🔒 Warum brauchen wir überhaupt noch „Passwörter“?
Weil die meisten Systeme nach wie vor ein Geheimnis benötigen, das nur du kennst, um die Tür zu öffnen. Selbst wenn es heute Fingerabdruck, Gesichtserkennung, Hardware-Security-Keys oder sogar „passwortlose“ Logins (Passkeys) gibt, bleibt das Passwort für viele Websites und Dienste die erste Eintrittskarte: Es ist kostengünstig, einfach zu implementieren, hoch kompatibel – und niemand muss zwingend ein zusätzliches Gerät kaufen.
Das Problem ist jedoch: Menschen sind im Allgemeinen nicht besonders gut darin, sich komplexe Dinge zu merken. Deshalb entstehen lange Listen aus gewohnten, leicht zu erratenden, regelkonformen und trotzdem merkbaren Kombinationen – also das, was man gemeinhin als „schwache Passwörter“ bezeichnet. Genau deshalb gehören gestohlene oder wiederverwendete Zugangsdaten auch heute noch zu den Hauptursachen für Datenlecks und Sicherheitsvorfälle.
🪪 Grundlagen der Authentifizierung: Du beweist jeden Tag „Ich bin ich“
Ein Login im Alltag ist im Grunde genommen eine Reihe kleiner Grenzkontrollen. Üblicherweise unterscheidet man drei Kategorien:
1. Was du weißt (Knowledge)
Passwort, PIN, Entsperrmuster.
Der Vorteil: leicht umzusetzen.
Der Nachteil: Menschen vergessen sie, verwenden sie mehrfach oder fallen auf Phishing herein. Genau deshalb steht das Passwort im Fokus von Angreifern. Die Branche warnt seit Jahren davor, sich nur auf ein einzelnes, kurzes und weit verbreitetes Passwort zu verlassen.
2. Was du besitzt (Possession)
Einmalpasswörter (OTP), SMS- oder E-Mail-Codes, Push-Benachrichtigungen auf dem Smartphone, Hardware-Keys usw.
Diese fungieren häufig als „zweiter Schlüssel“. In Kombination mit einem Passwort reduzieren sie das Risiko eines Missbrauchs von Zugangsdaten erheblich.
3. Wer du bist (Inherence)
Fingerabdruck, Gesichtserkennung, Stimmerkennung.
Der große Vorteil ist der Komfort. In Verbindung mit FIDO2 und WebAuthn (also Passkeys) steigt zudem die Widerstandsfähigkeit gegen Phishing deutlich.
🔎 Kurz erklärt
Man kann es sich vereinfacht so merken:
- Something you know – etwas, das du weißt.
Zum Beispiel ein Passwort: eine Information, die nur dir bekannt ist.- Something you have – etwas, das du besitzt.
Etwa dein Smartphone oder ein Sicherheitsschlüssel.- Something you are – etwas, das du bist.
Ein Teil deiner Identität, zum Beispiel dein Fingerabdruck oder dein Gesicht.Wichtig ist: Es geht nicht darum, nur eine dieser Methoden zu verwenden.
Passwort + zweiter Faktor (MFA) ist heute praktisch Standard. Die schrittweise Einführung von Passkeys kann das Risiko „gestohlenes Passwort“ grundlegend und deutlich reduzieren.
🧨 Was ist eigentlich ein „schwaches Passwort“? Typische Merkmale
„Schwach“ bedeutet hier nicht „unschön“, sondern: zu leicht zu erraten oder von Maschinen in kurzer Zeit zu knacken. Typische Eigenschaften sind:
Zu kurz
Kurze Passwörter bieten zu wenige Kombinationen. Wörterbuchangriffe oder Brute-Force-Angriffe sind schnell erfolgreich. Viele Sicherheitsempfehlungen raten inzwischen von 8 Zeichen als Mindestlänge ab – ein Relikt aus früheren Zeiten.
Fehlende Unvorhersehbarkeit
Nur Kleinbuchstaben oder keine Mischung aus Groß-/Kleinbuchstaben, Zahlen und Symbolen – selbst wenn es nicht das schlechteste Passwort ist, bleibt es gut vorhersagbar.
Häufige Zeichenfolgen
Beispiele wie „123456“, „password“, „qwerty“ oder „abc123“ landen jedes Jahr auf den Spitzenplätzen. Die Jahresberichte von NordPass bestätigen das immer wieder.
