Illustration eines Laborexperiments auf blauem Hintergrund. Ein Erlenmeyerkolben mit blauer Flüssigkeit wird über einer kleinen Flamme erhitzt und ist über einen Schlauch mit einem Reagenzglas verbunden, das weiße Tabletten enthält. Über jedem Gefäß befindet sich ein Passwortfeld mit Sternchen — der Kolben zeigt blaue Sternchen und das Reagenzglas grüne Sternchen — was auf Passworttransformation, Verschlüsselung oder Sicherheitsverarbeitung hindeutet.

Jahrzehntelang lautete die Antwort auf „Wie erstelle ich ein starkes Passwort?": Fügen Sie einen Großbuchstaben hinzu, setzen Sie ein Symbol ans Ende, hängen Sie eine Zahl an. Das Problem ist, dass Menschen unter Regeln vorhersehbar sind. Der Großbuchstabe steht am Anfang. Symbol und Zahl stehen am Ende. Cracking-Tools wissen das, weil sie mit Milliarden echter Passwörter von Menschen trainiert wurden, die genau demselben Instinkt folgten.

Sowohl das menschliche Gedächtnis als auch Cracking-Algorithmen arbeiten mit Mustern. Das ist der Konflikt, und er verschwindet nicht, indem Sie @ an den Namen Ihres Hundes anhängen. Dieser Leitfaden erklärt die Mechanismen, die einzige Ausnahme und wie ein nachhaltiges Zugangsdatensystem tatsächlich aussieht.


Wichtigste Erkenntnisse

  • Je einfacher ein Passwort zu merken ist, desto einfacher ist es zu knacken. Merkbarkeit und Sicherheit ziehen in entgegengesetzte Richtungen. Diese Spannung ist strukturell bedingt: Sie ergibt sich aus der Funktionsweise des menschlichen Gedächtnisses.
  • Symbolersetzungen und Komplexitätsregeln erhöhen die Sicherheit nicht wesentlich. Moderne Passwort-Cracking-Algorithmen sind speziell auf diese vorhersehbaren menschlichen Muster trainiert, sodass Angreifer sie mit optimierten Brute-Force-Angriffen umgehen können.
  • Die aktuellen NIST SP 800-63B-Richtlinien streichen offiziell verpflichtende Komplexitätsregeln und 90-Tage-Rotationen und legen ein neues empfohlenes Minimum von 15 Zeichen fest.
  • Der einzige Passworttyp, der sowohl merkbar als auch kryptografisch stark ist, ist eine Diceware-Passphrase: zufällige Wörter, die durch Würfel gewählt werden, nicht von Ihnen.
  • Sie müssen sich genau ein Passwort merken: die Master-Passphrase, die Ihren Passwort-Manager entsperrt. Alle anderen Zugangsdaten sollten zufällig generiert und im Tresor gespeichert werden.

Was ist ein starkes Passwort

Ein starkes Passwort ist ein Zugangsdatum, das sowohl automatisierten Rateversuchen als auch gezielten Angriffen standhält. NIST SP 800-63B legt das Minimum auf 8 Zeichen fest, empfiehlt Systemen, bis zu 64 Zeichen zu akzeptieren, und streicht verpflichtende Komplexitätsregeln vollständig zugunsten von Länge und Einzigartigkeit. Der praktische Arbeitsstandard für die meisten Sicherheitsteams liegt bei 12-16 zufällig generierten Zeichen mit einer Entropie über 75 Bit.

Vier Parameter definieren, ob ein Passwort diese Baseline erfüllt:

