Zurück zur Startseite

So erstellen Sie starke Passwörter, die leicht zu merken sind

Dieser Artikel erklärt, wie man mit NIST-gestützten Passphrase-Strategien starke Passwörter erstellt, die leicht zu merken sind. Er behandelt die Realität des Passwortknackens, die Basis-plus-Site-Einzigartigkeitsformel, die Integration von Passwort-Managern und Best Practices für die Zwei-Faktor-Authentifizierung.

Unknackbare Passwörter, die Sie sich tatsächlich merken können
Advertisement 728x90

Erstellen Sie unknackbare Passwörter, die Sie sich tatsächlich merken können

Seit Jahrzehnten stellt uns die Cybersicherheitsbranche vor ein frustrierendes Paradoxon: Um sicher zu sein, braucht man Passwörter, die lang, zufällig und für jedes Konto einzigartig sind – doch das menschliche Gehirn hat sich darauf spezialisiert, Muster, Geschichten und Orte zu merken, nicht Zeichenfolgen wie xQ9#mP2$vL. Diese Diskrepanz zwingt Millionen von Menschen zu gefährlichen Notlösungen: dasselbe Passwort auf mehreren Websites zu verwenden oder es auf Haftnotizen zu notieren. Aber was, wenn das Problem nicht Ihr Gedächtnis ist, sondern die veralteten Ratschläge, denen Sie folgen? Sie können Passwörter erstellen, die sowohl kryptografisch stark als auch intuitiv merkbar sind, und das erfordert keinen Informatikabschluss.

Was Sie lernen werden

Sie werden genau verstehen, wie Passwortknacken in der Praxis funktioniert, warum Länge Komplexität schlägt, und eine Schritt-für-Schritt-Methode erlernen, um für jedes Konto einzigartige, hochentropische Passphrasen zu generieren, die Sie mühelos abrufen können. Sie werden nach der Einführung dieses Systems nie wieder ein Passwort aufschreiben oder zurücksetzen müssen.

Warum Ihre aktuelle Passwortstrategie scheitert

Die meisten Passwortempfehlungen konzentrieren sich auf Komplexität: eine Zahl, ein Symbol, ein Großbuchstabe. Dieser Ansatz stammt aus den 1990er Jahren, als die Rechenleistung begrenzt war. Heute kann eine handelsübliche GPU Milliarden von Kombinationen pro Sekunde durchprobieren. Laut dem National Institute of Standards and Technology (NIST) ist die traditionelle Formel, Benutzer zur Verwendung von Sonderzeichen zu zwingen, tatsächlich kontraproduktiv – sie führt zu vorhersehbaren Mustern wie P@ssw0rd!, die für Maschinen trivial zu erraten sind. Die neuesten NIST-Richtlinien (SP 800-63-3) priorisieren explizit die Länge vor der Komplexität und empfehlen die Verwendung langer, einprägsamer Passphrasen.

Google AdInline article slot

Hier ist die brutale Realität: Ein typisches 8-stelliges Passwort mit Groß-/Kleinschreibung, Zahlen und Symbolen hat etwa 95^8 (ungefähr 6,6 Billiarden) mögliche Kombinationen. Das klingt gewaltig. Eine moderne Crack-Anlage mit hashcat auf einer einzigen High-End-GPU kann diesen gesamten Schlüsselraum jedoch in weniger als einer Stunde erschöpfen. Mit einem Botnetz oder Cloud-Computing sind es Minuten.

Die Lösung besteht nicht darin, Passwörter für Ihr Gehirn schwieriger zu machen, sondern für die Maschine. Länge erhöht die Schwierigkeit exponentiell. Eine 15-stellige Passphrase, die nur aus Kleinbuchstaben besteht, hat 26^15 (über 1,6 Septillionen) Kombinationen – ein Suchraum, der mit der heutigen Technologie Jahrhunderte dauern würde. Basierend auf NISTs Entropieberechnungen und Mooreschen Gesetz-Prognosen kann man vernünftigerweise schlussfolgern, dass eine 16-stellige zufällige Passphrase etwa 2^100 Bit Entropie bietet, was sie fest in die Kategorie „sicher gegen staatliche Akteure für Jahrzehnte“ einordnet.

