Passwort: Warum die Länge wichtiger ist als die Komplexität

Man glaubt, alles richtig zu machen, wenn man Großbuchstaben und Sonderzeichen hinzufügt. Tatsächlich ist ein längeres Passwort – selbst wenn es nur aus Buchstaben besteht – mathematisch deutlich sicherer. Hier erfahren Sie, warum das so ist und was das konkret für Ihre Sicherheit bedeutet.

Was ist besser: ein langes oder ein komplexes Passwort?

Die Länge schlägt die Komplexität. Das klingt kontraintuitiv, aber die Zahlen sprechen eine eindeutige Sprache.

Vergleichen wir drei Passwörter:

  • 8 Zeichen, nur Kleinbuchstaben (26 Möglichkeiten pro Stelle): 26⁸ = rund 208 Milliarden Kombinationen
  • 8 Zeichen, alle Typen gemischt – Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen (95 Möglichkeiten pro Stelle): 95⁸ = rund 6.600 Milliarden Kombinationen
  • 16 Zeichen, nur Kleinbuchstaben: 26¹⁶ = rund 43.000 Milliarden Milliarden Kombinationen

Das dritte Passwort, das auf den ersten Blick einfachste, ist den beiden anderen haushoch überlegen. Jedes zusätzliche Zeichen vervielfacht den Möglichkeitsraum exponentiell, während das Hinzufügen neuer Zeichentypen nur einen linearen Gewinn bringt.

Warum bringt das Ersetzen von Buchstaben durch Sonderzeichen nichts?

Ein „a" durch „@", ein „o" durch „0" oder ein „e" durch „3" zu ersetzen, ist eine trügerische Sicherheitsmaßnahme. Diese Substitutionen sind seit Jahrzehnten bekannt und in allen modernen Cracking-Tools hinterlegt. „P@ssw0rd" ist gegenüber einem automatisierten Angriff nicht nennenswert sicherer als „password".

Diese Gewohnheit vermittelt ein falsches Sicherheitsgefühl. Sie stammt aus den ersten Empfehlungen zur IT-Sicherheit, als Angriffswerkzeuge noch weit weniger ausgereift waren. Heute ist ein wirklich langes und zufälliges Passwort einem kurzen, mit Sonderzeichen aufgehübschten Passwort bei weitem vorzuziehen.

Muss man sein Passwort regelmäßig ändern?

Nein. Der regelmäßige Passwortwechsel wird vom NIST, der amerikanischen Normungsbehörde für Cybersicherheit, seit 2017 offiziell nicht mehr empfohlen.

Diese Empfehlung hat eine lange Geschichte. Im Jahr 2003 verfasste Bill Burr, damals Mitarbeiter des NIST, die Publikation SP 800-63, die weltweit zum Standard wurde. Sie empfahl obligatorische Komplexität und einen Wechsel alle 90 Tage. 2017, nach seiner Pensionierung, räumte er öffentlich ein, dass diese Empfehlungen auf Annahmen aus den 1980er-Jahren basierten und keine solide empirische Grundlage hatten.

Das Problem erzwungener Passwortrotation ist konkret: Sie verleitet Nutzer zu vorhersehbaren Variationen – „Januar2024", „Januar2024!", „Februar2024!". Genau diese Muster testet ein Angreifer als Erstes.

Ein gutes Passwort hat kein Ablaufdatum. Man ändert es ausschließlich bei einer nachgewiesenen oder vermuteten Kompromittierung.

Was ist der Unterschied zwischen einem Online- und einem Offline-Angriff?

Das ist eine grundlegende Unterscheidung, die das erforderliche Sicherheitsniveau entscheidend beeinflusst.

Bei einem Offline-Angriff hat der Angreifer eine Kopie der Datenbank erlangt (durch ein Datenleck oder Backup-Diebstahl) und arbeitet lokal, ohne jede externe Einschränkung. Mit einer modernen GPU kann er mehrere Milliarden Kombinationen pro Sekunde gegen einen MD5-Hash testen, oder mehrere hundert Millionen gegen bcrypt. Hier machen allein die Passwortlänge und die Qualität des Hashings den Unterschied.

