Sicherheitsgrundlagen
Was macht ein Passwort 2026 sicher?
15. Januar 2026 · 7 Min. Lesezeit

Die Passwortregeln haben sich verändert. Früher lag der Fokus auf Symbolen, Zwangswechseln und künstlich komplizierten Vorgaben. Moderne Angreifer interessiert aber nicht, ob noch ein Ausrufezeichen angehängt wurde. Relevant sind vor allem kurze, vorhersagbare oder mehrfach verwendete Passwörter.
Im Jahr 2026 beruhen sichere Passwörter vor allem auf Länge, Zufälligkeit, Einzigartigkeit und guter Kontohygiene. Genau darum geht es in diesem Artikel.
Länge schlägt künstliche Komplexität
Ein langes Passwort vergrößert den Suchraum für Angreifer massiv. Das ist viel wichtiger als kosmetische Regeln wie „eine Zahl, ein Sonderzeichen, ein Großbuchstabe“.
Ein zufälliges 16-stelliges Passwort ist deutlich stärker als ein kurzes Passwort mit vorhersehbaren Ersetzungen wie P@ssw0rd!.
Was moderne Empfehlungen sagen
Aktuelle Leitlinien bevorzugen lange und benutzbare Geheimnisse. NIST SP 800-63B-4, veröffentlicht 2025, fordert mindestens 15 Zeichen für zentral verifizierte Passwörter, die als einzelner Faktor verwendet werden, und sagt, dass Dienste keine Kompositionsregeln wie Pflicht-Sonderzeichen oder Großbuchstaben erzwingen sollen.
Bei MFA gibt es eine wichtige Nuance: NIST erlaubt kürzere Passwörter, wenn sie nur als Teil eines Multi-Faktor-Logins verwendet werden, verlangt aber trotzdem mindestens 8 Zeichen. Das ist eine Untergrenze für Systeme mit einem weiteren Faktor, kein gutes Ziel für vom Passwortmanager generierte Passwörter. Wenn der Manager 16, 20 oder mehr zufällige Zeichen erzeugen kann, wählen Sie den längeren Wert.
Das ist ein deutlicher Bruch mit der alten Idee, dass ein Passwort durch viele Zeichentypen sicher wird. Länge, Blocklisten, Begrenzung von Login-Versuchen und sichere Speicherung sind wichtiger.
Online-Raten vs. Offline-Cracking
Ein sicheres Passwort muss zwei Situationen überstehen. Beim Online-Angriff versucht der Angreifer, sich direkt beim Dienst anzumelden. Rate Limits, MFA, Betrugserkennung und Kontosperren können ihn bremsen.
Beim Offline-Angriff hat der Angreifer eine Datenbank mit Passwort-Hashes gestohlen und kann ohne Kontakt zum Dienst raten. Das ist gefährlicher. Dann zählen Passwortstärke und die Qualität des Passwort-Hashings besonders stark.
So sieht ein starkes Passwort in der Praxis aus
- Für jedes Konto ein eigenes Passwort verwenden.
- Zufällige Passwörter vom Passwortmanager erzeugen lassen.
- Für merkbare Geheimnisse 5 oder 6 zufällige Wörter nutzen.
- MFA für E-Mail, Banking und Cloud aktivieren.
- Regelmäßig prüfen, ob wichtige Passwörter in bekannten Leaks auftauchen — mit unserem Datenleck-Test.
Was Sie vermeiden sollten
- Wörterbuchwörter mit kleinen Änderungen
- Geburtstage, Namen, Haustiere und Tastaturmuster
- Dasselbe Passwort für mehrere Dienste
- Kurze Passwörter, die nur wegen Symbolen stark wirken
Auch Benutzernamen brauchen Hygiene
Das Passwort ist nur eine Hälfte des Logins. Ein wiederverwendeter Benutzername erleichtert Kontoverknüpfung, Credential Stuffing, Nachahmung und gezieltes Phishing, besonders wenn er echten Namen, Geburtsjahr, Firma oder gewohnten Handle enthält.
Nutzen Sie Ihren echten Namen dort, wo Nachvollziehbarkeit wichtig oder nötig ist, etwa bei Arbeit, professionellen Diensten, Banking oder Behörden. Für Foren, Spiele, Newsletter, Shopping-Konten und datenschutzsensible Dienste kann ein separater neutraler Benutzername einfaches Tracking über mehrere Seiten hinweg reduzieren.
Sie können mit unserem Generator für zufällige Benutzernamen einen besonders neutralen Handle erzeugen, wenn Datenschutz im Vordergrund steht, oder mit dem Generator für zusammengesetzte Benutzernamen einen besser lesbaren Adjektiv-Nomen-Stil wählen, wenn der Name merkbar bleiben soll.
Speichern Sie keine Wiederherstellungsinformation im Benutzernamen selbst. Vermeiden Sie Geburtsjahre, Arbeitgebernamen, Orte, Telefonnummernfragmente und denselben öffentlichen Handle, den Sie in sozialen Medien nutzen. Wenn der Dienst auch E-Mail-Aliasse erlaubt, kombinieren Sie den neutralen Benutzernamen mit einem Alias, damit beide Seiten des Logins weniger wiederverwendbar sind.
