„Mindestens 8 Zeichen, ein Großbuchstabe, eine Zahl und ein Sonderzeichen" — diese Anforderung kennt fast jeder. Sie ist aber in vielen Situationen nicht mehr ausreichend. Dieses Artikel erklärt, warum Länge wichtiger ist als Komplexität, was Entropie mit deinen Passwörtern zu tun hat und wie die Satzmethode dir hilft, Passwörter zu erstellen, die du dir tatsächlich merken kannst.
Das Passwort-Problem: Warum „P@ssw0rd" schwach ist
Stell dir vor, ein Angreifer versucht, dein Passwort zu erraten. Moderne Computer können Milliarden Kombinationen pro Sekunde testen. Dabei gibt es zwei Hauptstrategien:
Dictionary Attacks (Wörterbuchangriffe): Der Angreifer testet zuerst eine Liste bekannter Passwörter, häufiger Wörter, Namen und typischer Variationen: „Password", „P@ssword", „Passw0rd", „P4ssw0rd!". Diese Liste enthält Millionen Einträge — und trifft erschreckend oft.
Credential Stuffing: Milliarden von Benutzername-Passwort-Kombinationen aus früheren Datenlecks sind frei im Internet verfügbar. Angreifer nutzen diese Listen systematisch und testen sie bei anderen Diensten. Wer dasselbe Passwort auf mehreren Seiten nutzt, ist hier besonders verwundbar.
Das Problem mit „P@ssw0rd": Sonderzeichen und Zahlen als Ersatz für Buchstaben (l33tspeak) sind so verbreitet, dass Angriffswerkzeuge diese Muster automatisch testen. „P@ssw0rd" ist nicht schwerer zu knacken als „password" — es steht in jeder modernen Wörterbuchliste.
Entropie: Warum Länge gewinnt
Entropie beschreibt, wie viel Zufälligkeit — und damit Unvorhersehbarkeit — ein Passwort hat. Vereinfacht gesagt: Je mehr mögliche Kombinationen ein Passwort haben könnte, desto höher die Entropie.
Die Anzahl der Kombinationen wächst exponentiell mit der Länge:
| Passwort-Typ | Länge | Zeichenraum | Mögliche Kombinationen |
|---|---|---|---|
| 8 Zeichen, komplex (a-z + A-Z + 0-9 + 10 Sonderzeichen, ~72 Zeichen) | 8 | 72 | ~772 Billionen |
| 12 Zeichen, nur Kleinbuchstaben | 12 | 26 | ~95 Tausend Billionen |
| 16 Zeichen, nur Kleinbuchstaben | 16 | 26 | ~44 Millionen Billionen |
| 20 Zeichen, nur Kleinbuchstaben | 20 | 26 | ~20 Milliarden Billionen |
Schon ein 12-Zeichen-Passwort aus reinen Kleinbuchstaben hat weit mehr mögliche Kombinationen als ein 8-Zeichen-Passwort mit maximaler Komplexität. Moderne GPU-Cluster können etwa 100 Milliarden Passwortversuche pro Sekunde machen — gegen ein 16-Zeichen-Passwort würden sie selbst im Best Case Jahrtausende brauchen, bei 20 Zeichen mehrere Millionen Jahre.
Die praktische Konsequenz: Länge schlägt Komplexität. Ein 16-stelliges zufälliges Kleinbuchstaben-Passwort ist sicherer als „8-stellig mit allen Zeichenklassen". In der Praxis kombiniert man natürlich beides — aber Länge sollte die primäre Stellschraube sein.
Die häufigsten Fehler
Passwort-Wiederverwendung
Der größte einzelne Sicherheitsfehler überhaupt. Wenn ein Dienst gehackt wird (und das passiert ständig), testet der Angreifer deine E-Mail + Passwort-Kombination sofort bei 100 anderen populären Diensten. Ein mehrfach genutztes Passwort ist ein zentraler Punkt des Versagens.
Kleine Variationen
„Facebook2023", „Facebook2024", „Facebook2025!" — diese Muster sind weit bekannt und werden automatisch getestet. Variationen durch Jahresangabe oder hinzugefügtes Ausrufezeichen erhöhen die Sicherheit kaum.
Persönliche Informationen
Geburtsdatum, Name des Haustiers, Lieblingsverein, Partnername — all das erscheint in Angriffslisten, weil Angreifer öffentliche Social-Media-Profile analysieren. Was auf Instagram oder Facebook sichtbar ist, darf nicht im Passwort auftauchen.
Tastaturmuster
„qwertzuiop", „asdfghjkl", „123456789" und deren Variationen sind sofort durchsucht. Auch diagonale Muster wie „1q2w3e4r" sind bekannt.
Die Satzmethode: leicht merken, schwer knacken
Die Satzmethode (auch Passphrase-Methode mit Buchstaben-Akronym) verbindet Einprägsamkeit mit hoher Sicherheit. Das Prinzip:
Schritt 1: Denke dir einen langen, persönlichen und einprägsamen Satz aus. Kein bekanntes Zitat, keine Songzeile — sondern etwas aus deinem Leben.