Bei einem Online-Angriff läuft jeder Versuch über das Netzwerk und den Server. Schutzmaßnahmen verändern das Kräfteverhältnis: progressive Verzögerungen zwischen Versuchen, temporäre Sperrung nach mehreren Fehlversuchen, Captcha, Erkennung verdächtiger IP-Adressen. Schon eine einfache Verzögerung von einer Sekunde zwischen den Versuchen macht ein 10-stelliges Passwort in der Praxis unknackbar.

Ein korrekt gesicherter Online-Dienst toleriert ein verhältnismäßig kürzeres Passwort als eine Datei, die exfiltriert und offline angegriffen werden könnte.

Wie schützt ein Server gespeicherte Passwörter?

Im Falle eines Datenbankleaks entscheidet der verwendete Hash-Algorithmus darüber, wie widerstandsfähig die Passwörter sind. Dabei sind nicht alle gleich.

MD5 und SHA1 sind veraltet: Sie lassen sich mit Milliarden von Versuchen pro Sekunde knacken. Bcrypt, das bewusst langsam konzipiert wurde, bleibt eine bewährte Referenz mit anpassbarem Rechenaufwand. Argon2, Gewinner des Password Hashing Competition 2015, ist heute die empfohlene Wahl: Es widersteht Angriffen per GPU und spezialisierter Hardware (ASIC).

Salt ergänzt den Schutzmechanismus: Indem jedem Passwort vor dem Hashing ein einzigartiger Wert hinzugefügt wird, wird sichergestellt, dass zwei Nutzer mit demselben Passwort unterschiedliche Hashes erzeugen. Damit werden Rainbow-Table-Angriffe wirkungslos.

Warum sollte man ein Passwort niemals wiederverwenden?

Weil Milliarden von Benutzername-/Passwort-Kombinationen aus Datenlecks frei kursieren. Angreifer testen diese automatisch auf Dutzenden von Diensten – das sogenannte Credential Stuffing.

Wenn Sie dasselbe Passwort für Ihr E-Mail-Konto und ein vor drei Jahren gehacktes Forum verwenden, ist Ihr E-Mail-Konto potenziell kompromittiert. Und das E-Mail-Konto ist oft der Generalschlüssel zu allem anderen: Über es laufen die „Passwort vergessen"-Links all Ihrer anderen Konten.

Die einzige Absicherung: ein einzigartiges Passwort pro Dienst, ausnahmslos. Das macht einen Passwort-Manager in der Praxis unverzichtbar – niemand kann sich Dutzende langer, zufälliger Passwörter merken.

Dienste wie Have I Been Pwned (haveibeenpwned.com) ermöglichen es zu prüfen, ob eine E-Mail-Adresse oder ein Passwort in einer bekannten kompromittierten Datenbank auftaucht. Das ist ein nützliches Werkzeug, um objektiv zu entscheiden, wann ein Passwort geändert werden sollte – ohne auf eine willkürliche Rotation warten zu müssen.

Was ist eine Passphrase und warum ist sie effektiv?

Eine Passphrase ist eine Folge zufälliger Wörter, die als Passwort verwendet wird – zum Beispiel „Pferd Batterie Heftklammer Berg Kaktus". Sie ist gleichzeitig lang, sicher und einprägsam.

Die Entropie einer Passphrase aus 5 Wörtern, die aus einem Wörterbuch mit 7.776 Einträgen gezogen werden (Diceware-Methode), ist vergleichbar mit der eines zufälligen Passworts aus 12 bis 14 Zeichen. Dabei ist sie ungleich leichter zu merken.

Die Passphrase eignet sich besonders gut als Master-Passwort für einen Passwort-Manager – das einzige, das man sich wirklich merken muss. Für alle anderen Passwörter ist ein integrierter Generator vorzuziehen: Er erzeugt kryptografische Zufälligkeit ohne menschliche Verzerrung – etwas, das unser Gehirn schlicht nicht leisten kann. Der Passwort-Manager von Octopussian enthält einen solchen Generator.

Reicht ein starkes Passwort zum Schutz aus?

Nein. Mehrere Angriffsvektoren machen die intrinsische Qualität eines Passworts bedeutungslos.