Empfohlene Längen
Für normale Konten im Passwortmanager sind 16 bis 20 zufällige Zeichen ein starker Standard. Für hochwertige Konten wie E-Mail oder Banking sind 20 oder mehr Zeichen sinnvoll.
Für ein Master-Passwort oder ein Passwort zum Merken bieten 5 bis 7 zufällige Wörter meist das beste Verhältnis aus Nutzbarkeit und Sicherheit.
Generierte Passwörter vs. merkbare Passphrases
Für Konten im Passwortmanager sollten Sie generierte Zufallszeichenketten verwenden. Sie müssen sie nicht merken, also müssen sie auch nicht menschlich aussehen.
Für die wenigen Geheimnisse, die Sie wirklich auswendig können müssen, eignet sich eine Passphrase aus zufällig ausgewählten Wörtern. Die Wörter sollten zufällig gezogen werden, nicht aus einem Satz, Zitat, Liedtext oder einer persönlichen Geschichte stammen.
Wenn Sie der automatischen Zufälligkeit im Browser misstrauen, können Sie eine merkbare Passphrase trotzdem nachvollziehbar aufbauen: echte Würfel werfen und jedes Wort mit einer gedruckten Liste nachschlagen. Alternativ nutzen Sie unseren Diceware-Handroller, um jeden fünfstelligen Wurf selbst einzutippen—alles bleibt lokal im Browser, aber jeder Wurf stammt von Ihnen.
Verwenden Sie einen Passwort-Manager
Für die meisten Menschen ist ein Passwort-Manager der praktische Mittelpunkt guter Passwortsicherheit. Er ermöglicht für jedes Konto ein anderes zufälliges Passwort, beendet das Erfinden von Mustern und macht Wiederverwendung deutlich leichter vermeidbar.
Wenn Sie ohnehin in einem Ökosystem arbeiten, sind eingebaute Manager oft der einfachste Einstieg: Apple Passwords oder iCloud Keychain für Apple-Nutzer, Google Password Manager für Chrome und Android. Einfachheit zählt, denn der Manager, den Sie wirklich nutzen, ist besser als das perfekte Werkzeug, das Sie aufgeben.
Wenn Sie bessere Freigaben, plattformübergreifende Nutzung, Familien- oder Teamfunktionen oder mehr Kontrolle brauchen, kommen dedizierte Manager wie Bitwarden, 1Password, Proton Pass, Dashlane, Keeper oder der lokale/Open-Source-Ansatz KeePassXC in Frage. Die richtige Wahl hängt davon ab, ob Komfort, Teilen, Self-Hosting, Offline-Speicherung oder Unternehmensverwaltung wichtiger ist.
Eine Einschränkung bleibt: Passwort-Manager sind hochwertige Sicherheitssoftware und verdienen deshalb genaue Prüfung. In Zero Knowledge (About) Encryption analysieren Scarlata, Torrisi, Backendal und Kenneth G. Paterson mehrere Cloud-Passwortmanager unter einem bösartigen-Server-Modell und finden Angriffe auf Designdetails wie Integrität, Metadatenbindung, Sharing und Wiederherstellungsabläufe. Die Forschenden sagen ausdrücklich, dass man Passwort-Manager nicht aufgeben soll; die Lehre ist, den Manager aktuell zu halten, MFA oder Passkeys für das Managerkonto zu aktivieren, ein starkes Master-Passwort zu verwenden und Anbieter zu bevorzugen, die transparent auf kryptographische Audits reagieren.
Wann sollte man ein Passwort ändern?
Regelmäßige Pflichtwechsel sind weitgehend überholt. Wechsel alle 30, 60 oder 90 Tage führen oft zu schwächeren Mustern wie Sommer2026! und danach Herbst2026!.
Ändern Sie ein Passwort, wenn es einen Grund gibt: Es wurde wiederverwendet, taucht in einem Leak auf, wurde geteilt, auf einer Phishing-Seite eingegeben, könnte durch Malware erfasst worden sein oder der Dienst meldet einen Vorfall.
Passwörter sind nicht phishing-resistent
Ein langes zufälliges Passwort bleibt ein Passwort. Wenn Sie es auf einer überzeugenden Phishing-Seite eingeben, kann der Angreifer es abfangen. Deshalb sollten wichtige Konten MFA nutzen und, wo möglich, Passkeys oder Hardware-Sicherheitsschlüssel.
Ein starkes Passwort ist eine Schicht. Es sollte einzigartig und schwer zu erraten sein, aber nicht der einzige Schutz für E-Mail, Banking, Cloud-Speicher, Admin-Oberflächen oder Entwicklerkonten.
Die Faustregel für 2026
Versuchen Sie nicht, Angreifer mit „kreativen“ Mustern auszutricksen. Verwenden Sie längere, einzigartige Geheimnisse ohne erratbare Struktur und speichern Sie sie im Passwortmanager.
Die einfachste Regel lautet heute: generierte Zufallspasswörter für gespeicherte Konten, zufällige Wort-Passphrases für die wenigen gemerkten Geheimnisse, und alles Wiederverwendete oder Geleakte ersetzen.
Ein stärkeres Passwort erzeugen
Nutzen Sie unseren Generator, um ein langes zufälliges Passwort nach modernen Sicherheitsstandards zu erstellen.
Sicheres Passwort erzeugen