Passwortsicherheit: Warum die meisten Passwörter schwach sind und wie Sie starke erstellen

Die meisten Menschen verwenden schwache Passwörter, ohne es zu merken. Erfahren Sie, was ein starkes Passwort ausmacht, wie Sie Ihres sofort prüfen und unknackbare Passwörter erzeugen — alles privat in Ihrem Browser.

Wenn Sie ein Passwort wie password123, qwerty oder den Namen Ihres Haustiers gefolgt von einem Geburtsjahr verwenden, sind Sie damit nicht allein — aber Sie sind ernsthaft gefährdet. Eine Studie von NordPass aus dem Jahr 2023 ergab, dass das weltweit häufigste Passwort nach wie vor "123456" ist, das von über 4,5 Millionen Menschen verwendet wird. Laut Google nutzen 65 % der Menschen dasselbe Passwort auf mehreren Websites. Das ist der größte einzelne Sicherheitsfehler, den Sie online begehen können.

Dieser Leitfaden erklärt genau, was ein Passwort schwach oder stark macht, wie Angreifer es knacken und wie Sie sich schützen können — mit kostenlosen Tools, die vollständig in Ihrem Browser laufen, ohne dass jemals Daten an einen Server gesendet werden.

Die häufigsten Passwörter — steht Ihres auf dieser Liste?

Jedes Jahr analysieren Sicherheitsforscher Milliarden geleakter Zugangsdaten aus Datenlecks. Die Ergebnisse sind durchweg alarmierend. Hier sind die schlimmsten Übeltäter, die in praktisch jeder Leak-Datenbank auftauchen:

123456 / 12345678 / 123456789
password / password1 / Password123
qwerty / qwerty123 / qwertyuiop
iloveyou / letmein / welcome
admin / root / user / login
abc123 / 111111 / 000000
monkey / dragon / master / sunshine

Warnung: Falls eines Ihrer Passwörter auf dieser Liste steht oder ihr stark ähnelt, ändern Sie es umgehend. Diese Passwörter sind die allerersten, die jeder Angreifer ausprobiert, und automatisierte Tools können sie alle in unter einer Sekunde durchtesten.

Besonders gefährlich ist, dass viele Menschen glauben, sie seien clever, wenn sie Buchstaben durch Zahlen ersetzen — also p@ssw0rd statt password schreiben. Auch diesen Trick kennen Angreifer. Moderne Knack-Tools enthalten „Mangling-Regeln", die diese Ersetzungen automatisch auf jedes Wort in ihrem Wörterbuch anwenden.

Was macht ein Passwort schwach?

Die Schwäche eines Passworts entsteht durch Vorhersagbarkeit. Ein Passwort ist schwach, wenn ein Angreifer es schneller erraten kann, als jede mögliche Kombination durchzuprobieren. Die Hauptursachen sind:

1. Geringe Länge

Die Länge ist der mit Abstand wichtigste Faktor für die Passwortstärke. Ein Passwort mit 6 Zeichen, das nur Kleinbuchstaben verwendet, hat lediglich 308 Millionen mögliche Kombinationen — eine moderne GPU kann diese in unter einer Sekunde durchprobieren. Ein 8-stelliges Passwort mit Groß- und Kleinschreibung sowie Zahlen hat 218 Billionen Kombinationen, was beeindruckend klingt, doch moderne Knack-Rigs mit Milliarden von Versuchen pro Sekunde können es dennoch in Minuten knacken.

2. Wörter aus dem Wörterbuch

Jedes echte Wort in jeder Sprache ist sofort anfällig für einen Wörterbuchangriff. Dazu gehören Wörter mit offensichtlichen Ersetzungen (3 für e, 0 für o, @für a) sowie Wörter mit am Ende angehängten Zahlen (monkey1, dragon99). Angreifer verfügen über Wörterbücher mit Hunderten Millionen dieser vorberechneten Varianten.

3. Persönliche Informationen

Namen, Geburtstage, Jahrestage, Haustiernamen und Lieblingssportmannschaften sind äußerst verbreitete Bestandteile von Passwörtern. Wenn ein Angreifer irgendetwas über Sie weiß — schon allein aus Ihren Social-Media-Profilen —, kann er eine gezielte Wortliste erstellen und die zum Knacken Ihres Passworts benötigte Zeit drastisch verkürzen.

4. Muster und Tastatur-Pfade

Folgen wie qwerty, asdfgh, 1qaz2wsx oder zxcvbn sind Tastaturmuster, die Knacker in den ersten Sekunden testen. Sie erfordern keinerlei zusätzliche Information zum Erraten — nur die Kenntnis eines Tastaturlayouts.

Wie Passwortknacken tatsächlich funktioniert

Zu verstehen, wie Angreifer Passwörter knacken, hilft Ihnen zu begreifen, warum bestimmte Praktiken Sie tatsächlich schützen und andere sich nur sicher anfühlen.

