P@ssw0rd!weak · 0s to crackaB7$jq2Wp1!medium · ~weekscorrect horse battery staple spongestrong · centurieslength beats complexity

Passwortstärke

10 Min. gelesenSicherheit

Regeln zur Passwortstärke – „mindestens ein Großbuchstabe, eine Zahl, ein Symbol“ – wurden für eine Zeit entwickelt, in der Offline-Knacken ungewöhnlich war. Heutzutage versuchen GPU-Farmen Milliarden von Vermutungen pro Sekunde, und die Regeln, die die Prüfungen der meisten Websites bestehen, würden innerhalb von Minuten fallen. Zu verstehen, was ein Passwort tatsächlich sicher macht, ist eines der nützlichsten Sicherheitskenntnisse, die es gibt.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Passwortstärke ist das Maß dafür, wie resistent ein Passwort gegen die Entdeckung durch Raten ist. Der relevante Angreifer ist kein Mensch, der Vermutungen eintippt – es handelt sich um ein automatisiertes System, das Milliarden von Kandidaten pro Sekunde gegen einen durchgesickerten Passwort-Hash prüft. Die klassischen Regeln „komplexer Passwörter“ helfen meist nicht gegen diese Bedrohung; Länge und Zufälligkeit tun dies.

Wo Passwörter angegriffen werden

Zwei verschiedene Szenarien:

  • Online-Angriffe. Der Angreifer übermittelt Vermutungen an das eigentliche Anmeldeformular. Tarifbegrenzt durch den Dienst; In der Regel wird dies nach einigen Fehlschlägen durch eine einfache Kontosperrung verhindert. Langsam, leicht zu erkennen.
  • Offline-Angriffe. Der Angreifer hat den Passwort-Hash aus einer gehackten Datenbank gestohlen und führt lokal Vermutungen durch. Nur durch Hardware begrenzt. Ein modernes GPU-Rig kann 10–100 Milliarden Bcrypt-Hashes pro Sekunde erraten; Billionen pro Sekunde gegen ungesalzenes SHA-256.

Starke Passwörter sind vor allem gegen Offline-Angriffe wichtig. Selbst ein schwaches Passwort ist online schwer zu knacken; Im Vergleich zum Offline-Cracking spart Ihnen nur die Länge. Ein Passwort mit 60 Entropiebits hat 2^60 mögliche Werte, was bei einer Billion Vermutungen pro Sekunde etwa 36 Jahre dauert, um es mit Brute-Force zu erraten. Jedes zusätzliche Bit verdoppelt die Cracking-Zeit.

Für 2026-Schwellenwerte:

  • ≥ 40 Bit Arbeit)
  • ≥ 80 Bit XPLZ39 Entropie sieht in der Praxis so aus

    Jedes einheitlich aus einem Zeichensatz gezeichnete Zeichen fügt log2(Größe festlegen) Bits hinzu:

    • LKleinbuchstaben: jeweils 4,7 Bits. „abcdef“ hat 28 Bits.
    • Gemischte Groß- und Kleinschreibung + Ziffern: jeweils 5,95 Bits. „Abc123“ hat 36 Bit.
    • Vollständige Tastatur (≈94 Zeichen): jeweils 6,55 Bit. „P@s5w0rd!“ hat 59 Bit, wenn jedes Zeichen unabhängig ist.
    • Diceware (Wörter aus einer 7776-Wort-Liste): 12,92 Bit pro Wort. 5-Wort-Phrase: 65 Bit.

    Der Haken: Die Mathematik geht davon aus, dass Zeichen unabhängig und zufällig sind. Von Menschen gewählte Passwörter sind es nicht. „P@s5w0rd!“ sieht komplex aus, steht aber in jedem Fachwörterbuch; Die effektive Entropie ist im Wesentlichen Null.

    Länge übertrifft Komplexität

    Die wichtigste Regel: Länge zählt mehr als Zeichenvielfalt. Ein zufälliges 16-stelliges Kleinbuchstaben-Passwort (75 Bit) ist wesentlich sicherer als ein cleveres 8-stelliges Kleinbuchstaben-Passwort (im besten Fall ~50 Bit tatsächliche Entropie). Cracking-Tools sind für die von Menschen gewählten Muster optimiert. Sie kümmern sich wenig um die Zeichenklasse.

    Der Grund dafür, dass traditionelle Regeln die Komplexität erhöhen: Menschliche Benutzer wählen keine zufälligen Zeichen, daher verhindert das Erzwingen der Anwesenheit von Großbuchstaben/Symbolen die schlechtesten Standardeinstellungen. Moderne Ratschläge haben sich auf die Passphrasenlänge statt auf Kompositionsregeln verlagert.

