RUNWEBTOOLS
Deutsch
Sicherheit & Datenschutz

Starke Passwörter erstellen und verwalten

Aktualisiert 2026-07-06

Fast jeder weiß, dass er starke Passwörter verwenden sollte, doch die häufigsten sind immer noch 123456 und password. Ein Teil des Problems ist schlechter Rat: Jahrelang hieß es, ein kurzes Symbolgewirr zu nutzen und es monatlich zu ändern — was sich als schwer zu merken und nicht besonders sicher herausstellt. Dieser Ratgeber erklärt, was ein Passwort wirklich stark macht und wie man Passwörter verwaltet, ohne den Verstand zu verlieren.

Was ein Passwort stark macht

Ein Passwort ist stark, wenn es schwer zu erraten und schwer per Brute Force zu knacken ist — wenn es so viele Möglichkeiten gibt, dass alle durchzuprobieren unpraktisch ist. Zwei Dinge treiben das an: Länge und Unvorhersehbarkeit.

Länge schlägt Komplexität

Jedes zusätzliche Zeichen vervielfacht die Zahl möglicher Passwörter, daher ist Länge der mit Abstand mächtigste Faktor. Eine lange Passphrase aus gewöhnlichen Wörtern ist weit stärker als eine kurze kryptische Zeichenfolge — und viel leichter zu merken:

Schwächer:  P@ss1!        (8 Zeichen, wirkt „komplex“)
Stärker:    correct-horse-battery-staple   (lang)

Die kryptische ist schwächer, weil Angreifer alle üblichen Tricks kennen — a durch @ ersetzen, am Ende 1! anhängen — und ihre Software diese Muster zuerst probiert. Reine Länge schlägt vorhersehbare Ersetzungen.

Unvorhersehbarkeit (Entropie)

Die andere Hälfte ist Zufälligkeit. Ein Passwort aus einer wirklich zufälligen Zeichenmischung oder zufällig gewählten Wörtern hat hohe Entropie — ein Maß dafür, wie unvorhersehbar es ist. Alles, was auf persönlichen Angaben beruht (dein Name, Geburtstag, Haustier, Lieblingsteam), hat niedrige Entropie, weil es erratbar ist, auch wenn es wirr aussieht.

Wie Angreifer Passwörter tatsächlich knacken

Die Bedrohung zu verstehen lässt den Rat einleuchten:

  • Credential Stuffing — wird eine Seite gehackt, probieren Angreifer die geleakten E-Mail/Passwort-Paare auf jeder anderen Seite. Deshalb ist das Wiederverwenden von Passwörtern so gefährlich.
  • Wörterbuchangriffe — Listen gängiger Passwörter und Wörter durchprobieren, samt der vorhersehbaren Ersetzungen von oben.
  • Brute Force — jede Kombination durchprobieren. Länge macht das für den Angreifer aussichtslos.

Die drei Regeln, die am meisten zählen

  1. Mach sie lang — ziele auf 16+ Zeichen oder eine Passphrase aus mehreren Wörtern.
  2. Mach jedes einzigartig — verwende nie ein Passwort über Seiten hinweg wieder, damit ein Leck nicht die anderen aufsperrt.
  3. Mach sie zufällig — stütze sie auf nichts, was mit dir zu tun hat.

Ein schneller Weg, eines zu erzeugen, das alle drei erfüllt, ist unser Passwortgenerator: Er erstellt starke Zufallspasswörter komplett in deinem Browser (nichts wird irgendwohin gesendet) und lässt dich Länge und Zeichentypen einstellen. Für Maschine-zu-Maschine-Geheimnisse wie API-Schlüssel erledigt ein Zufallszeichenketten-Generator dieselbe Aufgabe.

Wie man sich alle merkt: gar nicht

Die obigen Regeln sind über Dutzende Konten hinweg per Gedächtnis unmöglich einzuhalten — genau deshalb verwenden Leute Passwörter wieder. Die Antwort ist, aufzuhören, sie sich merken zu wollen:

  • Nutze einen Passwortmanager. Er erzeugt, speichert und füllt für jede Seite ein einzigartiges starkes Passwort, und du merkst dir nur ein starkes Master-Passwort.
  • Aktiviere Zwei-Faktor-Authentifizierung (2FA). Selbst wenn ein Passwort leakt, hält ein zweiter Faktor (ein App-Code oder Hardware-Schlüssel) den Angreifer vom Anmelden ab. Aktiviere sie überall, wo sie angeboten wird, besonders bei E-Mail und Bank.
  • Schütze vor allem deine E-Mail. Dein E-Mail-Konto kann die meisten deiner anderen Passwörter zurücksetzen, es verdient also dein längstes einzigartiges Passwort und 2FA.

Was du sein lassen kannst

Moderne Sicherheitsleitlinien (auch vom NIST) haben zwei alte Gewohnheiten fallengelassen: erzwungene regelmäßige Änderungen (sie drängen Leute zu schwachen, vorhersehbaren Varianten) und verpflichtende Symbol-/Zahlenregeln als Ersatz für Länge. Ändere ein Passwort, wenn es einen Grund gibt — ein Leck, ein geteiltes Gerät — nicht nach Kalender. Konzentriere deine Energie auf Länge, Einzigartigkeit und einen Passwortmanager, und du bist der überwältigenden Mehrheit der Konten online voraus.

Mehr zu Sicherheit & Datenschutz

Alle Sicherheit & Datenschutz-Ratgeber ansehen →

In diesem Ratgeber erwähnte Tools