  • Länge. Die einzelne effektivste Variable. Jedes zusätzliche Zeichen multipliziert den Suchraum exponentiell. Bei 12 Zeichen erfordert eine vollständig zufällige alphanumerische Zeichenkette Milliarden von Jahren zum Brute-Forcen bei aktuellen Hardware-Geschwindigkeiten. Bei 8 Zeichen schrumpft dieses Fenster auf Stunden.
  • Zufälligkeit. Von Menschen gewählte Passwörter gruppieren sich um vorhersehbare Muster: Namen, Daten, Wörterbuchwörter mit Ersetzungen. Ein Passwortgenerator eliminiert diese Gruppierung vollständig. Wenn Sie es gewählt haben, ist es wahrscheinlich schwächer, als es aussieht.
  • Einzigartigkeit. Ein Zugangsdatum pro Account. Ein einzelnes kompromittiertes Passwort gewährt Zugriff auf jedes System, in dem es vorkommt. Wiederverwendung verwandelt einen isolierten Breach in eine Gelegenheit zur lateralen Bewegung.
  • Kein Ablauf ohne Grund. NIST SP 800-63B lehnt verpflichtende periodische Rotation ausdrücklich ab. Erzwungene Rotation produziert vorhersehbare Inkremente (Password1 → Password2) und trainiert Benutzer, schwächere Basispasswörter zu wählen. Ändern Sie ein Zugangsdatum, wenn es Hinweise auf eine Kompromittierung gibt.

Das Merkbarkeits-Paradoxon: Warum Ihr Gehirn eine Schwachstelle ist

Jede Eigenschaft, die ein Passwort leichter merkbar macht, macht es auch leichter zu erraten. Das menschliche Gedächtnis kodiert Informationen durch Muster, Assoziationen und Bedeutung. Ein Passwort, das in Ihrem Gedächtnis haften bleibt, tut dies, weil es mit etwas verbunden ist, das Sie bereits kennen: ein Wort, ein Datum, ein Name, eine Tastaturform. Dieselben Verbindungen sind genau das, was Cracking-Tools ausnutzen.

PassGAN (Generative Adversarial Network für Passwort-Cracking) und ähnliche Tools sind mit Milliarden geleakter Zugangsdaten trainiert. Sie probieren nicht aaaaaaa vor p@ssword. Sie probieren die Dinge, die Menschen tatsächlich wählen, in der Reihenfolge, in der Menschen sie tatsächlich wählen. Das Ersetzen von @ für a in password ergibt p@ssword, das PassGAN innerhalb der ersten paar Tausend Versuche in weniger als einem Bruchteil einer Sekunde generiert. Den ersten Buchstaben großzuschreiben und 1 am Ende hinzuzufügen, sind Muster, die das Modell millionenfach gesehen hat.

💡
Laut der Home Security Heroes KI-Analyse können die meisten gängigen Passwörter in Sekunden geknackt werden, weil KI-Tools die menschliche Psychologie im großen Maßstab modellieren, anstatt zufällig zu raten

Länge und Zeichensatz sind beide wichtig, aber nicht gleich wichtig. Die Passwort-Tabelle 2025 von Hive Systems, getestet gegen 12 × RTX 5090 GPUs mit bcrypt bei Arbeitsfaktor 10, zeigt, dass ein 8-Zeichen-Passwort, das nur Kleinbuchstaben verwendet, in drei Wochen fällt. Fügen Sie Großbuchstaben, Zahlen und Symbole hinzu, und diese Zahl erreicht 164 Jahre gegen dieselbe Hardware. Ein 12-Zeichen-Passwort mit demselben vollständigen gemischten Zeichensatz bringt die Tabelle in Jahrhunderte.

Passwort-Cracking-Tabelle von Hive Systems
Quelle: Hive Systems

Die Tabelle wird jährlich aktualisiert, um aktuelle Consumer-GPU-Hardware widerzuspiegeln. Die Verschiebung von der Ausgabe 2024 zu 2025 spiegelt sowohl schnellere Hardware als auch realistischere Hash-Stärke-Annahmen wider, die aus dem gewonnen wurden, was Hive Systems in tatsächlichen Breach-Daten beobachtete.


Warum traditionelle Passwort-Ratschläge tot sind

Die alten Komplexitätsregeln (acht Zeichen, ein Großbuchstabe, eine Zahl, ein Symbol) scheiterten, weil sie sich bezüglich des menschlichen Verhaltens unter Einschränkungen irrten. Während das Merkbarkeits-Paradoxon ein kognitives Versagen beschreibt, produzierten verpflichtende Komplexitätsregeln ein Richtlinienversagen zusätzlich dazu.