Personenbezogene Daten im Passwort
Geburtsdatum, Name, Haustier oder Lieblingsverein – solche Informationen lassen sich durch Social Engineering oder öffentliche Quellen leicht erraten.
Vorhersehbare Muster
„111111“, „121212“, „1q2w3e4r“ oder typische Tastaturmuster. Auch vermeintlich clevere „Leet“-Ersetzungen wie „P@ssw0rd“ sind längst von gängigen Angriffstools gelernt worden.
Bereits in Leak-Listen enthalten
Selbst wenn ein Passwort lang und komplex wirkt: Wenn es bereits in einer bekannten Datenbank mit geleakten Passwörtern auftaucht, ist es für Angreifer eine „bekannte Lösung“.
Interessante Beobachtung: Auch 2025 zählen weltweit weiterhin „123456“, „admin“, „12345678“, „password“, „Aa123455“ zu den meistverwendeten Passwörtern – praktisch eine offene Einladung für Angreifer.
🧨➡️💥 Warum schwache Passwörter wirklich gefährlich sind: So spielen Angreifer
Man kann sich Angreifer wie Archäologen vorstellen. Sie meißeln nicht unbedingt vor Ort neue Inschriften – sie durchsuchen erst einmal die Müllhalde nach alten Artefakten: geleakte Passwortlisten.
Ein bekanntes Beispiel aus 2025 ist „RockYou2025“, eine Sammlung mit angeblich Milliarden Klartext-Passwörtern. In der Folge stiegen Credential-Stuffing-Angriffe auf APIs und große Online-Dienste kurzfristig massiv an.
Du glaubst, „@2025“ oder ein „!“ mache dein Passwort sicher? Leider ist es sehr wahrscheinlich längst in solchen Listen enthalten.
Hacker „brechen“ heute oft nicht mehr ein – sie loggen sich ein.
Laut dem Verizon Data Breach Investigations Report (DBIR) von Verizon gehören gestohlene Zugangsdaten konstant zu den häufigsten Ursachen von Sicherheitsvorfällen. Ob durch Phishing oder durch den Kauf geleakter Zugangsdaten: Die direkte Anmeldung mit vorhandenen Credentials ist eine der stabilsten und effizientesten Angriffsmethoden der letzten Jahre.
Die ernüchternde Wahrheit:
Es ist wichtiger, „bekannte schlechte Passwörter“ und Wiederverwendung zu verhindern, als immer kompliziertere Komplexitätsregeln zu erzwingen.
🕵️ Ist mein Passwort schwach? So prüfst du es sicher
1) Mit „Have I Been Pwned – Pwned Passwords“ prüfen
Have I Been Pwned ist einer der weltweit bekanntesten Dienste zur Überprüfung von Datenlecks, betrieben vom Sicherheitsforscher Troy Hunt.
Der Dienst bietet eine datenschutzfreundliche Passwortprüfung sowie eine API, mit der sich feststellen lässt, ob ein Passwort bereits in bekannten Datenlecks aufgetaucht ist. Pro Monat werden Milliarden Anfragen verarbeitet, unterstützt durch das globale Caching-Netzwerk von Cloudflare.
Wenn dein Passwort dort „gefunden“ wird, gilt es als schwach – unabhängig davon, wie lang oder komplex es erscheint.
Referenz: https://haveibeenpwned.com/Passwords
2) Die jährliche „Most Common Passwords“-Blacklist prüfen
NordPass veröffentlicht jedes Jahr die Liste „Top 200 Most Common Passwords“, inklusive Länder- und Generationenanalysen.
Wenn dein Passwort dort auftaucht oder strukturell ähnlich ist (z. B. „Pass@123“, „Admin@123“ – scheinbar komplex, aber leicht zu erraten), solltest du es sofort ändern.
Referenz: https://nordpass.com/most-common-passwords-list/
3) Für Unternehmen: Eine „Schwachpasswort-Sperrliste“ implementieren
Die aktuelle Empfehlung aus NIST SP 800-63B lautet:
Keine erzwungenen Regeln mehr wie „muss Groß-/Kleinbuchstaben, Zahlen und Symbole enthalten“. Stattdessen:
- Mindestlänge durchsetzen
- Häufige und geleakte Passwörter blockieren
- Lange, natürliche Passphrasen unterstützen
Ebenso wichtig: Keine regelmäßige erzwungene Passwortänderung ohne konkreten Hinweis auf eine Kompromittierung.
Zu häufige Wechsel führen nur zu Mustern wie „Password1 → Password2 → Password3“ – und machen Passwörter am Ende leichter vorhersagbar.
