Der Ratschlag, der Ihre Passworter schwacher macht
"Verwenden Sie einen Grossbuchstaben, eine Zahl und ein Sonderzeichen." Sie haben es tausendmal gehort. Ihre Bank verlangt es. Ihr Arbeitgeber schreibt es vor. IT-Abteilungen weltweit wiederholen es wie ein Mantra.
Es gibt ein Problem: das National Institute of Standards and Technology (NIST), die US-Bundesbehorde, die das Standardwerk zur Passwortsicherheit verfasst hat, hat ihre Richtlinien 2017 aktualisiert und sagt das genaue Gegenteil. NIST Special Publication 800-63B empfiehlt ausdrucklich gegen erzwungene Komplexitatsregeln und obligatorische regelmasige Passwortwechsel. Der Grund ist nicht philosophischer Natur. Er ist mathematischer Natur.
Wie Passwort-Cracking in 2026 wirklich funktioniert
Wenn ein Hacker eine gestohlene Passwort-Datenbank erhalt, versucht er nicht, ein Passwort nach dem anderen zu erraten. Er betreibt ein automatisiertes Cracking-System. Eine einzelne NVIDIA RTX 4090-Grafikkarte kann etwa 300 Milliarden NTLM-Hash-Kombinationen pro Sekunde testen. Nicht pro Stunde. Pro Sekunde.
Gegenuber dieser Rechenleistung zeigt die Hive Systems Password Table 2024 fur Passworter mit Gross- und Kleinbuchstaben, Zahlen und Symbolen (94 mogliche Zeichen pro Position):
| Passwortlange | Cracking-Zeit (RTX 4090) |
|---|---|
| 8 Zeichen | 59 Minuten |
| 10 Zeichen | 5 Monate |
| 12 Zeichen | 226 Jahre |
| 14 Zeichen | 2 Millionen Jahre |
| 16 Zeichen | 92 Milliarden Jahre |
Der Sprung von 8 auf 12 Zeichen ist nicht linear. Er ist exponentiell. Das ist das direkte Ergebnis der Passwort-Entropie.
Die Mathematik der Entropie
Die Passwortsicherheit wird in Bits Entropie gemessen. Die Formel ist einfach:
E = L x log2(R)
Wobei:
- E die Entropie in Bits ist
- L die Passwortlange in Zeichen ist
- R die Grosse des Zeichenpools ist (nur Kleinbuchstaben = 26, plus Grossbuchstaben = 52, plus Ziffern = 62, plus Symbole = 94)
Ein 8-Zeichen-Passwort mit allen 94 druckbaren ASCII-Zeichen erreicht:
8 x log2(94) = 8 x 6,55 = 52,4 Bits Entropie
Ein 16-Zeichen-Passwort mit nur Kleinbuchstaben erreicht:
16 x log2(26) = 16 x 4,70 = 75,2 Bits Entropie
Mehr Entropie aus einem einfacheren Zeichensatz, nur weil die Lange die Gleichung dominiert. Deshalb priorisiert NIST die Lange gegenuber der Komplexitat.
Die 5 Muster, die Hacker vor dem Brute-Force-Angriff ausnutzen
Moderne Cracking-Tools beginnen nicht damit, jede mogliche Kombination auszuprobieren. Sie starten mit regelbasierten Angriffen auf die haufigsten menschlichen Verhaltensweisen, weil menschliche Entscheidungen vorhersehbar sind:
1. Worterbuchwarter mit Zeichenersetzungen. "P@ssw0rt" wird von jedem modernen Tool sofort geknackt. Hashcat enthalt vorgefertigte Regeln fur alle gangigen Ersetzungen: a wird @, e wird 3, o wird 0, s wird $. Ersetzungsregeln fugen keine echte Sicherheit hinzu.
2. Wort gefolgt von Zahlen. "Sommer2024", "Fussball123", "Passwort1!". Post-Breach-Analysen zeigen, dass dieses Muster mehr als 40% der geknackten Unternehmenspassworter ausmacht.