Jahrelang war der dominierende Cracking-Ansatz der Wörterbuchangriff: automatisierte Tools, die bekannte Wörter und gängige Ersetzungen durchgingen. Sicherheitsteams reagierten mit verpflichtender Komplexität. Das Problem ist, dass Menschen unter Komplexitätsdruck vorhersehbar sind. Wenn sie aufgefordert werden, ein Symbol hinzuzufügen, fügen die meisten Menschen es am Ende hinzu. Wenn sie aufgefordert werden, einen Buchstaben zu ersetzen, wählen die meisten dieselben Ersetzungen. Die Regeln, die darauf ausgelegt waren, die Unvorhersehbarkeit zu erhöhen, produzierten eine neue Schicht vorhersehbaren Verhaltens.

💡
NIST erkannte dies in SP 800-63B: Die Richtlinie strich ausdrücklich verpflichtende periodische Zurücksetzungen und Komplexitätsregeln unter Verweis auf genau diesen Fehlermodus

Das andere Versagen alter Ratschläge war die 90-Tage-Rotationsrichtlinie. Erzwungene Zurücksetzungen produzieren Summer2025! gefolgt von Fall2025!. Der DBIR 2026 von Verizon, der über 22.000 bestätigte Breaches in 145 Ländern analysierte, stellte fest, dass die Ausnutzung von Schwachstellen den Diebstahl von Zugangsdaten als primären Breach-Einstiegspunkt überholt hat (31 %). Zugangsdaten-Missbrauch liegt bei 13 % als initialer Zugangsvektor, aber diese Zahl betrachtet nur die erste Aktion. Der DBIR stellte fest, dass Zugangsdaten-Missbrauch in 39 % aller Breaches auftaucht, wenn er über die gesamte Angriffskette gemessen wird — damit ist er die am weitesten verbreitete Technik im Datensatz.

Länge ist die primäre Verteidigung. Eine 15-Zeichen-Passphrase aus zufälligen Wörtern ist um Größenordnungen stärker als eine 8-Zeichen-Zeichenkette aus Symbolen, und ein Mensch kann sie tatsächlich behalten.


Der neue Standard: NIST SP 800-63B Rev. 4 Richtlinien

NIST SP 800-63B Rev. 4 (2025) legt die aktuelle Baseline für Passwortsicherheit fest. Wenn ein Passwort der einzige Authentifizierungsfaktor ist, müssen Systeme ein Minimum von 8 Zeichen verlangen und sollten mindestens 15 Zeichen verlangen. Verpflichtende Komplexitätsregeln (erzwungene Symbole, Zahlen, Groß-/Kleinschreibung) werden ausdrücklich gestrichen, ebenso der 90-Tage-Ablaufzyklus. Die Überprüfung neuer Passwörter gegen bekannte Breach-Zugangsdatenlisten ist jetzt erforderlich, nicht optional.

Die vollständige Richtlinienänderung sieht so aus:

Regel Alte Richtlinie (Rev. 3) Neue Richtlinie (Rev. 4)
Mindestlänge 8 Zeichen 8 Zeichen erforderlich; 15 empfohlen
Komplexitätsanforderungen Verpflichtend (Symbole, Zahlen, Großbuchstaben) Gestrichen, nicht mehr erforderlich
Passwortablauf Alle 90 Tage Nur bei Verdacht auf Kompromittierung
Passworthinweise Erlaubt Verboten
Wissensbasierte Authentifizierung Erlaubt Verboten
Prüfung gegen Breach-Listen Optional Erforderlich

Die Logik hinter dem Streichen der Komplexität ist gut dokumentiert. NISTs eigene Forschung ergab, dass Komplexitätsanforderungen Benutzer zu vorhersehbaren Mustern drängen und die Supportkosten erhöhen, ohne die Widerstandsfähigkeit gegen automatisierte Angriffe wesentlich zu verbessern. Länge hat eine direkte mathematische Beziehung zur Cracking-Schwierigkeit: Jedes zusätzliche Zeichen multipliziert den Suchraum exponentiell.