Schritt 1: Verlassen Sie das Tastatur-Gekloppe, setzen Sie auf den Satz

Der effektivste Weg, starke Passwörter zu erstellen, die leicht zu merken sind, besteht darin, einzelne Wörter aufzugeben und eine Passphrase zu verwenden – eine Folge zufälliger Wörter oder einen vollständigen Satz, der nur für Sie eine Bedeutung hat. Der klassische XKCD-Comic („correct horse battery staple“) hat dies brillant veranschaulicht: Die Entropie von vier zufälligen gebräuchlichen Wörtern übertrifft die eines komplexen 8-stelligen Passworts bei weitem, und es ist unendlich einfacher einzugeben und zu merken.

Google AdInline article slot

So generieren Sie Ihre Basis-Passphrase

  1. Denken Sie an eine persönliche, nicht öffentliche Erinnerung. Zum Beispiel: das erste Konzert, das Sie besucht haben, der Name Ihres Haustiers aus Kindertagen kombiniert mit der Straße, in der Sie aufgewachsen sind, oder ein Satz aus einem Buch, das Sie lieben.
  2. Machen Sie daraus einen Satz. „Mein erstes Konzert war 2008 im Madison Square Garden.“ Das sind 48 Zeichen.
  3. Nehmen Sie den ersten Buchstaben jedes Wortes. Das ergibt Mekw2008iMSG. Dies ist ein 13-stelliges Passwort mit Großbuchstaben, Kleinbuchstaben und Zahlen.
  4. Ein Satz ist jedoch besser. Anstatt abzukürzen, behalten Sie den vollständigen Satz bei, fügen aber eine persönliche Note hinzu: ErstesKonzert@MSG!2008.

Pro-Tipp: Vermeiden Sie berühmte Zitate, Songtexte oder gebräuchliche Sprichwörter. Angreifer haben Wörterbücher voller solcher Phrasen. Ihre Phrase muss idiosynkratisch sein.

Schritt 2: Die Basis + Site-Einzigartigkeits-Formel

Die größte Bedrohung für Ihr digitales Leben ist nicht ein Brute-Force-Angriff auf ein einzelnes Passwort, sondern Credential Stuffing. Wenn eine Website wie LinkedIn oder Equifax gehackt wird, nehmen die Hacker diese E-Mails und Passwörter und probieren sie bei PayPal, Gmail und Ihrer Bank aus. Laut einem Bericht des Verizon Data Breach Investigations Report aus dem Jahr 2022 sind über 80 % der hackingbedingten Sicherheitsverletzungen auf gestohlene oder schwache Anmeldedaten zurückzuführen. Ein Passwort auch nur einmal wiederzuverwenden, ist ein katastrophales Risiko.

Um dies zu lösen, benötigen Sie für jede Website ein eindeutiges Suffix oder eine Transformation, ohne sich Tausende verschiedener Zeichenfolgen merken zu müssen.

Google AdInline article slot

Die Methode: Nehmen Sie Ihre Basis-Passphrase (z. B. ErstesKonzert@MSG!2008) und fügen Sie ein deterministisches, seitespezifisches Element hinzu.

  • Option A (Präfix/Suffix): Fügen Sie den ersten und letzten Buchstaben des Seitennamens hinzu.
    • Für Amazon: AMErstesKonzert@MSG!2008NZ
    • Für Gmail: GLErstesKonzert@MSG!2008IL
  • Option B (Muster-Einfügung): Fügen Sie die Länge des Seitennamens oder ein Sonderzeichen ein, das mit der Seite assoziiert wird.
    • Für Amazon (6 Buchstaben): ErstesKonzert@MSG!2008AA
    • Für Gmail (5 Buchstaben): ErstesKonzert@MSG!2008GM

Das Ziel ist es, eine deterministische Formel zu erstellen. Sie schreiben nicht das Passwort auf, sondern die Formel. Wenn Sie sich bei Amazon anmelden, führt Ihr Gehirn die Formel aus: „Basisphrase + A und M am Ende.“

⚠️ Wichtige Warnung: Obwohl diese Formel das Problem der „Einzigartigkeit“ löst, ist sie anfällig, wenn ein Angreifer sowohl Ihr Basis-Passwort kompromittiert als auch Ihre Formel aus einem Datenleck ableitet. Diese Methode ist eine Brücke zwischen perfekter Sicherheit und Praktikabilität. Verlassen Sie sich bei sicherheitskritischen Konten (E-Mail, Banking, Passwort-Manager) nicht allein auf diese Formel. Verwenden Sie für diese einen dedizierten Passwort-Manager.