3. Tastatur-Sequenzen. "qwertz", "1qaz2wsx", "asdfgh". Jedes Cracking-Worterbuch enthalt tausende von tastaturnahen Sequenzen.
4. Wiederholte oder entropieschwache Muster. "aaaaaa1!", "abcabc!", "121212ab". Cracking-Tools messen Zeichenhaufigkeit und Dichte einzigartiger Zeichen.
5. Zuvor kompromittierte Passworter. Have I Been Pwned (HIBP) indiziert derzeit uber 13 Milliarden einzigartige kompromittierte Passworter. Wenn Ihr Passwort in dieser Datenbank erscheint, wird es in Millisekunden abgeglichen, unabhangig davon, wie "komplex" es aussieht.
Was NIST wirklich empfiehlt
NIST SP 800-63B, Abschnitt 5.1.1, enthalt drei Anforderungen, die den Regeln widersprechen, die die meisten Organisationen heute noch durchsetzen:
Anforderung 1: Mindestens 8 Zeichen, mit einer starken Empfehlung fur 15 oder mehr. Komplexitatsanforderungen werden als optional beschrieben. Die Lange ist der Haupttreiber der Sicherheit.
Anforderung 2: Keine erzwungenen regelmasigen Passwortwechsel. Das Erzwingen von Passwortwechseln alle 90 Tage fuhrt zu hochst vorhersehbaren Ergebnissen: Benutzer inkrementieren eine Zahl am Ende oder nehmen die kleinst mogliche Anderung vor.
Anforderung 3: Neue Passworter gegen bekannte Breach-Datenbanken prufen. Jedes Passwort ablehnen, das in einer bekannten kompromittierten Liste erscheint, nicht Passworter, die einfach seit 90 Tagen in Gebrauch sind.
Das 2025-Update zu NIST SP 800-63B-4 hat diese Positionen weiter gestutzt und besagt, dass Prufstellen "keine anderen Kompositionsregeln auferlegen sollen" uber die Mindestlange hinaus.
Der Praxisrahmen fur wirklich sichere Passworter
Mindestens 16 Zeichen fur jeden Account, der finanzielle, berufliche oder personliche Daten schutzt. Die Cracking-Zeit bei dieser Lange betragt selbst mit der schnellsten heute verfugbaren Hardware Milliarden von Jahren.
Verwenden Sie Passphrasen, wo Merkbarkeit wichtig ist. Vier zufallige, zusammenhanglose Worter ("lila Regen Steckdose Marmor") erzeugen etwa 74 Bits Entropie und sind deutlich leichter zu merken als "P@ssw0rt!" bei gleichzeitig um Grossenordnungen schwieriger zu cracken.
Einzigartiges Passwort fur jeden Account, ausnahmslos. Passwort-Wiederverwendung ist die haufigste Ursache fur Account-Ubernahmen.
Niemals personlich identifizierbare Informationen einbeziehen. Geburtsjahre, Kindernamen, Haustiernamen und Stadtnamen werden bei gezielten Angriffen gegen bestimmte Personen verwendet.
Haufig gestellte Fragen
Wie oft sollte ich mein Passwort andern?
Gemas NIST SP 800-63B sollten Sie ein Passwort andern, wenn es Hinweise auf eine Kompromittierung gibt, nicht nach einem festen Zeitplan. Ein starkes, einzigartiges Passwort, das nicht kompromittiert wurde, wird mit der Zeit nicht schwacher.
Sind Passwort-Manager sicher?
Ja. Ein Passwort-Manager mit einem starken Master-Passwort ist deutlich sicherer als die Wiederverwendung merkbarer Passworter uber mehrere Sites hinweg.
Reicht ein 12-Zeichen-Passwort in 2026 noch aus?
Fur die meisten personlichen Konten ja. 226 Jahre bei aktuellen GPU-Geschwindigkeiten ist praktische Sicherheit. Fur hochwertige Ziele sind 16 Zeichen oder mehr die sicherere Wahl.