Für IT-Administratoren ist die praktische Implikation klar: Aktualisieren Sie Ihre Passwortrichtlinien, um 15+ Zeichen zu verlangen, entfernen Sie willkürliche Komplexitätsvorgaben und implementieren Sie Prüfungen gegen bekannte Breach-Passwortlisten wie den Have I Been Pwned-Datensatz, auf den NIST ausdrücklich verweist. Hören Sie auf, Rotationen nach einem Kalenderplan zu erzwingen.

Die Verwaltung von Passwortrichtlinien über Hunderte von Benutzern hinweg ist der Punkt, an dem die Durchsetzung zusammenbricht. Passwork gibt IT-Teams zentrale Kontrolle über Zugangsdaten-Tresore, rollenbasierten Zugriff und Audit-Logs — ohne die Komplexität auf Endbenutzer abzuwälzen. So funktioniert Passwork

Passwörter vs. Passphrasen

Eine Passphrase ist eine Sequenz zufälliger, nicht zusammenhängender Wörter, die als einzelnes Zugangsdatum verwendet wird. Wörter sind leichter zu behalten als zufällige Zeichen, und allein die Länge treibt die Entropie weit über das hinaus, was die meisten zeichenbasierten Passwörter erreichen. Vier Wörter übertreffen bereits eine typische 10-Zeichen-Zeichenkette mit Groß-/Kleinschreibung.

Passwort-Entropie misst, wie unvorhersehbar ein Zugangsdatum ist, ausgedrückt in Bit. Höhere Entropie bedeutet mehr mögliche Kombinationen, die ein Angreifer ausprobieren muss.

Tr0ub4dor&3 sieht komplex aus. Aber es ist ein Wörterbuchwort mit vorhersehbaren Ersetzungen, einem Großbuchstaben am Anfang und einem Symbol und einer Zahl am Ende — ein Muster, das Cracking-Tools explizit modellieren. Seine effektive Entropie ist weit niedriger, als es erscheint.

correct horse battery staple illustriert die Mathematik direkt. Vier zufällig aus dieser Liste gewählte Wörter ergeben ungefähr 44 Bit Entropie (log₂ von 2.000⁴). Sechs zufällige Wörter aus der Diceware-Liste (7.776 Wörter) erzeugen etwa 77 Bit — genug, um Brute-Force-Angriffen bei aktuellen Rechengeschwindigkeiten jahrzehntelang zu widerstehen.

Das kritische Wort ist zufällig. „Ich liebe meinen Hund Keks" ist eine Passphrase, aber sie ist nicht zufällig. Sie spiegelt persönliche Informationen und eine natürliche Satzstruktur wider, die Cracking-Tools modellieren können. Eine Passphrase, die Sie erfunden haben, ist nicht zufällig, weil Sie sie erfunden haben. Echte Zufälligkeit erfordert eine Methode, die die menschliche Wahl vollständig aus der Gleichung entfernt.

Quelle: xkcd.com

So erstellen Sie ein starkes Passwort, das Sie nicht vergessen

Die folgenden Techniken lösen ein spezifisches Problem: wie man eine einzelne Master-Passphrase erstellt und sich merkt. Diese Passphrase hat eine Aufgabe — Ihren Passwort-Manager zu entsperren. Für alle anderen Zugangsdaten, die Sie besitzen, ist die Antwort ein zufällig generiertes Passwort, das in diesem Manager gespeichert wird, keine Passphrase, die Sie konstruiert und auswendig gelernt haben.

Die Diceware-Methode

Die Diceware-Methode generiert kryptografisch zufällige Passphrasen unter Verwendung physischer Würfel und einer standardisierten Wortliste. Da die Zufälligkeit von Würfelwürfen stammt und nicht von menschlicher Wahl, hat die resultierende Passphrase nachweisbare Entropie und umgeht das Merkbarkeits-Paradoxon vollständig.