Brute-Force-Angriffe

Ein Brute-Force-Angriff probiert jede einzelne mögliche Zeichenkombination aus, bis er die richtige findet. Bei kurzen Passwörtern geht das trivial schnell. Bei längeren wächst die Zeit exponentiell. Ein 12-stelliges Passwort mit Groß- und Kleinbuchstaben, Zahlen und Symbolen hat rund 19 Quadrillionen mögliche Kombinationen — bei einer Milliarde Versuchen pro Sekunde würde es über 600 Jahre dauern, sie vollständig durchzuprobieren. Das ist die Macht der Länge.

Wörterbuchangriffe

Statt jede Kombination zu probieren, verwenden Wörterbuchangriffe vorgefertigte Listen bekannter Passwörter, gängiger Wörter und geleakter Zugangsdaten aus früheren Datenlecks. Allein die RockYou-Wortliste — 2009 geleakt — enthält 14 Millionen Passwörter und ist bis heute der Ausgangspunkt für die meisten Knack-Sitzungen. Wenn Ihr Passwort jemals zuvor von irgendjemandem verwendet wurde und in einem Leak auftauchte, befindet es sich irgendwo in einem Wörterbuch.

Rainbow-Tables

Wenn Websites Passwörter speichern, sollten sie diese als kryptografische Hashes speichern — nicht das tatsächliche Passwort. Rainbow-Tables sind vorberechnete Nachschlagetabellen, die Hash-Werte zurück auf die ursprünglichen Passwörter abbilden. Wenn eine Website Passwörter speichert, ohne die Hashes zu „salzen" (einen Zufallswert vor dem Hashen hinzuzufügen), kann ein Rainbow-Table-Angriff Millionen von Passwörtern in Sekunden wiederherstellen. Deshalb sind Datenlecks so verheerend.

Wichtige Erkenntnis: Passwortknacken ist zur Massenware geworden. Es gibt Online-Dienste, bei denen Sie dafür bezahlen können, Hashes knacken zu lassen. Hardware für ein paar Hundert Dollar kann Milliarden von Passwörtern pro Sekunde testen. Die einzige echte Verteidigung ist ein Passwort, das sowohl lang als auch wirklich zufällig ist.

Passwort-Entropie: Warum Länge immer gewinnt

Entropie ist ein Maß für Unvorhersagbarkeit, ausgedrückt in Bit. Je höher die Entropie, desto länger dauert es, ein Passwort per Brute Force zu knacken. So funktioniert das in der Praxis:

Ein Passwort, das nur Kleinbuchstaben (26 Zeichen) verwendet, fügt etwa 4,7 Bit Entropie pro Zeichen hinzu.
Das Hinzufügen von Großbuchstaben verdoppelt den Zeichensatz auf 52 Zeichen — 5,7 Bit pro Zeichen.
Das Hinzufügen von Ziffern (62 Zeichen) — 5,95 Bit pro Zeichen.
Das Hinzufügen von Symbolen (95 druckbare ASCII-Zeichen) — 6,57 Bit pro Zeichen.

Doch der Multiplikatoreffekt der Länge ist weitaus mächtiger als das Hinzufügen jedes einzelnen Zeichentyps. Ein 12-stelliges, vollständig zufälliges Passwort aus dem gesamten druckbaren ASCII-Zeichensatz hat etwa 79 Bit Entropie. Bei 16 Zeichen werden daraus 105 Bit — mit jeder absehbaren Technologie praktisch unknackbar.

Die drei Arten von Passwörtern, die Menschen verwenden

Die Passwortstrategien der meisten Menschen fallen in eine von drei Kategorien — jede mit eigenen Kompromissen:

Typ 1: Leicht zu merken, leicht zu knacken

Das ist die Kategorie fluffy2009! — ein Haustiername, ein Jahr und ein Satzzeichen. Sie können es sich mühelos merken. Ein Angreifer kann es mit einer ordentlichen Wortliste und Mangling-Regeln in unter einer Stunde knacken. Diese Passwörter bieten so gut wie keinen echten Schutz.

Typ 2: Komplex, aber unmöglich zu merken

Manche Menschen versuchen, wirklich komplexe Passwörter zu erstellen, indem sie wild auf der Tastatur tippen —xK3#mQ9!pL —, stellen dann aber fest, dass sie es sich nicht merken können. Das führt dazu, dass sie es auf einen Notizzettel schreiben, in einer unverschlüsselten Textdatei speichern oder es schlicht ständig zurücksetzen. Der Sicherheitsgewinn geht durch schlechte Aufbewahrung verloren.

Typ 3: Stark und richtig aufbewahrt

Das ist der einzige Ansatz, der im großen Maßstab tatsächlich funktioniert. Erzeugen Sie ein langes, vollständig zufälliges Passwort und speichern Sie es in einem Passwort-Manager. Sie müssen sich nur ein starkes Master-Passwort merken. Der Rest wird für Sie automatisch erzeugt, gespeichert und ausgefüllt. So verwalten Sicherheitsexperten Hunderte von Konten.