Referenz: https://pages.nist.gov/800-63-3/sp800-63b.html
🧰 Passwort-Strategien für die Praxis
🧱 1) Länge schlägt Komplexität: Passphrasen statt „verzierter“ Zeichenfolgen
Nur Passwort (ohne MFA):
Mindestens 15 Zeichen werden empfohlen. Einige Richtlinien betrachten 15 Zeichen inzwischen als neue Mindestanforderung.
Mit aktiviertem MFA:
Kürzere Längen (z. B. ≥8 Zeichen) können je nach Risiko akzeptabel sein – dennoch gilt: je länger und natürlicher, desto besser.
Leerzeichen und Unicode unterstützen:
Ermöglichen Sie natürliche Sätze als Passwort. Das erhöht die Länge und verbessert gleichzeitig die Merkbarkeit.
Keine starren Komplexitätsregeln mehr:
Anstatt zwingend Groß-/Kleinbuchstaben, Zahlen oder Symbole vorzuschreiben, sollten schwache und geleakte Passwörter aktiv blockiert werden.
🛡️ 2) MFA einsetzen – und schrittweise zu Passkeys übergehen
Passwort + MFA ist heute die Grundausstattung.
Passkeys (basierend auf FIDO2 und WebAuthn) sind phishing-resistent und kommen ohne merkbares Passwort aus. Sie lassen sich mit mobilen Geräten oder Hardware-Sicherheitsschlüsseln kombinieren und reduzieren das Risiko gestohlener Passwörter grundlegend.
Auch der Verizon Data Breach Investigations Report (DBIR) von Verizon empfiehlt seit Jahren Multi-Faktor-Authentifizierung und moderne Authentifizierungsverfahren, um den Missbrauch von Zugangsdaten zu verringern.
🧹 3) Keine erzwungene „90-Tage-Zurücksetzung“ mehr
Passwörter sollten nur bei konkreten Anzeichen einer Kompromittierung geändert werden – und riskante Zugangsdaten sofort gesperrt werden.
Das ist deutlich effektiver als ein rein zeitbasierter Wechsel.
🧰 4) Passwort-Manager konsequent einsetzen
Für jede Website ein eigenes, langes Passwort – generiert und gespeichert im Passwort-Manager.
Das ist die praktikabelste Methode, um Wiederverwendung zu vermeiden. In Kombination mit Have I Been Pwned (Pwned Passwords) noch wirkungsvoller.
🧪 5) Schwachpasswort-Blacklist und Leak-Abgleich implementieren
Beim Login oder bei der Registrierung sollten häufige Muster (Standardbegriffe, Tastaturfolgen, Markennamen usw.) blockiert werden. Zusätzlich empfiehlt sich ein Abgleich mit bekannten Leak-Datenbanken wie „Pwned Passwords“.
🧯 6) Phishing-Trainings und Sensibilisierung
Die meisten Sicherheitsvorfälle haben einen menschlichen Faktor.
Je besser Mitarbeitende Phishing erkennen, desto geringer ist das Risiko gestohlener Zugangsdaten. Der DBIR betont immer wieder: Der Mensch ist das entscheidende Glied in der Kette.
🔎 Kurz erklärt: Was bedeutet MFA?
MFA (Multi-Factor Authentication) bedeutet „Mehrfaktor-Authentifizierung“.
Das Kernprinzip: Mindestens zwei verschiedene Kategorien aus drei möglichen Faktoren kombinieren.
Einzelfaktor (SFA):
Passwort + ein weiteres Passwort → kein MFA, da beide zur Kategorie „Wissen“ gehören.Mehrfaktor (MFA):
Passwort (Wissen)
- Smartphone-Push (Besitz)
- Fingerabdruck (Inhärenz / biometrisches Merkmal)
🤔 Häufige Mythen – ehrlich beantwortet
Q1: Wenn ich „password“ zu „P@ssw0rd!“ ändere, bin ich sicher, oder?
Nein. Das ist Scheinkomplexität. Angriffsprogramme kennen typische Ersetzungsregeln längst. „P@ssw0rd“ gilt faktisch als Wörterbuchbegriff. Auch Varianten wie „Pass@123“ oder „Admin@123“ tauchen regelmäßig in Statistiken von NordPass auf. Nicht verwenden.
Q2: Reichen 8 Zeichen aus?
