Passwörter schützen fast alles, was wir online tun – E-Mail, Banking, soziale Medien, Cloud-Speicher, Entwicklerplattformen und mehr. Die Wahl der richtigen Länge (und Zusammensetzung) für ein Passwort ist eine der einfachsten Möglichkeiten, die Sicherheit zu verbessern, ohne Ihren täglichen Arbeitsablauf stark zu verändern.
Dieser Artikel erklärt, wie lang ein Passwort sein sollte, warum die Länge wichtig ist, was führende Standardorganisationen empfehlen und wie man starke, einzigartige Passwörter erstellt, die einfach zu verwalten sind.
Was ist ein starkes Passwort?
Ein starkes Passwort ist eines, das für Angreifer schwer zu erraten oder zu berechnen ist. Die Stärke ergibt sich aus zwei Hauptzutaten:
- Länge: Mehr Zeichen erhöhen dramatisch die Anzahl der möglichen Kombinationen.
- Unvorhersehbarkeit: Zufälligkeit und das Vermeiden von gängigen Mustern oder persönlichen Informationen.
Wenn diese beiden Faktoren vorhanden sind, widerstehen Passwörter Brute-Force-Angriffen (systematisches Ausprobieren von Kombinationen), Wörterbuchangriffen (Versuch von gängigen Wörtern und Mustern) und vielen automatisierten Angriffstechniken.
Minimale Passwortlänge: mindestens 16 Zeichen (oder mehr) anstreben
Sicherheitsexperten betonen stets die Länge. Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) empfiehlt, Passwörter zu wählen, die „Lang – mindestens 16 Zeichen lang (noch länger ist besser)“ sind. Sie können ihre Anleitung hier lesen: https://www.cisa.gov/secure-our-world/require-strong-passwords
Das National Institute of Standards and Technology (NIST) nimmt in seinem Digital Identity Guidelines eine ähnliche Haltung ein und hebt hervor, dass die Passwortlänge ein primärer Faktor zur Charakterisierung der Passwortstärke ist und dass Benutzer ermutigt werden sollten, längere Passwörter zu erstellen, wo dies praktikabel ist. Siehe: https://pages.nist.gov/800-63-4/sp800-63b.html
In der Praxis sollten 14 Zeichen als Untergrenze betrachtet werden, während 16+ Zeichen eine bessere Standardeinstellung sind. Für besonders sensible oder langlebige Konten ist es von Vorteil, sogar noch längere Passwörter zu verwenden – vorausgesetzt, die Website erlaubt es und Sie können das Passwort sicher speichern.
Ist das längste Passwort immer das beste?
Länger ist fast immer stärker gegen Brute Force. Aber es gibt einige praktische Überlegungen:
- Webseiten-Beschränkungen: Einige Dienste begrenzen die maximale Länge oder verbieten bestimmte Zeichen. Wenn das passiert, verwenden Sie die längste erlaubte Länge mit hoher Zufälligkeit.
- Benutzerfreundlichkeit: Wenn Sie Passwörter auf kleinen Geräten oder in eingeschränkten Umgebungen eingeben, könnten extrem lange Zeichenfolgen umständlich sein – es sei denn, Sie verwenden einen Passwortmanager zur automatischen Eingabe.
- Bedrohungsmodell: Bei Konten mit starkem Raten-Limit und Multi-Faktor-Authentifizierung (MFA) kann es abnehmende Erträge geben, über 20–24 Zeichen hinauszugehen, im Vergleich zur MFA-Aktivierung und Sicherstellung einzigartiger Passwörter.
Fazit: Verwenden Sie das längste, zufälligste Passwort, das den Richtlinien der Seite entspricht und in Ihren Workflow passt – und fügen Sie MFA hinzu, wo verfügbar.
Brauche ich Zahlen, Großbuchstaben und Sonderzeichen?
Viele Seiten verlangen eine Mischung von Zeichensätzen (Kleinbuchstaben, Großbuchstaben, Ziffern, Symbole). Das Einschließen mehrerer Sätze vergrößert im Allgemeinen den Suchraum und behindert Ratenangriffe. Allerdings sind „Komplexitätsregeln“ weniger wichtig als Länge und Zufälligkeit. Ein 20-stelliges zufälliges Passwort, das nur Buchstaben verwendet, kann stärker sein als eine 8-stellige Zeichenfolge, die jeden Zeichentyp mischt.
Wenn eine Website Kompositionsregeln erzwingt, lassen Sie Ihren Passwortmanager ein zufälliges Passwort erzeugen, das diese erfüllt. Wenn nicht, priorisieren Sie Länge und Zufälligkeit über erzwungene Komplexität.
Die vier häufig referenzierten Zeichensätze sind:
- Ziffern (0–9)
- Kleinbuchstaben (a–z)
- Großbuchstaben (A–Z)
- Symbole (z.B. ! $ % & ? # @)
Zufälligkeit: der Schlüssel zu wirklicher Stärke
Länge allein reicht nicht aus, wenn das Passwort vorhersehbaren Mustern folgt. Vermeiden Sie:
- Tastaturabfolgen wie
1qaz2wsxoderqwertyuiop - Gängige Wörter und Phrasen (auch sehr lange)
- Persönliche Informationen (Namen, Daten, Adressen)
Zwei großartige Möglichkeiten, um Zufälligkeit zu erreichen, mit der Sie leben können:
- Zufällige Passwörter: Lassen Sie einen Passwortgenerator 16–24 Zeichen lange Zeichenfolgen erstellen, die mehrere Zeichensätze enthalten. Speichern Sie sie in einem Passwortmanager, damit Sie sie nie auswendig lernen müssen.
