Was sich an Passwörtern geändert hat
Die alten Regeln - „mindestens 8 Zeichen, ein Sonderzeichen, alle 90 Tage wechseln" - sind nachweislich kontraproduktiv. Sie führen zu Mustern wie Sommer2024! und nach 90 Tagen Sommer2025!. Angreifer-Tools kennen alle diese Muster.
Die neuen Empfehlungen (NIST, BSI, NCSC) sind klar:
- Länge schlägt Komplexität. 16+ Zeichen sind das Ziel.
- Erzwungene Wechsel sind out. Wechseln, wenn es einen Anlass gibt - sonst nicht.
- Einzigartigkeit ist nicht verhandelbar. Jedes Konto bekommt sein eigenes Passwort.
Lang ist stark
Eine Phrase aus 4-5 zufälligen Wörtern (z.B. 'Apfel Sturm Kaffee Tisch') ist sicherer als 'P@ssw0rd!23' und einfacher zu merken.
Einzigartig pro Konto
Wenn ein Dienst kompromittiert wird, prüfen Angreifer das Passwort automatisch bei hundert anderen. Wiederverwendung = Dominoeffekt.
Passwort-Manager statt Gedächtnis
Sie müssen sich genau ein gutes Master-Passwort merken. Der Rest wird automatisch generiert und gespeichert.
Warum Wiederverwendung das Hauptproblem ist
Wenn 2025 ein E-Commerce-Shop gehackt wird, landen die Passwörter im Darknet. Innerhalb von Stunden testen automatische Tools diese Kombinationen gegen Gmail, Microsoft 365, Online-Banking, LinkedIn. Dieses Verfahren heißt Credential Stuffing und ist heute der häufigste Angriffsvektor.
Die Lösung ist banal: ein Passwort pro Dienst, jedes anders. Das geht ohne Manager praktisch nicht.
Der Passwort-Manager - was und warum
Ein Passwort-Manager (Bitwarden, 1Password, KeePass, der eingebaute in Apple/Google) ist eine verschlüsselte Datenbank, geschützt durch ein Master-Passwort. Vorteile:
- Generiert automatisch zufällige, lange Passwörter.
- Füllt sie beim Login automatisch aus - kein Tippen, kein Vergessen.
- Synchronisiert über Geräte hinweg.
- Warnt bei Wiederverwendung oder bei Lecks.
- Anti-Phishing eingebaut: füllt das Passwort nur auf der echten Domain aus.
Das Anti-Phishing-Argument ist unterschätzt: Wenn Ihr Manager nicht automatisch ausfüllt, ist meist die Domain falsch.
So wählen Sie ein Master-Passwort
Das eine Passwort, das Sie sich merken müssen. Empfehlung:
- 4-6 zufällige Wörter, durch Leerzeichen oder Bindestriche getrennt
- Keine Namen, Geburtstage, Bandnamen, die in Ihrem Profil stehen
- Beispiel-Methode: drei zufällige Wörter aus einem Buch (Wörterbuch-Methode)
Schreiben Sie es einmal auf Papier und legen Sie es in ein Schloss zu Hause - bis es sitzt.
2023 leakt eine Hotel-Buchungsplattform 23 Millionen Passwörter. Innerhalb von 72 Stunden werden 1,4 Millionen Microsoft-365-Konten angegriffen, die das gleiche Passwort nutzten. Bei rund 40'000 Konten gelingt der Login - keine technische Lücke bei Microsoft, sondern bei den Nutzern wiederverwendete Passwörter.
Die zwei Reflexe
- Wenn ein Konto neu ist: Passwort-Manager öffnen → „Generieren" → 20+ Zeichen → speichern. Sie merken sich nichts.
- Wenn ein Konto kompromittiert war: Passwort ändern, MFA prüfen, gleiche Wiederverwendung auf anderen Diensten beheben.
Bonus: Was nicht hilft
- ❌ Passwort regelmäßig erzwungen wechseln (führt zu Mustern)
- ❌ „Geheime Frage" mit dem Namen Ihres Haustiers (steht auf Instagram)
- ❌ Passwort in einer Excel-Datei auf dem Desktop
- ❌ „Sommer2024!" - alle Varianten sind in Angreifer-Wörterbüchern
Was hilft: lang, einzigartig, im Manager. Plus MFA - dazu kommt die nächste Schulung.