Die meisten Kontoübernahmen entstehen nicht dadurch, dass jemand ein starkes Passwort „knackt” — sondern durch wiederverwendete, kurze oder geleakte Passwörter. Hier, was ein Passwort wirklich stark macht, und ein realistischer Weg, sie zu verwalten.
Länge schlägt Komplexität
Die Stärke eines zufälligen Passworts kommt aus seiner Entropie — grob: wie viele Möglichkeiten ein Angreifer durchprobieren muss. Entropie wächst mit der Länge weit schneller als mit ausgefallenen Zeichenregeln. Ein 20-Zeichen-Passwort ist dramatisch schwerer per Brute Force zu knacken als ein 8-Zeichen-Passwort, selbst wenn das kürzere !@#$ enthält.
Erzwungene Komplexitätsregeln („muss Großbuchstaben und Symbol enthalten”) gehen oft nach hinten los: Sie drängen zu vorhersehbaren Mustern wie Password1!. Bevorzuge lang und zufällig statt kurz und trickreich. Ein Passwort-Generator liefert sofort lange, hochentropische Zeichenfolgen.
Passphrasen: stark und einprägsam
Für die wenigen Passwörter, die du wirklich aus dem Gedächtnis tippen musst (Geräte-Login, Master-Passwort des Passwort-Managers), ist eine Passphrase aus vier oder mehr zufälligen Wörtern zugleich stark und einprägsam — weit besser als eine kurze „komplexe” Zeichenfolge. Das Schlüsselwort ist zufällig: wähle Wörter, die du nicht nach Bedeutung ausgesucht hast.
Die zwei wichtigsten Regeln
- Passwörter nie wiederverwenden. Wird eine Seite geleakt, probieren Angreifer dieses E-Mail/Passwort-Paar überall (Credential Stuffing). Ein eigenes Passwort pro Seite begrenzt den Schaden.
- Nutze einen Passwort-Manager. Du kannst dir keine 100 eigenen 20-Zeichen-Passwörter merken — und solltest es nicht versuchen. Ein Manager erzeugt, speichert und füllt sie aus. Du merkst dir nur eine starke Master-Passphrase.
Zwei-Faktor-Authentifizierung (2FA) ergänzen
Selbst ein perfektes Passwort kann gephisht oder geleakt werden. 2FA fügt einen zweiten Schritt hinzu — einen Code aus einer Authenticator-App oder einen Hardware-Schlüssel — sodass ein gestohlenes Passwort allein nicht reicht. Aktiviere es für E-Mail, Banking und alles Wichtige. App- oder Hardware-2FA ist stärker als SMS.
Kurze Checkliste
- Lang (16+ Zeichen) und zufällig für Site-Logins → einen Generator nutzen.
- Eine einprägsame zufällige Passphrase als Master-Passwort.
- Einzigartig pro Seite, gespeichert in einem Passwort-Manager.
- 2FA bei wichtigen Konten.
- Passwörter nie in Klartext-Notizen, Tabellen oder Chats speichern.
Erzeuge jetzt ein starkes, zufälliges Passwort mit dem kostenlosen Passwort-Generator — er nutzt den kryptografischen Zufall deines Browsers und lädt oder speichert nichts.