  1. Laden Sie die EFF Large Wordlist herunter, die 7.776 Wörter enthält, die durch fünfstellige Würfelcodes indiziert sind (z. B. 16132 = cleft).
  2. Würfeln Sie fünf sechsseitige Würfel (oder einen Würfel fünfmal). Notieren Sie das Ergebnis, zum Beispiel 2-4-1-3-6.
  3. Suchen Sie das entsprechende Wort in der EFF-Liste. 24136 entspricht dragster.
  4. Wiederholen Sie die Schritte 2-3 fünf weitere Male, um eine Sechs-Wort-Passphrase zu generieren.
  5. Ihr Ergebnis könnte lauten: dragster cleft robin usage stomp anvil. Schreiben Sie es vorübergehend auf.

Sechs Wörter aus der EFF-Liste ergeben ungefähr 77,5 Bit Entropie. Das ist das Ziel. Fünf Wörter (64,6 Bit) sind für die meisten Anwendungsfälle akzeptabel; vier Wörter sind das absolute Minimum für ein Masterpasswort.

Keine Würfel? Verwenden Sie einen Generator

Wenn keine physischen Würfel verfügbar sind, wendet Passworks kostenloser Passphrasen-Generator dieselbe Logik in einem Browser an. Er läuft vollständig lokal — nichts wird gespeichert oder übertragen. Sie können die Wortanzahl, Trennzeichen und Großschreibung an Ihre Anforderungen anpassen. Die Ausgabe ist dasselbe nachweisbar zufällige Ergebnis wie bei Diceware, ohne das Nachschlagen in der Wortliste.

Die Satz-Methode

Die Satz-Methode eignet sich besser für Personen, die schnell ein starkes Masterpasswort erstellen müssen, ohne Würfel. Nehmen Sie einen Satz, der persönlich bedeutsam, aber nicht öffentlich bekannt ist, und leiten Sie ein Passwort aus seiner Struktur ab.

  • Beispielsatz: „Mein erstes Auto war ein 1998er Honda und ich fuhr damit zur Uni."
  • Abgeleitetes Passwort: MeAwe1998HuifdU

Dies erzeugt eine 15-Zeichen-Zeichenkette mit Groß-/Kleinschreibung und Zahlen, die keine Wörterbuchbeziehung hat. Der Satz selbst ist die Eselsbrücke: Sie merken sich den Satz, nicht das Passwort.

Die Einschränkung: Diese Methode erzeugt weniger Entropie als Diceware, weil Menschen merkbare Sätze wählen und merkbare Sätze vorhersehbaren grammatikalischen Mustern folgen. Verwenden Sie sie nur für das Masterpasswort, wenn Diceware nicht praktikabel ist. Für alles andere verwenden Sie einen Manager.

Die Gedächtnispalast-Technik

Der Gedächtnispalast (Loci-Methode) ist eine mnemonische Technik zum Behalten der Master-Passphrase, die Sie mit Diceware generiert haben. Sie funktioniert, indem jedes Wort mit einem bestimmten physischen Ort in einem vertrauten Raum verknüpft wird: Ihr Zuhause, Ihr Arbeitsweg, ein Gebäude, das Sie gut kennen.

Um sich dragster cleft robin usage stomp anvil zu merken:

  1. Wählen Sie eine vertraute Route durch einen Raum, den Sie gut kennen: Ihre Haustür, Flur, Küche, Wohnzimmer, Treppe, Schlafzimmer.
  2. Ordnen Sie jedem Ort ein Wort zu. Machen Sie das Bild lebendig und ungewöhnlich: ein Dragster, der durch Ihre Haustür rast, ein Spalt (cleft) im Felsen, der Ihren Flurboden teilt, ein Rotkehlchen (robin), das auf Ihrer Küchentheke sitzt.
  3. Gehen Sie die Route mehrmals gedanklich durch, der Reihe nach. Je seltsamer das Bild, desto zuverlässiger bleibt es haften.
  4. Nach 24 Stunden testen Sie das Erinnern, ohne auf die geschriebene Passphrase zu schauen. Die meisten Menschen können sich nach drei oder vier gedanklichen Durchgängen an alle sechs Wörter erinnern.

Der Gedächtnispalast funktioniert, weil das Gehirn räumliche und visuelle Informationen zuverlässiger kodiert als abstrakte Zeichenketten. Sie merken sich nicht dragster cleft robin usage stomp anvil. Sie merken sich einen Gang durch Ihr Haus.

