Generate Password To Me - Secure Password Generator Logo
  • Generator
  • Leitfäden
  • VPN
  • Kontakt
  • Datenschutz
  • Nutzungsbedingungen
Navigation menu toggle
  1. Start
  2. /Leitfäden
  3. /NIST 800-63B Passwortregeln: Praktische Zusammenfassung 2026
Richtlinien

NIST 800-63B Passwortregeln: Praktische Zusammenfassung 2026

NIST 800-63B Passwortregeln: Praktische Zusammenfassung 2026 — Richtlinien

Verständliche Zusammenfassung der NIST SP 800-63B Passwort-Richtlinien. Was sich geändert hat, warum Komplexitätsregeln abgeschafft wurden und wie Sie konforme Passwortrichtlinien umsetzen.

Wissenswert

richten Sie sich nach den aktuellen NIST-Standards

2 Min. LesezeitAktualisiert: 15.04.2026Autor: GeneratePasswordTo Editorial Team

Was ist NIST SP 800-63B?

NIST SP 800-63B ist Teil der Digital Identity Guidelines des National Institute of Standards and Technology. Obwohl für US-Bundesbehörden verbindlich, sind sie zum globalen Standard geworden.

Die jüngste Revision hat die Sichtweise der Sicherheitsgemeinschaft auf Passwörter grundlegend verändert und Jahrzehnte konventioneller Weisheit verworfen.

Das Verständnis dieser Richtlinien ist essenziell, ob Sie Entwickler, IT-Administrator oder Endnutzer sind.

Verwandte Hinweise

vergleiche PCI mit NIST

stimmen Sie Ihre Reaktion mit NIST ab

Die wichtigsten Änderungen: Was NIST richtig gemacht hat

Obligatorische Komplexitätsregeln abschaffen. NIST empfiehlt ausdrücklich, keine Großbuchstaben, Ziffern oder Sonderzeichen zu verlangen. Forschung zeigt, dass erzwungene Komplexität zu vorhersehbaren Mustern führt.

Periodische Passwortänderungen beenden. NIST empfiehlt jetzt nur bei Nachweis einer Kompromittierung zu ändern.

Gegen Breach-Listen prüfen. Die HIBP Passwords API ermöglicht die Prüfung von über 900 Millionen kompromittierten Passwörtern mit k-Anonymität.

Lange Passwörter erlauben. Systeme müssen bis mindestens 64 Zeichen akzeptieren.

Mindestlängenanforderungen

NIST setzt ein absolutes Minimum von 8 Zeichen für benutzergewählte Passwörter und 6 für zufällig generierte PINs. 12 Zeichen ist das empfohlene praktische Minimum, 15+ ideal.

Für hochwertige Assets werden 16+ Zeichen oder eine 5+ Wort-Passphrase empfohlen.

Systeme dürfen kein Maximum unter 64 Zeichen festlegen.

  • 8 Zeichen: NIST absolutes Minimum
  • 12 Zeichen: empfohlenes praktisches Minimum
  • 15+ Zeichen: empfohlen für wichtige Konten
  • 64 Zeichen: minimale Maximallänge
  • 6 Ziffern: Minimum für zufällige PINs

Verbotene Passwortlisten und Wörterbuchprüfungen

NIST verlangt die Prüfung neuer Passwörter gegen Listen häufiger, erwarteter oder kompromittierter Passwörter.

Bei Ablehnung muss das System eine klare Erklärung liefern.

Die HIBP API nutzt k-Anonymität: Nur die ersten 5 Zeichen des SHA-1-Hashs werden gesendet.

Passwortspeicherung: Hashing-Anforderungen

NIST verlangt speicherintensive Schlüsselableitungsfunktionen. Empfohlen: Argon2id, bcrypt (Mindestfaktor 10), PBKDF2-HMAC-SHA256 (mindestens 600.000 Iterationen).

Argon2id ist die bevorzugte Wahl für neue Implementierungen.

