu speichern. Ihr Passwort-Manager übernimmt die Komplexität, sodass jedes Passwort maximal zufällig sein kann, ohne dass Sie es sich merken müssen.

Für Ihr Master-Passwort (das einzige Passwort, das Sie sich merken müssen) verwenden Sie die Passphrasen-Methode: Würfeln Sie oder verwenden Sie einen kryptographischen Generator, um 5-7 zufällige Wörter aus einer großen Wortliste auszuwählen. Schreiben Sie es auf und bewahren Sie das Papier an einem sicheren physischen Ort auf, bis Sie es auswendig können, dann vernichten Sie das Papier.

Für Konten, bei denen Sie keinen Passwort-Manager verwenden können (wie Ihre Computer-Anmeldung oder Telefon-PIN), erstellen Sie eine Passphrase, die schnell zu tippen ist. Üben Sie das Tippen mehrmals, um Muskelgedächtnis aufzubauen. Eine Phrase wie "ahorn-donner-giraffe-steckdose-22" ist sowohl stark als auch gut tippbar.

Verwenden Sie Passwörter niemals bei mehreren Konten wieder. Wenn ein Dienst gehackt wird, probieren Angreifer diese Zugangsdaten automatisch bei Hunderten anderer Websites aus — eine Technik namens Credential Stuffing. Ein einzigartiges Passwort für jedes Konto begrenzt den Schaden jedes einzelnen Datenlecks.

Die Verwendung persönlicher Informationen ist der häufigste und gefährlichste Fehler. Namen von Familienmitgliedern, Haustieren, Geburtstagen, Jubiläen, Telefonnummern und Adressen sind über soziale Medien leicht auffindbar. Angreifer erstellen personalisierte Wörterbücher aus Ihren öffentlichen Daten, bevor sie einen Brute-Force-Angriff starten.

Tastaturmuster wie "qwertz", "123456", "zxcvbn" oder "1qaz2wsx" wirken sicher, weil sie zufällig aussehen, gehören aber zu den ersten Mustern, die Cracking-Tools testen. Ebenso fügen einfache Ersetzungen (@ für a, 3 für e, 0 für o) praktisch keine Sicherheit hinzu, da jedes Cracking-Tool diese Leet-Speak-Transformationen enthält.

Das Inkrementieren von Passwörtern bei erzwungenen Änderungen (Password1 → Password2 → Password3) bietet keine echte Sicherheitsverbesserung. Wenn ein Angreifer eine beliebige Version erhält, kann er die anderen trivial erraten. Genau deshalb empfiehlt NIST jetzt, auf obligatorische periodische Passwortänderungen zu verzichten.

Ein Passwort-Manager generiert, speichert und füllt automatisch einzigartige zufällige Passwörter für jedes Konto aus. Führende Optionen sind 1Password, Bitwarden (Open Source) und KeePass (offline). Jeder verwendet AES-256-Verschlüsselung zum Schutz Ihres Tresors, mit Ihrem Master-Passwort als Entschlüsselungsschlüssel.

Der Hauptvorteil ist die vollständige Beseitigung der Passwort-Wiederverwendung. Mit einem Passwort-Manager erhält jedes Konto ein einzigartiges zufälliges Passwort mit 20+ Zeichen. Sie müssen sich nur ein starkes Master-Passwort merken. Die meisten Manager warnen Sie auch, wenn Passwörter in bekannten Breach-Datenbanken auftauchen.

Wählen Sie einen Manager, der Ihre Geräte und Browser unterstützt, Notfallzugang für vertrauenswürdige Kontakte bietet und unabhängige Sicherheitsaudits durchlaufen hat. Bitwarden ist eine hervorragende kostenlose Option mit Open-Source-Code, den jeder prüfen kann. Für Teams bieten 1Password Business oder Bitwarden Organizations gemeinsame Tresor-Funktionalitäten.

Selbst das stärkste Passwort kann durch Phishing, Keylogger oder serverseitige Datenlecks kompromittiert werden. Die Multi-Faktor-Authentifizierung (MFA) fügt einen zweiten Verifizierungsschritt hinzu — typischerweise ein zeitbasiertes Einmalpasswort (TOTP) aus einer App wie Google Authenticator oder Authy oder ein Hardware-Sicherheitsschlüssel wie YubiKey.

Aktivieren Sie MFA bei jedem Konto, das es unterstützt, wobei Sie E-Mail (Ihr Wiederherstellungszentrum), Banking, Cloud-Speicher und soziale Medien priorisieren. Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn) bieten den stärksten Phishing-Schutz, da sie die tatsächliche Website-Domain vor der Authentifizierung überprüfen.

Bewahren Sie Ihre MFA-Backup-Codes in Ihrem Passwort-Manager oder an einem separaten sicheren Ort auf. Den Zugang zu Ihrem MFA-Gerät ohne Backup-Codes zu verlieren, kann Sie dauerhaft aus Ihren Konten aussperren.