Sobald die Passphrase auswendig gelernt ist, vernichten Sie die schriftliche Kopie.

Zu wissen, wie man eine Master-Passphrase konstruiert und behält, ist eine nützliche Fähigkeit. Aber Merkbarkeit ist eine Einschränkung, und Einschränkungen erzeugen Kompromisse. Ein Passwort-Manager entfernt diese Einschränkung vollständig: Er generiert Zugangsdaten mit voller Entropie, speichert sie verschlüsselt und ruft sie ab, ohne Sie zu bitten, sich an irgendetwas außer einer Passphrase zu erinnern. Die obigen Techniken existieren, um diese eine Passphrase zu schützen. Alles andere sollte generiert, nicht erfunden werden.


Der einzige Standard: Eine Passphrase, alles andere im Passwort-Manager

Das Merkbarkeits-Paradoxon hat eine einzige strukturelle Lösung. Sie merken sich eine zufällig generierte Master-Passphrase. Ein Passwort-Manager generiert und speichert alles andere und erzeugt vollständig zufällige, einzigartige Zugangsdaten für jedes Konto, die Sie nie sehen, eingeben oder sich merken müssen. Diese Struktur gilt, ob Sie fünf Konten oder fünfhundert haben.

In der Praxis bedeutet das:

  • Keine Passwortwiederverwendung über Konten hinweg — jedes Zugangsdatum ist einzigartig und zufällig generiert.
  • Eine Sache zum Merken — die Master-Passphrase, die Sie mit Diceware erstellt haben.
  • Keine Sicherheitsentscheidungen beim Login — der Manager übernimmt Generierung, Speicherung und Autofill.

Passwork ist für diese Architektur gebaut. Es ist als selbstgehostete Bereitstellung oder als Cloud-Service verfügbar. Beide Optionen verwenden AES-256-Client-seitige Verschlüsselung: Zugangsdaten werden verschlüsselt, bevor sie Ihr Gerät verlassen, und Passwork sieht niemals Klartext-Passwörter.

Die beiden Bereitstellungsmodelle unterscheiden sich in einer Dimension:

  • Die selbstgehostete Option behält alle Daten in Ihrer eigenen Infrastruktur.
  • Die Cloud-Option entfernt den operativen Aufwand des Betriebs einer eigenen Instanz, ohne das Verschlüsselungsmodell zu ändern.

Rollenbasierte Zugriffskontrolle ermöglicht es Administratoren, Tresorberechtigungen an Teams statt an Einzelpersonen zuzuweisen — relevant, wenn Sie Zugangsdaten für ein Team verwalten und nicht nur für sich selbst. Ein neuer Ingenieur erbt ab dem ersten Tag Zugriff auf die richtigen Tresore und verliert ihn in dem Moment, in dem er geht, ohne dass manuelle Bereinigung erforderlich ist.

Für Teams mit Compliance-Anforderungen bieten Passworks Audit-Logs einen vollständigen Nachweis darüber, wer wann auf welches Zugangsdatum zugegriffen hat — die Art von Dokumentation, die SOC 2 CC6.1 und ISO 27001:2022 Annex A 5.15-Kontrollen erfordern. Die technischen Anleitungen behandeln AD/LDAP-Integration, SAML SSO und REST API-Zugriff für Teams, die Zugangsdatenverwaltung in bestehende Workflows einbetten müssen.


Beispiele für starke Passwörter: Wie gute Passwörter 2026 aussehen

Zugangsdaten-Typ Beispiel Entropie (ca.) Merkbar? Empfohlene Verwendung
8-Zeichen komplex Tr0ub4dor&3 ~28 Bit effektiv Nein Vermeiden
12-Zeichen zufällig k9#Lm2@pQr7! ~78 Bit Nein Akzeptabel für risikoarme Konten
4-Wort Diceware dragster cleft robin usage ~51 Bit Ja Sekundäre Konten
6-Wort Diceware dragster cleft robin usage stomp anvil ~77 Bit Ja (mit Gedächtnispalast) Nur Masterpasswort
Satz-abgeleitet MfcWa1998HaIdItC ~52 Bit Ja (über Satz) Nur Masterpasswort
Maschinell generiert k9#Lm2@pQr7!xN3$ ~105 Bit Nein — im Manager gespeichert Alle anderen Konten
Maschinell generiertes Secret eyJhbGciOiJIUzI1... 256 Bit N/A API-Keys, Tokens: Secrets-Manager verwenden