Schritt 3: Verwenden Sie einen Passwort-Manager für die „Gehirn“-Konten

Selbst mit einer brillanten Formel kann das menschliche Gehirn 100 verschiedene Variationen nicht mit 100%iger Genauigkeit verfolgen. Hier kommen Passwort-Manager ins Spiel. Ein Passwort-Manager ist ein digital verschlüsselter Tresor, der alle Ihre Passwörter speichert. Sie müssen sich nur ein einziges, extrem starkes Master-Passwort merken.

Warum dies maßgeblich ist: Das National Cybersecurity Center of Excellence (NCCoE) empfiehlt Passwort-Manager ausdrücklich als primäre Lösung für Verbraucher und Unternehmen. Durch die Verwendung eines Managers wie Bitwarden, 1Password oder Keepass entfällt die Notwendigkeit, sich für 99 % Ihrer Konten komplexe Zeichenfolgen zu merken.

Die Hybrid-Strategie:

  1. Passwort-Manager: Generieren Sie für jede einzelne Website vollständig zufällige, 20+ Zeichen lange Passwörter (z. B. 9sKd#FpQ2!zXvLmNpQ8@). Der Manager füllt sie automatisch aus.
  2. Gedächtnis: Sie merken sich nur eine Sache – das Master-Passwort für den Tresor.
  3. Backup: Verwenden Sie die Formel aus Schritt 2 nur für Ihr primäres E-Mail-Konto und den Banking-Login. Dies gibt Ihnen eine Rückfallebene, falls Sie den Zugriff auf Ihren Passwort-Manager verlieren.

Schritt 4: Die Zwei-Faktor-Authentifizierung (2FA) als Versicherungspolice

Kein Passwort, so stark es auch sein mag, ist unknackbar. Phishing-Angriffe können Sie dazu verleiten, Ihr Passwort auf einer gefälschten Website einzugeben. Laut Microsoft blockiert 2FA über 99,9 % der automatisierten Kontokompromittierungsangriffe. Betrachten Sie 2FA als Ihren Fallschirm.

Best Practices für 2FA:

  • Vermeiden Sie SMS, wenn möglich: SIM-Swapping-Angriffe sind real. Verwenden Sie eine Authenticator-App (Google Authenticator, Authy) oder einen Hardware-Schlüssel (YubiKey).
  • Backup-Codes: Wenn Sie 2FA aktivieren, erhalten Sie einmalige Backup-Codes. Drucken Sie diese aus und bewahren Sie sie in einem physischen Safe auf. Speichern Sie sie nicht digital.

Vergleich der Passwortstrategien: Eine Risikomatrix

Strategie Sicherheitsstufe Merkbarkeit Risikofaktor Am besten geeignet für
8-stellig komplex (z.B. P@ssw0rd) Niedrig (Stunden zum Knacken) Mittel Hoch (Vorhersehbare Muster) Nie verwenden
15-stellig zufällig (z.B. 9sKd#FpQ) Hoch (Jahrhunderte) Sehr niedrig Mittel (Wird aufgeschrieben) Passwort-Manager Auto-Ausfüllen
20+ Wort-Passphrase (z.B. BlueHorse...) Sehr hoch (Jahrtausende) Hoch Niedrig (Länge verhindert Knacken) Master-Passwort
Basis+Site-Formel Mittel-Hoch Mittel-Hoch Mittel (Formel-Exposition) Sekundäre Konten

Basierend auf den Daten des Password Hashing Competition und Mooreschen Gesetz-Prognosen ist eine 20-stellige Passphrase, die nur Kleinbuchstaben und Leerzeichen enthält (ungefähr 27^20 Entropie), theoretisch durch Brute-Force bis zum Aufkommen des Quantencomputings mit funktionierendem Shor-Algorithmus unknackbar, der Schätzungen zufolge noch über ein Jahrzehnt entfernt ist.