Unter heutigen Bedingungen – leistungsfähige Hardware plus riesige Leak-Datenbanken – meist nicht. Eine Passphrase mit 15+ Zeichen ist sinnvoller. Mit MFA kann die Mindestlänge risikobasiert etwas niedriger sein, dennoch sollte die Tendenz klar zur Länge gehen.
Q3: Warum nicht alle 90 Tage wechseln lassen?
NIST SP 800-63B rät inzwischen davon ab.
Grund: Nutzer ändern nur minimal („!“ wird zu „!!“, „1“ zu „2“). Das macht Passwörter vorhersehbarer. Besser: Nur bei Verdacht wechseln und schwache bzw. geleakte Passwörter technisch blockieren.
Q4: Ich bin nur ein kleines Unternehmen – ist das wirklich nötig?
Ja. Angreifer bevorzugen Ziele, die massenhaft, günstig und automatisiert angreifbar sind. Schwache Passwörter und Wiederverwendung sind ideale Einstiegspunkte. Der DBIR zeigt regelmäßig, dass Credential-Missbrauch Unternehmen jeder Größe betrifft.
✅ Ein-Seiten-Checkliste: Sofort umsetzen
Für Privatpersonen:
- Die fünf wichtigsten Accounts (E-Mail, Cloud-Speicher, Social Media, Finanzdienste, E-Commerce) mit MFA absichern.
- Passwort-Manager verwenden und jede Website auf ein einzigartiges, 16–24 Zeichen langes Passwort umstellen. Für besonders wichtige Konten: noch längere Passphrasen.
Für Privatpersonen & Unternehmen:
- Alte Passwörter mit „Pwned Passwords“ prüfen. Bei Treffer sofort ändern.
Für Unternehmen – Richtlinien aktualisieren:
- Komplexitätszwang und regelmäßige Rotation entfernen.
- Stattdessen: Mindestlänge + Blockierung häufiger und geleakter Passwörter.
- Leerzeichen und Unicode zulassen.
- Mindestlänge ohne MFA: ≥15 Zeichen; maximale akzeptierte Länge: mindestens 64 Zeichen.
- Schrittweise Einführung von Passkeys in besonders schützenswerten Systemen.
- Phishing-Übungen und Social-Engineering-Schulungen etablieren – der Mensch bleibt der größte Risikofaktor.
🔐 Hintergrund: Was ist FIDO2?
FIDO Alliance ist ein Industriekonsortium, dem unter anderem Google, Apple und Microsoft angehören.
Ziel: Passwörter langfristig überflüssig machen.
FIDO2 besteht im Wesentlichen aus zwei Komponenten:
- CTAP (Client to Authenticator Protocol)
Protokoll zur Kommunikation zwischen Computer und externem Authenticator (z. B. USB-Sicherheitsschlüssel oder per Bluetooth verbundenes Smartphone).- WebAuthn (Web Authentication)
Browser-Standard, der Websites die Kommunikation mit Authentifizierungsgeräten (Smartphone, Fingerabdrucksensor usw.) ermöglicht.
🔑 Wie funktioniert das? (Prinzip von öffentlichem und privatem Schlüssel)
Beim klassischen Login speichert die Website dein Passwort. Wird die Website gehackt, ist das Passwort kompromittiert.
FIDO2/WebAuthn nutzt asymmetrische Kryptografie:
Privater Schlüssel (Private Key):
Bleibt ausschließlich auf deinem Gerät (z. B. im sicheren Chip des Smartphones oder im Hardware-Key). Er verlässt das Gerät niemals.Öffentlicher Schlüssel (Public Key):
Wird auf dem Server gespeichert und dient nur zur Verifikation – nicht zum Entsperren.Beim Login sendet die Website eine Herausforderung (Challenge). Dein Gerät signiert sie mit dem privaten Schlüssel. Der Server prüft die Signatur mit dem öffentlichen Schlüssel – und gewährt Zugriff, wenn sie gültig ist.
📚 Referenzen & weiterführende Quellen
- NordPass – „Top 200 Most Common Passwords“ (inkl. Generationenanalysen 2025)
- Have I Been Pwned – Pwned Passwords (mit globaler Infrastruktur von Cloudflare)
- Verizon – „Data Breach Investigations Report“
- NIST SP 800-63B – Aktuelle Empfehlungen zu Passwort- und Authentifizierungsrichtlinien
- Security Boulevard – Merkmale schwacher und starker Passwörter
- RockYou2025 – Analyse großer Leak-Sammlungen (Trendbeobachtung)
