Sicheres Passwort erstellen: Der vollständige NIST-Leitfaden 2026

Die meisten Passwort-Ratschläge im Internet sind falsch. Nicht leicht falsch — grundlegend falsch. Sie fordern Komplexitätsregeln (Großbuchstabe! Symbol! Zahl!), die Passwörter wie P@ssw0rt1 produzieren — technisch komplex, sofort erratbar. Das US-amerikanische National Institute of Standards and Technology hat seine Passwort-Richtlinien 2024 grundlegend überarbeitet. Hier steht, was wirklich wichtig ist.

Das Wichtigste: Länge

Der Widerstand eines Passworts gegen Brute-Force-Angriffe wächst exponentiell mit der Länge. Ein Zeichen mehr bedeutet nicht nur etwas schwerer zu knacken — es bedeutet eine Größenordnung schwerer.

| Länge | Nur Kleinbuchstaben | Groß-/Kleinbuchstaben + Zahlen + Symbole | |---|---|---| | 8 Zeichen | In Minuten geknackt | Stunden | | 12 Zeichen | Tage | Jahre | | 16 Zeichen | Jahrhunderte | Länger als das Universum | | 20+ Zeichen | Praktisch unknackbar | Praktisch unknackbar |

Deshalb empfiehlt NIST SP 800-63B (die meistzitierten Passwort-Richtlinien weltweit) jetzt ein Minimum von 15 Zeichen — und stellt fest, dass das Vorschreiben von Sonderzeichen oder Großbuchstaben die Nutzbarkeit erschwert, ohne die Sicherheit wesentlich zu verbessern.

Was die NIST-Richtlinien 2024/2025 tatsächlich sagen

Die neuen NIST-Richtlinien haben mehrere Jahrzehnte verbreiteter Ratschläge umgekehrt:

Empfohlen:

• Lange Passwörter (mindestens 15 Zeichen)
• Passwort-Manager zum Generieren und Speichern nutzen
• Passwörter gegen Listen bekannter kompromittierter Passwörter prüfen
• Kopieren und Einfügen in Passwortfelder erlauben

Nicht mehr empfohlen:

• Regelmäßige Passwortänderungen erzwingen (Nutzer hängen einfach !1 an das alte Passwort)
• Spezifische Komplexitätsregeln vorschreiben (Nutzer erfüllen das Minimum: Passwort1!)
• Sicherheitsfragen auf Basis persönlicher Daten
• Ausschließlich SMS-basierte Zwei-Faktor-Authentifizierung

Das eigentliche Problem: Wiederverwendung

Die größte Passwort-Schwachstelle bei den meisten Menschen sind nicht schwache Passwörter — es ist die Wiederverwendung von Passwörtern. Wenn eine Website kompromittiert wird (und das passiert ständig — Milliarden von Datensätzen wurden allein 2024 offengelegt), ist jedes andere Konto mit demselben Passwort ebenfalls gefährdet.

Die Lösung ist im Prinzip einfach: Jedes Konto bekommt ein einzigartiges, zufällig generiertes Passwort. Die Herausforderung ist das Merken. Hier kommen Passwort-Manager und Generatoren ins Spiel.

Was ein wirklich starkes Passwort ausmacht

Ein starkes Passwort hat zwei Eigenschaften:

1. Hohe Entropie — es ist unvorhersehbar. Ein zufälliger String aus 16 Zeichen aus einem 94-Zeichen-Pool hat etwa 105 Bit Entropie. Ein von Menschen gewähltes „zufälliges" 16-Zeichen-Passwort hat typischerweise 30–40 Bit, weil Menschen schlecht darin sind, wirklich zufällig zu sein.

2. Einzigartigkeit — niemals für mehrere Konten verwendet. Ein Passwort mit 100 Bit Entropie, das auf 10 Seiten verwendet wird, bietet schwächere praktische Sicherheit als 10 separate 80-Bit-Passwörter.

Zeichensätze und warum sie wichtig sind

Die Mathematik hinter der Passwortstärke: Entropie = Länge × log₂(Pool-Größe)

| Zeichensatz | Pool-Größe | Bit pro Zeichen | |---|---|---| | Nur Ziffern (0–9) | 10 | 3,32 | | Kleinbuchstaben | 26 | 4,70 | | Groß- + Kleinbuchstaben | 52 | 5,70 | | Groß- + Kleinbuchstaben + Ziffern | 62 | 5,95 | | Groß- + Kleinbuchstaben + Ziffern + Symbole | 92–95 | 6,48–6,57 |

Jeder zusätzliche Zeichentyp bringt weniger als ein Bit pro Zeichen. Jedes zusätzliche Zeichen bringt den vollen Bit-pro-Zeichen-Wert. Länge ist immer effizienter als Komplexität.

Ein 20-Zeichen-Kleinbuchstaben-Passwort (94 Bit) ist stärker als ein 12-Zeichen-Passwort mit allen Zeichentypen (78 Bit).

Häufige Fehler, die starke Passwörter untergraben

Substitutionen — Buchstaben durch Zahlen ersetzen (a→@, e→3, i→1) ist das Erste, was Cracking-Tools ausprobieren. P@ssw0rt steht in jeder Wörterbuchdatei.

Zahlen/Symbole anhängen — Passwort123! ist kaum besser als Passwort. Bekannte Muster an ein erratbares Grundwort anzuhängen bietet minimalen Schutz.

Persönliche Informationen — Geburtstage, Haustiernamen, Adressen. All das ist aus sozialen Medien abrufbar.

Tastaturmuster — qwertz, 123456, asdfgh. Diese stehen in jedem ersten Angriffs-Durchlauf des Angreifers.

Jetzt ein starkes Passwort generieren — 8 bis 64 Zeichen, kryptografisch zufällig, läuft vollständig im Browser.

---

Häufig gestellte Fragen

Wie lang sollte ein Passwort 2026 sein?

NIST empfiehlt mindestens 15 Zeichen. Für wichtige Konten (E-Mail, Banking, Arbeit) sollten es 20 oder mehr sein. Länge ist wesentlich wichtiger als Zeichentypkomplexität.

Brauche ich Großbuchstaben, Zahlen und Symbole?

Sie helfen — jeder Zeichentyp erweitert den Pool — aber mehr Zeichen hinzuzufügen ist immer effektiver. Ein 20-Zeichen-Kleinbuchstaben-Passwort ist stärker als ein 12-Zeichen-Passwort mit maximaler Komplexität.

Wie oft sollte ich meine Passwörter ändern?

Die aktuelle NIST-Empfehlung: Nur dann, wenn ein begründeter Verdacht besteht, dass ein Passwort kompromittiert wurde, oder wenn es in einer Datenbank mit geleakten Passwörtern auftaucht. Erzwungene regelmäßige Änderungen produzieren schwächere Passwörter.

Ist ein Online-Passwort-Generator sicher?

Ja, wenn der Generator vollständig im Browser läuft. Ein Generator, der das Passwort an einen Server sendet, ist nicht vertrauenswürdig. Browserbasierte Generatoren nutzen crypto.getRandomValues() — nichts verlässt das Gerät.