DE
Zurück zum Blog

Ein sicheres Passwort erstellen (so, wie es richtig geht)

Um ein sicheres Passwort zu erstellen, machen Sie es lang und zufällig: Streben Sie mindestens 16 Zeichen an, die von einer kryptografisch sicheren Quelle erzeugt werden, und verwenden Sie für jedes Konto ein anderes. Länge und Unvorhersehbarkeit sind das, was Angreifer tatsächlich aufhält – nicht wie viele Ausrufezeichen Sie hineinquetschen. Am schnellsten kommen Sie zu einem, indem Sie es von einem Tool erstellen lassen, etwa Andevs Passwort-Generator, der Passwörter direkt in Ihrem Browser erzeugt und sie nie irgendwohin sendet.

Diagramm, das die Schwierigkeit des Passwortknackens vergleicht: ein kurzes komplexes Passwort gegenüber einem längeren zufälligen, und zeigt, dass Länge die Zahl der Rateversuche weit stärker erhöht als zusätzliche Sonderzeichen

Was ein Passwort tatsächlich sicher macht

Ein Passwort ist sicher, wenn es schwer zu erraten und schwer per Brute Force zu knacken ist. Zwei Dinge bestimmen das:

  • Länge. Jedes zusätzliche Zeichen vervielfacht die Anzahl möglicher Kombinationen, die ein Angreifer durchprobieren muss. Diese Vervielfachung ist exponentiell, sodass jedes Zeichen, das Sie hinzufügen, mehr zählt als das vorige.
  • Zufälligkeit. Die Zeichen müssen wirklich unvorhersehbar sein. Ein Passwort, das auf einem Wort, einem Namen, einem Geburtsdatum oder einem Tastaturmuster beruht, ist für Software leicht zu erraten – egal, wie lang es aussieht.

Einfach gesagt: Ein langes, zufälliges Passwort ist sicher. Ein kurzes, „cleveres“ nicht. Alles andere – welche Sonderzeichen Sie verwenden, wohin Sie einen Großbuchstaben setzen – ist neben diesen beiden Faktoren ein Rundungsfehler.

Der Mythos Länge vs. Komplexität

Jahrelang lautete der Standardrat „verwenden Sie ein komplexes Passwort“: Mischen Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Dieser Rat brachte Passwörter wie P@ssw0rd! hervor – die komplex aussehen, aber in Wahrheit schwach sind, weil Angreifer genau wissen, welche Ersetzungen Menschen vornehmen (a wird zu @, o wird zu 0, ein Ausrufezeichen kommt ans Ende).

Die Mathematik erzählt eine klarere Geschichte. Ein zusätzliches Zeichen multipliziert die Anzahl der Rateversuche, die ein Angreifer braucht, mit der Größe Ihres Zeichensatzes. Ein Sonderzeichen hinzuzufügen erweitert diesen Satz nur ein wenig. Ein längeres Passwort schlägt daher fast immer ein kürzeres „komplexes“ – wie das obige Diagramm zeigt, treibt die Länge die Schwierigkeit weit schneller in die Höhe, als es das Einstreuen von Satzzeichen tut.

Genau deshalb kann eine Passphrase aus mehreren zufälligen Wörtern sowohl sicher als auch einprägsam sein. Eine Aneinanderreihung unzusammenhängender, zufällig gewählter Wörter ist lang, schwer zu erraten und leichter zu tippen als eine Wand aus Sonderzeichen. Das Schlüsselwort ist zufällig: Eine Phrase, die Sie gewählt haben, weil sie Ihnen etwas bedeutet, ist genau die Art von Dingen, die die Wortliste eines Angreifers bereits enthält.

Komplexitätsregeln haben weiterhin ihre Berechtigung

Viele Seiten erzwingen eine Mischung verschiedener Zeichentypen, und ein generiertes Passwort erfüllt diese Regeln ohnehin. Es geht nicht darum, Sonderzeichen zu vermeiden – sondern darum, sich nicht länger auf sie als Quelle Ihrer Sicherheit zu verlassen. Bringen Sie zuerst Länge und Zufälligkeit in Ordnung, dann ergibt sich die Komplexität von selbst.

Warum „generieren“ besser ist als „sich ausdenken“

Menschen sind miserable Zufallszahlengeneratoren. Wir greifen zu Wörtern, Daten, Haustiernamen und Mustern, und wir wiederholen uns über verschiedene Konten hinweg. Angreifer nutzen genau diese Gewohnheiten aus.

Ein guter Generator nimmt das Rätselraten ab, indem er aus einer kryptografisch sicheren Zufallsquelle schöpft. In einem Browser ist diese Quelle die Web Crypto API – konkret crypto.getRandomValues() –, die darauf ausgelegt ist, unvorhersehbar zu sein. Das ist etwas ganz anderes als die simplen „Zufallsfunktionen“, die etwa zum Mischen einer Playlist verwendet werden und vorhersehbar genug sind, dass man sie niemals für Sicherheit einsetzen sollte.

Andevs Passwort-Generator baut genau darauf auf. Er erzeugt Passwörter lokal, in Ihrem Browser, mithilfe der Web Crypto API. Weil die Arbeit auf Ihrem Gerät geschieht, wird das erzeugte Passwort nie irgendwohin gesendet – es gibt keinen Server, der es sieht, protokolliert oder offenlegen könnte. Sie erhalten ein sicheres Passwort, ohne einem Dritten das Ergebnis anzuvertrauen.