Verwenden Sie nie einfache kryptographische Hashfunktionen (MD5, SHA-1, SHA-256) für die Passwortspeicherung.

Verwenden Sie immer ein einzigartiges, zufälliges Salt pro Passwort (mindestens 128 Bit).

Multi-Faktor-Authentifizierung

NIST empfiehlt MFA für jedes System mit sensiblen Daten. Die drei Faktoren: Wissen, Besitz, Biometrie.

NIST klassifiziert Authentifikatoren in drei Stufen (AAL1-3). AAL2 ist für die meisten Geschäftsanwendungen geeignet.

SMS-Codes gelten als „eingeschränkter" Authentifikator. TOTP-Apps oder FIDO2-Schlüssel werden bevorzugt.

Mit MFA erlaubt NIST gelockerte Passwortanforderungen, aber schwache Passwörter bleiben ein Risiko.

Implementierungs-Checkliste

Entfernen Sie Komplexitätsanforderungen. Mindestlänge 12, Maximum mindestens 64. HIBP-Prüfung implementieren.

Speicherung auf Argon2id, bcrypt oder PBKDF2 aktualisieren. Transparentes Rehashing bei nächster Anmeldung.

Periodische Änderungen abschaffen. Breach-Erkennung und Login-Rate-Limiting implementieren.

MFA aktivieren mit Priorität FIDO2/WebAuthn oder TOTP.

  • Komplexitätsvorgaben entfernen
  • Mindestlänge 12, Maximum 64+
  • Gegen Breach-Listen prüfen (HIBP)
  • Argon2id / bcrypt / PBKDF2 verwenden
  • Periodische Rotation eliminieren
  • Login-Versuche begrenzen
  • MFA bereitstellen (FIDO2 > TOTP > SMS)
  • Klare Ablehnungsmeldungen

Nächste Schritte

Passwortgenerator

stöbern Sie in der vollständigen Leitfadensammlung

Was tun mit einem starken Passwort?

Ein starkes Passwort ist nur der erste Schritt. Um Ihre Konten wirklich zu schützen, brauchen Sie einen zuverlässigen Passwort-Manager, der Ihre Zugangsdaten speichert, automatisch ausfüllt und über alle Geräte synchronisiert.

Wir haben die beliebtesten Passwort-Manager 2026 verglichen, um Ihnen bei der richtigen Wahl zu helfen.

NordPass überzeugt durch XChaCha20-Verschlüsselung mit Zero-Knowledge, integrierte Passkey-Unterstützung und die intuitivste Oberfläche unter den Premium-Managern.

FunktionNordPass1PasswordBitwarden Free
Preis/Monat$1.49/mo$2.99/mo$0
GeräteUnbegrenztUnbegrenztUnbegrenzt
PasskeysJaJaNein
Leak-ScannerJaJaNein
2FA integriertJaJaJa
Sicheres TeilenJaJaBegrenzt
Auto-AusfüllenJaJaJa
NordPass Premium testenNordPass Family testen

Dies ist ein Affiliate-Link. Bei einem Kauf erhalte ich möglicherweise eine Provision — das hilft, die Seite kostenlos zu betreiben.

Leitfaden-Artikel

  • Phrase vs. Passwort: Entropie und Sicherheitsunterschiede
  • PCI DSS-Passwort-Anforderungen: Compliance-Richtlinien
  • Vorlage für Team-Passwort-Richtlinien: Leitfaden für Unternehmen
  • Leitfaden für den sicheren Passwort-Generator: Einstellungen und Best Practices

Rechtliches

  • Datenschutz
  • Nutzungsbedingungen
  • Kontakt
Generate Password To Me - Secure Password Generator Logo
Urheberrecht © GeneratePasswordTo.Me 2026
GitHubSitemap

TL;DR

generatepasswordto.me - Passwort Generator, sicheres Passwort. Passwörter online generieren, Passwortsicherheit. NIST 800-63B, PCI DSS. kryptografisch sichere Passwörter.