- Passphrasen: Verwenden Sie 4–6 zufällig ausgewählte Wörter (kein gängiges Zitat oder Liedtext). Zufällige Wortpassphrasen wie
Tunnel-Magnet-Seide-Sauerstoff-Duettkönnen sowohl lang als auch einprägsamer sein. Fügen Sie Trennzeichen hinzu und, sofern erlaubt, ein Symbol oder eine Zahl.
Warum „sehr lang" dennoch schwach sein kann
Einige lange Zeichenfolgen sind einfache Ziele, weil sie offensichtlichen Mustern folgen oder in kompromittierten Datensätzen auftauchen. Längere Tastaturabläufe, sich wiederholende Zeichenblöcke oder weit verbreitete "Tricks" gehören zu den ersten Vermutungen, die moderne Crack-Tools versuchen. Länge muss mit Unvorhersehbarkeit gepaart werden, um effektiv zu sein.
Bevor Sie ein Passwort verwenden, ist es ratsam sicherzustellen, dass es nicht in bekannten kompromittierten Datensätzen erscheint. Viele Passwortmanager und Sicherheitstools bieten „Wurde ich Opfer eines Hackerangriffs?"-Überprüfungen oder ähnliche Screening-Methoden. Sie können auch einen Passwortstärke-Tester verwenden, um Ihre Passwörter zu bewerten.
Über das Erraten hinaus: Phishing- und Wiederverwendungsrisiken
Nicht alle Kontoübernahmen beinhalten das Erraten. Phishing und Wiederverwendung sind häufige Ursachen für Kompromisse:
- Phishing: Selbst ein 30-stelliges Passwort kann gestohlen werden, wenn Sie es auf einer gefälschten Website eingeben. Verwenden Sie MFA, wo immer möglich, und erwägen Sie Hardware-Sicherheitsschlüssel für hochrangige Konten.
- Wiederverwendung: Wenn Sie ein Passwort wiederverwenden, kann eine Sicherheitsverletzung auf einer Website auf andere übergreifen. Einzigartige Passwörter pro Seite begrenzen den Schaden.
Länge hilft gegen das Erraten, Phishing und Wiederverwendung werden jedoch durch MFA und einen Passwortmanager gemindert, der einzigartige Anmeldeinformationen mühelos macht.
Beste Praktiken für starke Passwörter
- Verwenden Sie einen Passwortmanager: Erstellen und speichern Sie einzigartige, zufällige Passwörter für jedes Konto. Dies beseitigt die Notwendigkeit, sie sich zu merken, und vereinfacht die Verwendung langer Zeichenfolgen.
- Bevorzugen Sie Länge und Zufälligkeit: Streben Sie 16+ Zeichen an. Falls möglich, fügen Sie mehrere Zeichensätze hinzu, opfern Sie jedoch nicht die Länge, um willkürliche Regeln zu erfüllen.
- Schalten Sie MFA überall ein: App-basierte TOTP, Push-basierte Authentifizierer oder Hardware-Schlüssel reduzieren das Risiko erheblich.
- Verwenden Sie keine Passwörter mehrfach: Eine Seite, ein Passwort – immer.
- Vermeiden Sie persönliche Informationen und Muster: Keine Namen, Geburtstage, Adressen oder Tastaturwege.
- Überprüfen Sie regelmäßig kritische Konten: E-Mail, Finanzdienstleistungen, Entwicklerplattformen und Administrationskonsolen verdienen zusätzliche Aufmerksamkeit.
Einzigartige, starke Passwörter für jedes Konto verwalten
Der praktische Weg, um 16–24-stellige einzigartige Passwörter über Dutzende (oder Hunderte) von Websites hinweg zu skalieren, ist die Verwendung eines Passwortmanagers. Mit einem Manager können Sie:
- Starke Passwörter erstellen, die auf die Richtlinien jeder Website zugeschnitten sind (probieren Sie unseren Passwortgenerator aus)
- Automatisch ausfüllen, um Tippfehler zu vermeiden (und die Gefahr des Schulterblicks zu reduzieren)
- Sicher über Geräte hinweg synchronisieren
- Auf wiederverwendete, schwache oder kompromittierte Passwörter überprüfen (verwenden Sie unseren Passwortstärke-Tester)
Wenn eine Website die Länge oder Symbole einschränkt, konfigurieren Sie den Generator entsprechend – priorisieren Sie dennoch die maximale Länge.
Kurze Empfehlungen
- Alltägliche Konten: 16–20 zufällige Zeichen
- Hochwertige Konten (E-Mail, Banking, Cloud-Admin): 20–24 zufällige Zeichen + MFA
- Langfristige Geheimnisse (API-Schlüssel, SSH-Schlüssel): Verwendung der Manager-Speicherung; befolgen Sie die Plattformvorgaben; bevorzugen Sie Passphrasen nur, wenn sie wirklich zufällig sind
Abschließende Gedanken
Wie lang sollte ein Passwort sein? So lang wie die Seite es zulässt – streben Sie mindestens 16 Zeichen an – und machen Sie es zufällig und einzigartig. Fügen Sie MFA als starke zweite Schicht hinzu. Mit einem Passwortmanager, der die Erstellung und Speicherung übernimmt, können Sie eine robuste Sicherheit ohne zusätzliche kognitive Belastung haben.