Shoulder Surfing – ein Blick über die Schulter im Großraumbüro oder in öffentlichen Verkehrsmitteln – wird unterschätzt, weil es nicht wie ein Cyberangriff aussieht. Ein Keylogger, ob als Hard- oder Software, fängt das Passwort ab, bevor es überhaupt an den Server übermittelt wird. Und Phishing verleitet den Nutzer dazu, sein Passwort selbst auf einer betrügerischen Website einzugeben: In diesem Fall sind Länge und Komplexität vollkommen irrelevant.

Diese Realitäten sprechen für einen mehrschichtigen Ansatz: Ein gutes Passwort ist notwendig, aber nicht hinreichend. Zwei-Faktor-Authentifizierung und Wachsamkeit gegenüber Phishing ergänzen den Schutz.

Warum ist Passwortsicherheit in Unternehmen eine kollektive Angelegenheit?

Weil ein einziges kompromittiertes Konto den gesamten gemeinsam genutzten Arbeitsbereich gefährden kann – Daten von Kollegen, Kundendaten, den Ruf des Unternehmens.

Ein Mitarbeiter, der seinen Zugang zu einem Aufgaben-Tracking-Tool schlecht absichert, denkt vielleicht, das Risiko sei gering. Aber dieses Tool enthält potenziell Spezifikationen, Kundenkommunikation und Informationen zur internen Infrastruktur. Ein Angreifer, der durch diese Tür eindringt, kann sich lateral zu weit sensibleren Zielen vorarbeiten.

Passwortsicherheit im Team ist eine gemeinsame Verantwortung. Das rechtfertigt Verwaltungsfunktionen in einem Passwort-Manager: Mindestregeln durchsetzen, die Aktivierung der Zwei-Faktor-Authentifizierung bei jedem Teammitglied prüfen und Zugänge schnell widerrufen können, ohne auf das gute Willen Einzelner angewiesen zu sein.

Warum legen manche Websites absurde Passwortregeln fest?

Weil ihre Systeme Passwörter serverseitig nicht korrekt verarbeiten. Eine Maximallänge von 10 oder 12 Zeichen, das Verbot bestimmter Sonderzeichen oder die Ablehnung bestimmter Kombinationen „aus Sicherheitsgründen" deutet häufig darauf hin, dass Passwörter im Klartext oder mit schlechtem Hashing gespeichert werden.

Ein korrekt gehashtes Passwort (mit bcrypt oder Argon2) hat keinerlei Grund, in der Länge begrenzt zu werden. Wenn Sie bei einem Dienst kein langes, zufälliges Passwort verwenden können, ist das ein Warnsignal für die Gesamtqualität seiner Sicherheit.

Das Wichtigste auf einen Blick

  • Setzen Sie auf Länge statt Komplexität. 16 Kleinbuchstaben sind sicherer als 8 Zeichen mit allen Zeichentypen.
  • Ändern Sie Passwörter nicht aus Gewohnheit. Das NIST rät davon seit 2017 offiziell ab.
  • Ein einzigartiges Passwort pro Dienst. Credential Stuffing nutzt Wiederverwendung in großem Maßstab aus.
  • Eine Passphrase für das, was Sie sich merken müssen. Einen Generator für alles andere.
  • Im Team ist es eine kollektive Verantwortung. Ein einziges schwaches Konto gefährdet alle.

Entdecken Sie, wie Octopussian die Passwortverwaltung im Team vereinfacht →

Kostenlos registrieren

Keine Kreditkarte erforderlich. Registrierung in 1 Minute

Steigern Sie Ihre Effizienz ab heute. Registrieren Sie sich für eine kostenlose Testversion.

Wir verwenden Ihre E-Mail-Adresse und Ihren Namen,
um Ihren Octopussian-Arbeitsbereich zu erstellen.

oder
@ Mit meiner E-Mail-Adresse fortfahren

Wir respektieren Ihre Privatsphäre. Ihre Daten werden nicht für andere Zwecke verwendet.
Mit der Registrierung stimmen Sie unseren Nutzungsbedingungen und unserer Datenschutzrichtlinie zu.