    Würfelware: das praktische Rezept

    XPLZ72 list.
  • Jedes Wort ergibt 12,92 Bit Entropie.
  • 5 Wörter = 65 Bit; 6 Wörter = 78 Bit; 7 Wörter = 90 Bits. Vergleichen Sie es mit einem Zufallszeichen-Passwort gleicher Stärke: q9!Lf@k3RvN. Passphrasen im Diceware-Stil überzeugen durch Benutzerfreundlichkeit und entsprechen gleichzeitig der Stärke.

    XPLZ90 else     – lange, zufällige Passwörter pro Site, die von einem Passwort-Manager generiert werden (16–32 zufällige Zeichen). Sie merken sie sich nicht; Der Manager füllt automatisch
  • 2FA für wichtige Konten aus. Für alles andere verarbeitet der Manager mühelos 32-stellige Zufallszeichenfolgen.

    Was nicht hilft

    • Substitutionsmuster („@ für a, $ für s“). Cracking-Tools verarbeiten diese nativ. „P@ssw0rd“ ist im Wesentlichen so schwach wie „Passwort“.
    • Hinzufügen einer Ziffer am Ende periodische Rotation. Fördert schwache, aber einfach zu aktualisierende Varianten („Passwort1“ → „Passwort2“). Die NIST-Richtlinien raten jetzt von einer routinemäßigen Rotation zugunsten starker eindeutiger Passwörter + Überwachung von Sicherheitsverletzungen ab.
    • Strenge Komplexitätsregeln. XPLZ20 Hashing des Dienstes. Ein zufälliges 16-stelliges Passwort, das durch Salted Bcrypt mit Kosten von 12 geschützt ist, ist unknackbar; Das gleiche Passwort wie ungesalzenes MD5 fällt in Sekundenschnelle aus. Sehen Sie sich unseren -Passwort-Hashing-Artikel an. Benutzer können dies nicht kontrollieren; Das Beste, was sie tun können, ist 2FA zu aktivieren, damit das Passwort nicht die einzige Zeile ist.

Häufig gestellte Fragen

Wie lang sollte ein Passwort sein?
Für Passwörter, die Sie manuell eingeben: mindestens 16 Zeichen aus zufälligem Material oder eine Passphrase mit mehr als 5 Wörtern, die zufällig aus der Liste ausgewählt wird. Für Passwörter verwaltet ein Manager: 24+ Zeichen aus zufälligem Material. Länge ist der einzige wirkliche Schutz gegen Offline-Cracking.
Sind Messgeräte für die Passwortstärke genau?
Die meisten sind nutzlos – sie belohnen eher die Komposition (Vorhandensein von Großbuchstaben, Ziffern, Symbolen) als die Entropie. Die zxcvbn-Bibliothek von Dropbox ist eine der wenigen, die tatsächlich die Knackbarkeit gegenüber gängigen Angriffen einschätzt; Websites, die es verwenden, geben realistisches Kraft-Feedback.
Sollte ich meine Passwörter regelmäßig ändern?
Die NIST-Richtlinien seit 2017 sagen „Nein“ – wechseln Sie nur, wenn es Hinweise auf eine Kompromittierung gibt. Routinemäßige Rotation fördert schwach vorhersehbare Muster. Starke eindeutige Passwörter + 2FA + Überwachung von Sicherheitsverletzungen übertrifft die erzwungene Rotation bei weitem.
Ist ein Satz ein sicheres Passwort?
Kommt auf den Satz an. Ein berühmtes Zitat, das Sie schon einmal gesehen haben, findet sich in tollen Wörterbüchern; Ein Satz, den Sie selbst geschrieben haben, hat eine unvorhersehbare Entropie. Diceware (zufällige Wörter aus einer bekannten Liste) ist messbarer. In jedem Fall müssen die Sätze lang sein – mehr als 6 Wörter aus einer Liste mit Tausenden.
Was passiert, wenn mein Passwort-Manager gehackt wird?
Ihre gespeicherten Einträge werden zu verschlüsselten Blobs, die der Angreifer knacken muss. Mit einem starken Master-Passwort (Diceware, Hardwareschlüssel 2FA auf dem Manager) und einem angreiferresistenten Hashing-Schema (bcrypt, Argon2 mit hohen Kosten) sind die Blobs praktisch unknackbar. Der Verstoß gegen LastPass 2022 zeigte, dass Benutzer mit starken Master-Passwörtern nicht betroffen waren; Benutzer mit Schwachen haben alles verloren.
Erklärung der Passwortstärke: Was ein Passwort eigentlich schwer zu knacken macht