Auf einen Blick: Starke Passwörter sind lang, einzigartig und zufällig. Alles andere ist verhandelbar – diese drei Eigenschaften nicht. Unser Passwort-Generator hilft dir dabei.
Warum Passwörter so oft scheitern
Angreifer denken nicht so wie wir. Sie nutzen keine menschliche Intuition – sie verwenden automatisierte Software, die in Sekunden Millionen von Kombinationen testet:
- Brute-Force-Angriffe: Jede mögliche Zeichenkombination systematisch durchprobieren
- Wörterbuchangriffe: Millionen bekannte Passwörter aus Datenlecks durchprobieren
- Credential-Stuffing: Gestohlene Passwörter aus einem Datenleck bei anderen Diensten testen
Das Resultat: Mutti1968, Hund#1234 oder Passwort! sind in Sekunden bis Minuten geknackt – egal welche Sonderzeichen du hinzufügst.
Die drei Grundregeln
Sicherheitsorganisationen wie NIST und das BSI sind sich einig:
1. Länge schlägt Komplexität
| Passwort | Länge | Knackzeit (geschätzt) |
|---|---|---|
Passwort1! | 10 Zeichen | Sekunden |
%kT9#mR2 | 8 Zeichen | Minuten bis Stunden |
HundKatzeVogelBlume | 20 Zeichen, nur Buchstaben | Jahrtausende |
xK4#mW9!qR2@nL5 | 16 Zeichen, alle Typen | Milliarden Jahre |
💡 Faustregel: Jedes zusätzliche Zeichen multipliziert die Knackzeit. Länge ist der mächtigste Hebel.
2. Einzigartigkeit ist Pflicht
Wer dasselbe Passwort auf mehreren Seiten nutzt, riskiert eine Kettenreaktion: Ein Datenleck bei einem unwichtigen Dienst (z. B. einem alten Online-Shop) gibt Angreifern das Passwort für E-Mail, Banking, alles.
⚠️ Wichtig: Prüfe jetzt auf haveibeenpwned.com, ob deine E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist.
3. Zufälligkeit – keine Muster
Unser Gehirn ist schlecht darin, wirklich Zufälliges zu erzeugen. Wir greifen zu Mustern, die wir kennen. Angreifer kennen diese Muster auch:
- Jahresangaben am Ende:
Ergebnis2024!→ vorhersehbar - Leetspeak:
P@ssw0rd→ steht in Wörterbüchern - Keyboard-Patterns:
qwerty123,asdf!@#$→ erste Wörterbuchangriff-Kette
Wahre Zufälligkeit erzeugt ein Computer, nicht ein Mensch.
Passphrasen: Sicher und merkbar zugleich
Moderne Richtlinien (NIST SP 800-63B, BSI) empfehlen Passphrasen statt zufälliger Zeichensalate – besonders für Passwörter, die man sich merken muss (z. B. das Master-Passwort).
Prinzip: 4-5 zufällige, nicht zusammenhängende Wörter
Lampe-Fahrrad-Kamera-Wolke-2026
Gurke_Stern_Palme_Nadel
Turm!Apfel*Brücke*Wolke
Warum das funktioniert:
- Lang: 25–35 Zeichen
- Merkbar durch Bilder im Kopf
- Brute-Force-resistent durch schiere Länge
⚠️ Wichtig: Die Wörter müssen wirklich zufällig sein. Kein Lieblingstier, keine Lieblingsband, kein Geburtsort. Nutze einen Würfel oder einen Passwortgenerator.
Diceware: Der wissenschaftliche Weg zu Passphrasen
Diceware ist eine etablierte Methode: Ein Würfel bestimmt aus einer standardisierten Wortliste zufällige Wörter – ohne Computer, ohne Vertrauen in Software.
Ein Passwort-Generator auf unserer Seite macht das für dich: Jetzt ausprobieren →
Was du unbedingt vermeiden musst
| Schlechte Praxis | Warum gefährlich |
|---|---|
| Namen von Haustieren, Familienmitgliedern | Öffentlich recherchierbar (Social Media) |
| Geburtsdaten | Klassisches Wörterbuchangriffs-Ziel |
Einfache Muster: 12345678, abcdefgh | Erste Kandidaten in jedem Angriff |
Passwort + Sonderzeichen: Hund! | Nicht sicherer als Hund gegen moderne Angriffe |
| Passwort wiederverwenden | Ein Leak = alle Konten kompromittiert |
Passwort nach Ablautplan ändern: Pass1, Pass2… | Vorhersehbar, schützt nicht |
Aktuelle NIST-Empfehlungen 2025 (SP 800-63B)
Die neuen NIST-Richtlinien haben einige verbreitete Mythen gekippt:
| Alter Mythos | Neue Empfehlung |
|---|---|
| Regelmäßige Passwort-Wechsel sind sicher | Nur bei Verdacht auf Kompromittierung wechseln |
| Sonderzeichen erzwingen macht sicherer | Sonderzeichen erlauben statt erzwingen |
| Maximale Länge bei 8-12 Zeichen | Mindestens 8, Obergrenze 64+ empfohlen |
| Komplexitätsregeln schützen | Länge und Einzigartigkeit sind entscheidend |
Die praktische Strategie für den Alltag
Du musst dir keine hundert Passwörter merken. Das ist der Irrtum, der viele davon abhält, sichere Passwörter zu nutzen.
Der Plan:
- Passwortmanager einrichten → alle Passwörter werden automatisch generiert und gespeichert
- Ein starkes Master-Passwort → Passphrase aus 4-5 Wörtern, merken und aufschreiben
- 2FA überall aktivieren → zweite Schutzebene für kritische Konten
- Schritt für Schritt migrieren → bei jedem Login schwache Passwörter durch generierte ersetzen
💡 Tipp: Du musst nicht alles auf einmal ändern. Fang bei E-Mail und Banking an – diese Konten sind die wertvollsten Ziele für Angreifer.
Unser Passwort-Generator
Nicht sicher, was du generieren sollst? Nutze unseren kostenlosen Passwort-Generator:
- Länge 8–64 Zeichen einstellbar
- Zeichensätze wählbar (Buchstaben, Zahlen, Sonderzeichen)
- Passphrase-Modus verfügbar
- Stärke-Anzeige mit Entropie-Berechnung
- Läuft 100% lokal in deinem Browser – kein Passwort verlässt dein Gerät
Fazit: Lang, einzigartig, zufällig
Starke Passwörter sind keine Raketenwissenschaft. Die drei Regeln – Länge, Einzigartigkeit, Zufälligkeit – decken in Kombination mit einem Passwortmanager und 2FA 95 % aller Angriffsvektoren ab.
Das schwächste Glied in der Kette ist meistens das Master-Passwort – investiere dort die meiste Mühe. Für alles andere macht der Generator die Arbeit.
Was du in diesem Artikel lernst
- Die wichtigsten Grundlagen zum Thema
- Konkrete Handlungsempfehlungen fuer die Praxis
- Vergleiche und Bewertungen relevanter Loesungen
- Haefige Fehler und wie du sie vermeidest