Passwortsicherheit 2025
Trotz jahrzehntelanger Sicherheitshinweise bleiben Passwörter die größte Schwachstelle. Der Verizon Data Breach Report 2024 stellte fest, dass 81 % der Hacking-Vorfälle gestohlene oder schwache Passwörter involvierten. Die häufigsten Passwörter sind immer noch „123456", „password" und „qwerty".
Das Problem ist nicht Unwissenheit. Menschen wissen, dass sie starke Passwörter verwenden sollten. Das Problem ist, dass das menschliche Gehirn schlecht darin ist, wirklich zufällige Passwörter zu erstellen und zu merken.
Was ein Passwort sicher macht
1. Länge
Jedes zusätzliche Zeichen multipliziert die möglichen Kombinationen exponentiell:
| Länge | Mögliche Kombinationen | Brute-Force-Dauer (10 Mrd. Versuche/Sek.) | |---|---|---| | 8 Zeichen | 6,6 Billiarden | 7,6 Tage | | 10 Zeichen | 59,9 Trillionen | 190 Jahre | | 12 Zeichen | 540 Trilliarden | 17 Millionen Jahre | | 16 Zeichen | 44 Quintilliarden | 1,4 Billionen Jahre |
Mindestempfehlung: 12 Zeichen für Standardkonten, 16+ für hochwertige Konten (E-Mail, Banking, Cloud-Dienste).
2. Zufälligkeit
Ein Passwort muss von einem kryptographisch sicheren Zufallszahlengenerator erzeugt werden, nicht von einem Menschen. Menschen sind schlechte Zufallsgeneratoren. Wir:
- Wählen Wörter aus einem kleinen mentalen Wortschatz
- Fügen vorhersagbare Ersetzungen hinzu (a→@, e→3, o→0)
- Hängen Zahlen an das Ende an (name2024, passwort1!)
- Verwenden Tastaturmuster (qwertz, asdfgh)
- Basieren Passwörter auf persönlichen Informationen
Angriffswerkzeuge wie Hashcat enthalten Regelsätze, die speziell zur Ausnutzung dieser menschlichen Muster entwickelt wurden.
3. Einzigartigkeit
Jedes Konto muss ein anderes Passwort haben. Wenn Sie Passwörter wiederverwenden und ein Dienst gehackt wird, verwenden Angreifer Credential Stuffing — sie probieren Ihre geleakte E-Mail/Passwort-Kombination bei tausenden anderen Diensten.
Tool verwenden
PureXio Passwort-Generator — Kryptographisch sicher, lokal
Passwort-Generator verwenden
-
Generator öffnen. Verwenden Sie einen, der lokal in Ihrem Browser läuft — nicht einen, der Passwörter auf einem Server generiert.
-
Länge einstellen. 16 Zeichen ist ideal. Verwenden Sie das Maximum, das das System erlaubt.
-
Alle Zeichentypen einschließen. Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen. Das maximiert die Entropie pro Zeichen.
-
Generieren und kopieren. Nicht das Ergebnis modifizieren. Direkt in den Passwort-Manager kopieren.
Verwenden Sie niemals einen Online-Passwort-Generator, der auf einem Server verarbeitet. PureXio generiert Passwörter vollständig in Ihrem Browser mit der Web Crypto API — nichts wird irgendwohin gesendet.
Passwort-Manager: Das fehlende Puzzle-Teil
Zufällige Passwörter sind nur praktikabel, wenn Sie sie nicht merken müssen. Hier kommen Passwort-Manager ins Spiel:
Empfohlene Optionen:
- Bitwarden — Open Source, kostenlos, plattformübergreifend, geprüft
- 1Password — Exzellente Oberfläche, Familienpläne, Reisemodus
- KeePass — Vollständig offline, Open Source, maximale Kontrolle
Ihr Master-Passwort ist das eine Passwort, das Sie sich merken. Verwenden Sie eine Passphrase — vier oder mehr zufällige Wörter.
Multi-Faktor-Authentifizierung (MFA)
Selbst mit einem perfekten Passwort aktivieren Sie MFA überall, wo es verfügbar ist.
Prioritätsliste:
- E-Mail-Konten (Ihr E-Mail-Konto ist der Wiederherstellungsmechanismus für alles andere)
- Banking und Finanzdienste
- Cloud-Speicher
- Social-Media-Konten
- Entwicklerkonten (GitHub, AWS)
Verwenden Sie eine Authenticator-App (Authy, Google Authenticator) statt SMS-basierter MFA. SMS kann durch SIM-Swapping-Angriffe abgefangen werden.
Häufige Passwort-Fehler
Überall dasselbe Passwort verwenden. Die einzelne gefährlichste Praxis.
Eine Zahl an ein altes Passwort anhängen. „MeinPasswort1" zu „MeinPasswort2" zu ändern hilft nicht. Angreifer prüfen sequentielle Variationen automatisch.
Kompromittierte Passwörter nicht ändern. Prüfen Sie haveibeenpwned.com regelmäßig. Wenn Ihre E-Mail in einem Datenleck auftaucht, ändern Sie sofort das Passwort.
Passwortsicherheit für Entwickler
Passwörter mit bcrypt, scrypt oder Argon2 hashen. Niemals Klartext-Passwörter speichern. Niemals MD5 oder SHA-256 allein verwenden.
Mindestlänge erzwingen, nicht Komplexitätsregeln. NIST empfiehlt gegen verpflichtende Komplexitätsregeln. Stattdessen: Minimum 8 Zeichen (12 bevorzugt) und Prüfung gegen bekannte geleakte Passwörter.
Rate Limiting implementieren. Konten nach 5–10 Fehlversuchen sperren.
Tool verwenden
PureXio Hash-Generator — SHA-256, SHA-512, MD5, bcrypt
Die Zukunft: Passkeys
Passkeys (FIDO2/WebAuthn) ersetzen Passwörter für viele Dienste. Statt ein Passwort einzutippen, authentifizieren Sie sich mit der Biometrie Ihres Geräts. Der private Schlüssel verlässt niemals Ihr Gerät, was Phishing unmöglich macht.
Google, Apple und Microsoft haben sich alle zu Passkey-Support verpflichtet. Große Dienste (GitHub, Google, PayPal) unterstützen sie bereits.
Häufig gestellte Fragen
Wie oft sollte ich Passwörter ändern?
Nur bei Kompromittierung. NIST empfiehlt keinen regelmäßigen Passwortwechsel mehr — er führt zu schwächeren Passwörtern.
Sind Passphrasen besser als zufällige Zeichen?
Beide können sicher sein, wenn sie lang genug sind. Eine 4-Wort-Passphrase hat ca. 51 Bit Entropie — weniger als ein 12-Zeichen-Zufallsstring (78 Bit), aber ausreichend für die meisten Online-Konten.
Zusammenfassung
Passwortsicherheit ist unkompliziert: Zufällige Passwörter mit 12+ Zeichen generieren, in einem Passwort-Manager speichern, nie über Dienste wiederverwenden und überall MFA aktivieren.
Tool verwenden
Sicheres Passwort generieren — Kostenlos, privat