Die Spalte „Empfohlene Verwendung" ist der Punkt. Diceware- und satzabgeleitete Passwörter erscheinen einmal in Ihrem Leben, als Master-Zugangsdatum. Jedes andere Konto erhält ein maschinell generiertes Passwort, das Sie nie sehen, nie eingeben und nie merken müssen.


In die Praxis umsetzen

In die Praxis umsetzen

Das Merkbarkeits-Paradoxon hat keinen Workaround — es hat eine Lösung. Merken Sie sich eine Sache, zufällig generiert, mit einer Methode, die Ihr Gehirn aus dem Prozess entfernt. Verwenden Sie diese, um einen Passwort-Manager zu entsperren, der alle anderen Zugangsdaten mit maschinell generierter Zufälligkeit verwaltet, über die Sie nie nachdenken müssen.

Generieren Sie eine 6-Wort-Diceware-Passphrase. Kodieren Sie sie mit einem Gedächtnispalast. Legen Sie alles andere in einen Tresor.

Sobald Ihre Master-Passphrase festgelegt ist, übernimmt Passwork den Rest: gespeicherte Zugangsdaten, Team-Zugriffskontrollen und ein vollständiges Audit-Protokoll. Verfügbar als selbstgehostete Bereitstellung oder in der Cloud. Passwork kostenlos testen

Häufig gestellte Fragen

Häufig gestellte Fragen

Wie lang sollte ein starkes Passwort 2026 sein?

NIST SP 800-63B Rev. 4 (2025) legt das absolute Minimum auf 8 Zeichen fest, empfiehlt aber mindestens 15 Zeichen, wenn ein Passwort der einzige Authentifizierungsfaktor ist. Für Masterpasswörter, die einen Passwort-Tresor oder privilegierte Konten schützen, ist eine 6-Wort-Diceware-Passphrase (etwa 25-35 Zeichen) die aktuelle Best Practice. Länge ist der primäre Treiber der Cracking-Resistenz.

Was ist Passwort-Entropie und warum ist sie wichtig?

Passwort-Entropie misst, wie unvorhersehbar ein Passwort ist, ausgedrückt in Bit. Sie wird als log₂ der Anzahl möglicher Kombinationen berechnet. Eine 6-Wort-Diceware-Passphrase aus der EFF-Liste hat ungefähr 77,5 Bit Entropie. Höhere Entropie bedeutet, dass ein Angreifer mehr Kombinationen ausprobieren muss, um das Passwort per Brute-Force zu knacken. Komplexitätsregeln fügen weniger Entropie hinzu, als es den Anschein hat; Länge fügt Entropie direkt und vorhersehbar hinzu.

Ist eine Passphrase sicherer als ein komplexes Passwort?

Ja, in den meisten Fällen. Eine zufällige 6-Wort-Passphrase hat eine höhere Entropie als ein typisches 10-Zeichen-„komplexes" Passwort, und sie ist weitaus resistenter gegen die Mustererkennung, die KI-Cracking-Tools verwenden. Das Schlüsselwort ist zufällig. Eine Passphrase, die aus persönlich bedeutsamen Wörtern aufgebaut ist, ist schwächer als sie erscheint, weil menschliche Entscheidungen vorhersehbaren Mustern folgen.

Was ist die Diceware-Methode?

Diceware ist eine Technik zur Generierung zufälliger Passphrasen durch Würfeln mit physischen Würfeln und Zuordnung der Ergebnisse zu Wörtern auf einer standardisierten Liste. Die EFF Large Wordlist enthält 7.776 Wörter, die durch fünfstellige Würfelcodes indiziert sind. Einmal fünf Würfel zu werfen ergibt ein Wort; sechs Würfe ergeben eine Sechs-Wort-Passphrase mit ungefähr 77,5 Bit Entropie. Da die Zufälligkeit von Würfeln stammt und nicht von menschlicher Wahl, ist das Ergebnis nachweislich unvorhersehbar.