So aktualisieren und pflegen Sie Ihr System

  1. Beginnen Sie kritisch: Ändern Sie sofort Ihre E-Mail- und Banking-Passwörter mit einer langen (20+ Zeichen) zufälligen Passphrase.
  2. Migrieren Sie zu einem Manager: Laden Sie einen Passwort-Manager herunter und ändern Sie 5-10 Konten pro Tag, wobei Sie für jedes zufällige Passwörter generieren.
  3. Audit: Nutzen Sie die „Passwort-Gesundheitsprüfung“ in Ihrem Manager, um wiederverwendete oder schwache Passwörter zu identifizieren.
  4. Physisches Backup: Schreiben Sie Ihr Master-Passwort und Ihre 2FA-Wiederherstellungscodes auf. Verschließen Sie sie in einem Umschlag. Dies schützt Sie vor Gedächtnisverlust.

Häufig gestellte Fragen

F: Ich habe ein schlechtes Gedächtnis. Wie kann ich mir eine 20-stellige Passphrase merken? A: Denken Sie an eine Geschichte. Anstatt „Blue Horse Staple Battery“ erstellen Sie eine Szene: „MyBlueHorseAteTheBattery!“ Das sind 26 Zeichen und nutzt das visuelle Gedächtnis Ihres Gehirns. Verknüpfen Sie das Bild mit einer bestimmten Emotion oder einem Ort, und die Phrase wird nahezu unvergesslich.

F: Ist es sicher, alle meine Passwörter an einem Ort (einem Passwort-Manager) zu speichern? A: Ja, vorausgesetzt, Sie verwenden ein starkes Master-Passwort und aktivieren 2FA. Der Tresor ist mit AES-256 verschlüsselt, dem gleichen Standard, der von der US-Regierung verwendet wird. Das Risiko eines gezielten Angriffs auf Ihren verschlüsselten Tresor ist weitaus geringer als das Risiko, Passwörter auf 50 Websites wiederzuverwenden.

F: Was ist, wenn ich mich an einem öffentlichen oder nicht vertrauenswürdigen Computer (z. B. einer Bibliothek) anmelden muss? A: Geben Sie Ihr Master-Passwort niemals auf einem nicht vertrauenswürdigen Gerät ein. Verwenden Sie stattdessen eine „Einmal-Passwort“- oder temporäre Login-Option, falls Ihr Manager dies unterstützt, oder setzen Sie Ihr Passwort für diesen speziellen Dienst zurück und ändern Sie es später wieder zurück. Vermeiden Sie die Eingabe kritischer Passwörter auf öffentlichen Computern vollständig.

F: Wie oft sollte ich meine Passwörter ändern? A: NIST SP 800-63b rät ausdrücklich von regelmäßigen Passwortänderungen ab, es sei denn, es gibt Hinweise auf einen Sicherheitsvorfall. Benutzer zu häufigen Änderungen zu zwingen, führt oft zu schwächeren Passwörtern (z. B. Sommer2023!, Herbst2023!). Ändern Sie Ihr Passwort nur, wenn Sie eine Benachrichtigung über einen Datenleck erhalten oder unbefugten Zugriff vermuten.

F: Sind Biometrie (Fingerabdruck/Gesichtserkennung) besser als Passwörter? A: Biometrie ist hervorragend für Bequemlichkeit und lokale Authentifizierung (Entsperren Ihres Telefons), aber nicht privat. Ihr Fingerabdruck ist kein Geheimnis; Sie hinterlassen ihn überall. Wenn er gestohlen wird, können Sie ihn nicht ändern. Biometrie sollte als sekundärer Faktor (2FA) oder als Bequemlichkeitsebene zusätzlich zu einem starken Master-Passwort verwendet werden, niemals als alleinige Authentifizierungsmethode.

— Editorial Team

Advertisement 728x90

Weiterlesen