Eine praktische Checkliste

Befolgen Sie diese Punkte, und Sie haben die Dinge abgedeckt, die wirklich zählen:

  • Setzen Sie auf Länge. Verwenden Sie mindestens 16 Zeichen. Mehr ist besser, und der Aufwand für Sie geht gegen null, sobald ein Generator und ein Passwortmanager das Tippen übernehmen.
  • Machen Sie es zufällig. Erzeugen Sie es aus einer kryptografisch sicheren Quelle, statt sich selbst eines auszudenken.
  • Stützen Sie es nie auf persönliche Daten. Keine Namen, Geburtstage, Adressen, Lieblingsmannschaften oder sonst etwas, das jemand über Sie herausfinden oder erraten könnte.
  • Verwenden Sie pro Seite ein eindeutiges Passwort. Ein Konto pro Passwort. Wird eine einzelne Seite kompromittiert, bleibt der Schaden dort.
  • Verwenden Sie Passwörter niemals mehrfach. Mehrfachnutzung ist der Weg, auf dem aus einem geleakten Passwort viele kompromittierte Konten werden – per „Credential Stuffing“, bei dem Angreifer geleakte Anmeldedaten auf anderen Seiten durchprobieren.
  • Speichern Sie sie in einem Passwortmanager. Sie müssen sich keine Dutzende 16-stelliger Zufallszeichenketten merken – das ist die Aufgabe des Managers. Er füllt sie zudem für Sie aus, sodass Länge keine Unbequemlichkeit mehr ist.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA). Ein sicheres Passwort ist Ihre erste Verteidigungslinie; 2FA ist ein zweites Schloss, das auch dann hält, wenn das Passwort irgendwie offengelegt wird.

So erstellen Sie eines in wenigen Sekunden

  1. Öffnen Sie den Passwort-Generator.
  2. Stellen Sie die Länge auf 16 oder höher ein (länger für Konten, die Ihnen wirklich wichtig sind).
  3. Wählen Sie die gewünschten Zeichentypen – die meisten Seiten sind mit einer vollen Mischung zufrieden.
  4. Kopieren Sie das erzeugte Passwort in Ihren Passwortmanager, während Sie das Konto anlegen oder aktualisieren.
  5. Aktivieren Sie 2FA überall dort, wo das Konto es anbietet.

Das ist der gesamte Arbeitsablauf. Der Generator kümmert sich um die Zufälligkeit, der Passwortmanager um das Merken, und Sie müssen nie wieder ein Passwort erfinden oder wiederverwenden.

Eine Anmerkung zu verwandten Tools

Passwörter und Hashing werden leicht verwechselt, daher lohnt sich die Klarstellung: Ein Passwort ist ein Geheimnis, das Sie behalten und zum Anmelden wiederverwenden, während ein Hash ein einseitiger Fingerabdruck von Daten ist, der oft dazu dient, die Integrität zu überprüfen, statt Sie zu authentifizieren. Wenn Sie eine Prüfsumme einer Datei oder Zeichenkette erzeugen müssen, ist das ein Fall für einen Hash-Generator – kein Ersatz für ein sicheres, eindeutiges Passwort. Fügen Sie Ihre Passwörter nicht in ein Hashing-Tool ein in der Erwartung, sie damit sicher speicherbar zu machen; darum geht es beim Hashing eines Passworts für eine Konto-Anmeldung nicht.

Das Wichtigste in Kürze

  • Länge und Zufälligkeit gewinnen. Sie sind die einzigen beiden Faktoren, die maßgeblich darüber entscheiden, wie schwer ein Passwort zu knacken ist.
  • Der Komplexitätsmythos ist nicht mehr als das. Eine lange zufällige Passphrase schlägt ein kurzes „komplexes“ Passwort wie P@ssw0rd! jedes Mal.
  • Lassen Sie es von einem sicheren Tool erzeugen. Nutzen Sie eine Quelle, die auf crypto.getRandomValues() der Web Crypto API beruht, nicht eine erratbare oder von Menschen gewählte Zeichenkette.
  • Pro Seite ein eindeutiges Passwort, jedes Mal. Niemals wiederverwenden, niemals auf persönliche Daten stützen und immer in einem Passwortmanager speichern.
  • Fügen Sie ein zweites Schloss hinzu. Aktivieren Sie die Zwei-Faktor-Authentifizierung, damit ein einzelnes offengelegtes Passwort nicht das Ende bedeutet.

Machen Sie Ihr nächstes Passwort zu einem sicheren

Der Passwort-Generator ist kostenlos, benötigt keine Anmeldung und läuft vollständig in Ihrem Browser – Ihr Passwort wird lokal mit der Web Crypto API erstellt und verlässt nie Ihr Gerät. Erzeugen Sie mit einem Klick ein 16-stelliges zufälliges Passwort, übertragen Sie es in Ihren Passwortmanager und entdecken Sie die übrigen privaten Browser-Tools von Andev für weitere Sicherheitsaufgaben, die auf dieselbe private Weise erledigt werden.