Sollte ich trotzdem einen Passwort-Manager verwenden, wenn ich eine starke Passphrase habe?

Ja. Eine starke Passphrase löst das Master-Zugangsdaten-Problem: das eine Passwort, das Sie sich merken, um alles andere zu entsperren. Sie löst nicht das Problem der Verwaltung von Dutzenden separater Zugangsdaten über verschiedene Systeme hinweg. Ein Passwort-Manager generiert vollständig zufällige, einzigartige Passwörter für jedes Konto und speichert sie sicher. Die Passphrase ist der Schlüssel zum Tresor. Der Tresor erledigt den Rest.

Wie merke ich mir eine lange Passphrase?

Die Gedächtnispalast-Technik (Loci-Methode) ist für die meisten Menschen die zuverlässigste Methode. Ordnen Sie jedes Wort in Ihrer Passphrase einem bestimmten Ort entlang einer vertrauten Route zu (Ihr Zuhause, Ihr Arbeitsweg) und erstellen Sie für jedes Wort ein lebhaftes mentales Bild. Gehen Sie die Route über 24-48 Stunden mehrmals gedanklich durch. Die meisten Menschen können sich nach vier oder fünf Übungsdurchgängen zuverlässig an eine Sechs-Wort-Passphrase erinnern.

Was hat sich in den NIST-Passwortrichtlinien geändert?

NIST SP 800-63B Rev. 4 hat mehrere bedeutende Änderungen vorgenommen. Es strich verpflichtende Komplexitätsanforderungen (erzwungene Symbole, Zahlen, Groß-/Kleinschreibung). Es eliminierte kalenderbasiertes Passwortablaufen und empfiehlt Zurücksetzungen nur bei Verdacht auf Kompromittierung. Es verbot Passworthinweise und wissensbasierte Authentifizierungsfragen. Es verlangt jetzt die Prüfung neuer Passwörter gegen bekannte Breach-Zugangsdatenlisten. Die Mindestlänge bleibt bei 8 Zeichen, mit 15 Zeichen als empfohlenem Standard für Einzelfaktor-Authentifizierung.

Warum kann ich nicht einfach merkbare Passwörter ohne Manager erstellen?

Weil Merkbarkeit und Sicherheit in direkter Spannung zueinander stehen. Das menschliche Gehirn kodiert Informationen durch Muster und Assoziationen. Jedes Passwort, das sich merkbar anfühlt, ist per Definition gemustert — und Muster sind das, worauf Cracking-Algorithmen trainiert sind. Der einzige Ausweg aus diesem Paradoxon ist, sich eine starke Master-Passphrase zu merken und alles andere an ein Tool zu delegieren, das echte Zufälligkeit generiert.

Passwortverwaltung für Teams: Die Lösung, die jedes KMU braucht
Das Speichern von Passwörtern in Slack und Browsern setzt Ihr Unternehmen Breaches aus. Erfahren Sie, warum persönliche Tools für Teams versagen, wie Sie ausscheidende Mitarbeiter mit einem Klick sicher offboarden und warum die neuesten NIST-Richtlinien von erzwungener Passwortrotation abraten.
11 Risiken der Passwortwiederverwendung und wie Sie sie vermeiden
Ein Passwort wiederzuverwenden fühlt sich harmlos an. Ist es aber nicht. Hier erfahren Sie, warum ein geleaktes Zugangsdatum die gesamte Sicherheit Ihrer Organisation gefährden kann — und wie Sie das verhindern.
Passwort-Chaos: Warum es ein Geschäftsproblem ist und wie Sie es beheben
Ein vergessenes Passwort kostet 70 $. Ein Breach kostet 4,44 Millionen $. Beides beginnt gleich — Zugangsdaten, die über Slack geteilt, in Tabellen gespeichert und nie rotiert werden. Hier erfahren Sie, was Passwort-Chaos tatsächlich kostet und wie Sie es eliminieren.