Schritt 2: Nimm den ersten Buchstaben jedes Wortes. Behalte die Groß-/Kleinschreibung bei.
Schritt 3: Übernimm Satzzeichen (Komma, Punkt, Ausrufezeichen) an der entsprechenden Position.
Schritt 4 (optional): Ersetze kurze, häufige Wörter durch Ziffern: „eine" → „1", „zwei" → „2".
Das kanonische Beispiel
Satz: „Ich habe eine kleine, süße Katze mit dem Namen Kitty."
Schritt für Schritt:
- I → I
- habe → h
- eine → 1 (optional Ziffer-Ersatz)
- kleine → k
- , → , (Komma an dieser Position)
- süße → s
- Katze → K
- mit → m
- dem → d
- Namen → N
- Kitty → K
- . → . (Punkt am Ende)
Ergebnis: Ih1k,sKmdNK.
Das ist 12 Zeichen lang, enthält Groß- und Kleinbuchstaben, eine Zahl und Satzzeichen — und ist gleichzeitig durch den Satz verankert. Du brauchst den Satz, um das Passwort zu rekonstruieren, und der Satz ist dein persönliches Gedächtnisanker.
Warum die Satzmethode funktioniert
Für einen Angreifer sieht Ih1k,sKmdNK. aus wie ein zufälliges Passwort. Es ist nicht in Wörterbuchlisten, es gibt keine erkennbaren Muster. Die Entropie entspricht praktisch einem zufälligen 12-Zeichen-Passwort.
Für dich hingegen ist es rekonstruierbar — du erinnerst dich an den Satz, nicht an String aus Buchstaben und Sonderzeichen.
Tipps für gute Sätze
- Persönlich und konkret: Erinnerungen, spezifische Erlebnisse, lokale Bezüge
- Lang genug für mindestens 12 Zeichen: Ein Satz mit 10+ Wörtern (oder 2 kürzere Sätze hintereinander).
- Kein berühmtes Zitat: Songzeilen, Filmzitate, Sprichwörter werden in Angriffslisten aufgenommen
- Für jeden Dienst ein anderer Satz: So hast du automatisch unterschiedliche Passwörter
Passwort-Manager als sinnvolle Ergänzung
Die Satzmethode eignet sich hervorragend für Passwörter, die du regelmäßig tippst und die du auswendig kennen musst: dein Computer-Login, vielleicht dein E-Mail-Hauptkonto, oder das Haupt-Passwort für deinen Passwort-Manager.
Für die Vielzahl anderer Dienste ist ein Passwort-Manager die pragmatische Lösung. Er generiert echte Zufallspasswörter für jeden Dienst und speichert sie verschlüsselt. Du brauchst dir nur noch ein starkes Master-Passwort zu merken — und genau dafür ist die Satzmethode ideal.
Beispiele für bekannte Passwort-Manager: Bitwarden (Open Source, kostenlos), 1Password, KeePassXC (lokal, kein Cloud-Sync) — alle drei haben gute Reputationen in der Sicherheitscommunity.
Die Kombination aus Satzmethode für dein Master-Passwort und einem Passwort-Manager für alle anderen Zugänge ist heute der pragmatischste Weg zu hoher Passwortsicherheit ohne täglichen Aufwand.
Was tun bei einem Datenleck?
Manchmal ist das Passwort stark — aber der Dienst, bei dem du es nutzt, wird trotzdem kompromittiert. In diesem Fall ist Reaktionsgeschwindigkeit wichtig:
- Sofort das Passwort ändern — beim betroffenen Dienst (und bei allen anderen, wo du dasselbe Passwort verwendest - aber sowas würdest du niemals tun, oder?)
- Prüfen, ob deine E-Mail-Adresse betroffen ist — Dienste wie HaveIBeenPwned.com ermöglichen eine Abfrage anonymisiert (nur der Hash wird gesendet)
- Zwei-Faktor-Authentifizierung aktivieren — wenn vorhanden; ein zusätzlicher Code per App schützt auch nach Passwort-Leak
- Kontoaktivitäten prüfen — unbekannte Logins, Adressänderungen oder andere verdächtige Aktionen vorzeitig erkennen
Datenlecks sind kein seltenes Ereignis. Milliarden von Anmeldedaten sind in geleakten Datenbanken verfügbar. Wer für jeden Dienst ein eigenes Passwort hat, begrenzt den Schaden automatisch.
Einfach ausprobieren
Du kannst sichere Passwörter direkt im Browser generieren — ohne dass deine Passwörter einen Server verlassen:
→ Passwort-Generator auf Browser-Werkstatt — Wähle Länge, Zeichenklassen und generiere zufällige Passwörter, vollständig lokal ohne Datenweitergabe.
Zusammenfassung: Länge ist der wichtigste Faktor für sichere Passwörter — wichtiger als Sonderzeichen oder Komplexitätsanforderungen. Die Satzmethode verbindet hohe Entropie mit Einprägsamkeit: Nimm einen persönlichen Satz, nutze die Anfangsbuchstaben mit originaler Groß-/Kleinschreibung und Satzzeichen, und du hast ein starkes, merkenswürdiges Passwort. Für alle anderen Dienste empfiehlt sich ein Passwort-Manager.