im jahr 2024 war das meistgenutzte passwort der welt zum wiederholten mal: 123456. auf platz zwei: password. das ist kein zufall und kein versagen einzelner nutzer. es ist das ergebnis eines systems, das sicherheit falsch erklärt — und damit falsch umsetzt.
was ein sicheres passwort wirklich ist
die klassische passwort-regel lautet: mindestens acht zeichen, groß- und kleinbuchstaben, zahlen, sonderzeichen. diese regel ist falsch.
das national institute of standards and technology (nist) hat seine richtlinien 2017 grundlegend überarbeitet. die neue empfehlung: länge ist wichtiger als komplexität. ein passwort aus vier zufälligen alltagswörtern — korrekt pferd batterie heftklammer — ist sicherer als P@ssw0rd! — und deutlich einfacher zu merken.
der grund ist mathematisch. ein angreifer, der passwörter durch brute force ausprobiert, testet kombinationen. die anzahl möglicher kombinationen steigt exponentiell mit der länge. ein passwort aus 30 zeichen zufälliger kleinbuchstaben hat mehr mögliche kombinationen als eines aus 12 zeichen mit sonderzeichen.
komplexität schützt gegen einfache wörterbuchangriffe. länge schützt gegen systematisches durchprobieren. länge gewinnt.
das eigentliche problem: wiederverwendung
das schlechte passwort ist nicht das größte problem. das eigentliche problem: dasselbe passwort auf mehreren plattformen.
datenlecks sind keine ausnahme. sie sind die norm. have i been pwned — eine datenbank des sicherheitsforschers troy hunt — enthält über 13 milliarden kompromittierte accounts. jede e-mail-adresse ist im durchschnitt in mehreren datenlecks enthalten.
wenn ein angreifer username und passwort aus einem datenleck hat, testet er diese kombination auf allen großen plattformen. das nennt sich credential stuffing. es funktioniert, weil die meisten nutzer passwörter wiederverwenden.
einzigartigkeit schützt. wenn ein passwort gestohlen wird, ist nur eine plattform kompromittiert — nicht alle.
einzigartige, lange passwörter für jede plattform lassen sich nicht merken. das ist keine schwäche des nutzers. es ist eine mathematische tatsache: ein mensch kann keine 200 zufälligen 30-zeichen-passwörter im gedächtnis behalten.
die lösung ist nicht besser merken. die lösung ist: nicht merken müssen.
passwort-manager: wie sie funktionieren, welche vertrauenswürdig sind
ein passwort-manager speichert passwörter in einer verschlüsselten datenbank. der nutzer merkt sich ein einziges starkes master-passwort. der manager generiert und füllt alle anderen automatisch aus.
die sicherheit hängt von der architektur ab. zero-knowledge-architektur bedeutet: der anbieter hat keinen zugriff auf die passwort-datenbank. sie wird lokal verschlüsselt, bevor sie den server erreicht. selbst wenn der anbieter kompromittiert wird, sind die daten wertlos.
bitwarden ist open source. der quellcode ist öffentlich einsehbar und wird regelmäßig extern auditiert. bitwarden kann selbst gehostet werden — wer das nicht will, nutzt bitwarden-server. kostenlos für einzelpersonen. zero-knowledge-architektur.
1password ist nicht open source, hat aber mehrere unabhängige audits durchlaufen. die architektur ist verifiziert zero-knowledge. familienplan mit gemeinsamen passwort-tresoren. kostenpflichtig.
keepass ist vollständig lokal. keine cloud, keine server, kein anbieter. die datenbank liegt auf dem gerät des nutzers — und nirgendwo sonst. maximale kontrolle, minimale komfort. geeignet für technisch versierte nutzer.
was zu vermeiden ist: passwörter in browsern speichern. chrome, firefox und safari haben eigene passwort-manager. sie sind komfortabel. sie sind nicht zero-knowledge — google, mozilla und apple haben potenziellem zugriff auf synchronisierte passwörter, wenn auch verschlüsselt. wichtiger: browser werden häufig angegriffen. schadsoftware zielt oft explizit auf browser-passwort-speicher.
zwei-faktor-authentifizierung
zwei-faktor-authentifizierung (2fa) bedeutet: neben dem passwort ist ein zweiter faktor nötig. typisch sind sms-codes, authenticator-apps oder hardware-keys.
sms ist der schwächste faktor. sim-swapping — bei dem ein angreifer eine telefonnummer auf seine sim-karte überträgt, indem er den mobilfunkanbieter manipuliert — ist dokumentiert und wird aktiv eingesetzt. prominente twitter-accounts wurden 2020 über sim-swapping übernommen, darunter elon musk, joe biden und apple.
authenticator-apps (google authenticator, aegis, raivo) generieren zeitbasierte einmalcodes. sie sind deutlich sicherer als sms. die codes funktionieren offline. aegis für android und raivo für ios sind open source.
hardware-keys (yubikey, nitrokey) sind physische geräte, die per usb oder nfc in den login-prozess integriert werden. phishing-angriffe — bei denen nutzer auf gefälschte login-seiten geleitet werden — funktionieren gegen hardware-keys nicht. der key ist kryptographisch an die echte domain gebunden.
der minimale schritt mit maximalem effekt
wer heute einen passwort-manager einrichtet und die passwörter der wichtigsten accounts — e-mail, banking, soziale netzwerke — durch einzigartige, generierte passwörter ersetzt, hat mehr für seine sicherheit getan als durch jede andere einzelmaßnahme.
die e-mail-adresse ist das master-konto des digitalen lebens. wer zugriff auf die e-mail hat, kann die meisten anderen accounts über "passwort vergessen" übernehmen. ein einzigartiges, langes passwort auf der e-mail, abgesichert durch einen authenticator, ist der wichtigste einzelschritt.
der aufwand: einmalig 30 minuten. der effekt: dauerhaft.
das ist selten in der sicherheits-diskussion. die meisten werkzeuge sind komplex, teuer, oder erfordern technisches wissen. passwort-manager sind keine davon. sie sind zugänglich, kostenlos verfügbar, und senken die angriffsfläche sofort und substantiell.
perfekte sicherheit existiert nicht. gute sicherheit ist keine frage der mittel. es ist eine frage der entscheidung.