Visueller Stärkevergleich

Hier ein direkter Vergleich, wie dramatisch sich die Passwortstärke unterscheidet:

Passwort	Länge	Zeichensatz	Entropie	Zeit zum Knacken
`password123`	11	Kleinbuchstaben + Ziffern	~18 Bit (Wörterbuch)	Sofort
`P@$$w0rd`	8	Gemischt + Symbole	~24 Bit (Muster)	Minuten bis Stunden
`v8K#mX2qLn&4jR7`	16	Voll-ASCII zufällig	~105 Bit	Milliarden Jahre

Der Unterschied zwischen dem ersten und dem dritten Passwort ist nicht nur graduell — es ist der Unterschied zwischen keinem Schutz und nahezu unknackbarer Sicherheit. Und Sie müssen sich v8K#mX2qLn&4jR7gar nicht merken — das übernimmt Ihr Passwort-Manager für Sie.

Prüfen Sie die Stärke Ihres aktuellen Passworts sofort

Bevor Sie etwas ändern, lohnt es sich zu verstehen, wie stark Ihre aktuellen Passwörter genau sind. BrowseryTools bietet einen kostenlosen, privaten Passwortstärke-Prüfer, der Ihr Passwort lokal analysiert — die Zeichen, die Sie eingeben, verlassen niemals Ihren Browser.

Jetzt ausprobieren: Besuchen Sie den BrowseryTools Passwortstärke-Prüfer, um genau zu sehen, wie Ihre Passwörter abschneiden. Das Tool prüft Länge, Zeichenvielfalt, gängige Muster und Wörterbuch-Treffer — und sagt Ihnen, wie lange es realistisch dauern würde, es zu knacken.

Der Prüfer gibt Ihnen eine klare Bewertung mit einer Erklärung, was schwach ist und was Sie verbessern sollten. Es ist der schnellste Weg zu einem ehrlichen Audit der Passwörter, die Sie bereits verwenden.

Erzeugen Sie starke Passwörter mit einem Klick

Zu wissen, wie ein starkes Passwort aussieht, und tatsächlich eines zu erstellen, sind zwei verschiedene Probleme. Das menschliche Gehirn ist notorisch schlecht darin, Zufälligkeit zu erzeugen — wir greifen immer auf Muster, vertraute Wörter und vorhersagbare Strukturen zurück. Die Lösung besteht darin, eine Maschine die Zufälligkeit für Sie erzeugen zu lassen.

Der BrowseryTools Passwortgenerator erstellt kryptografisch zufällige Passwörter mithilfe des in Ihrem Browser integrierten sicheren Zufallszahlengenerators. Sie können Folgendes anpassen:

Passwortlänge (bis zu 128 Zeichen)
Einzuschließende Zeichensätze: Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole
Ausschluss mehrdeutiger Zeichen (wie 0, O, l, 1) für leichteres manuelles Abtippen
Anzahl der gleichzeitig zu erzeugenden Passwörter

Datenschutzgarantie: Der BrowseryTools Passwortgenerator läuft vollständig in Ihrem Browser mithilfe der Web Crypto API. Kein Passwort wird jemals an einen Server übertragen. Die Erzeugung erfolgt auf Ihrem Gerät, nur für Ihre Augen.

Warum Sie einen Passwort-Manager brauchen

Der häufigste Einwand gegen die Nutzung starker Passwörter ist die Merkbarkeit. „Ich kann mir keine 30 verschiedenen 20-stelligen Zufallszeichenketten merken." Da haben Sie recht — und das müssen Sie auch nicht. Genau dafür sind Passwort-Manager da.

Ein Passwort-Manager ist ein verschlüsselter Tresor, der all Ihre Passwörter speichert. Sie entsperren ihn mit einem starken Master-Passwort (dem einzigen, das Sie sich merken müssen), und er erledigt alles Übrige:

Speichert unbegrenzt viele Passwörter sicher mit Ende-zu-Ende-Verschlüsselung
Füllt Anmeldeformulare in Ihrem Browser automatisch aus
Erzeugt neue starke Passwörter, wenn Sie Konten erstellen
Warnt Sie, wenn ein Passwort in einem bekannten Leak offengelegt wurde
Synchronisiert sicher über all Ihre Geräte hinweg

Beliebte Optionen sind Bitwarden (quelloffen und kostenlos), 1Password und KeePass (vollständig lokal). Wichtig ist, irgendeinen davon zu nutzen — die Sicherheitsverbesserung gegenüber gar keinem Manager ist enorm.

Wichtige Erkenntnis: Mit einem Passwort-Manager können Sie auf jeder einzelnen Website ein anderes, vollständig zufälliges, 20-stelliges Passwort verwenden. Wird eine Website kompromittiert, ist nur dieses eine Konto betroffen — nicht jedes Konto, das Sie besitzen.

Zwei-Faktor-Authentifizierung: Warum Passwörter allein nicht genügen

Selbst das stärkste Passwort hat eine grundlegende Schwachstelle: Es kann gestohlen werden, ohne geknackt zu werden. Phishing-Angriffe, Keylogger, Man-in-the-Middle-Angriffe und Datenlecks können Ihr Passwort offenlegen, ohne dass irgendein Brute Force im Spiel ist. Sobald ein Angreifer Ihr Passwort hat, sind Länge und Komplexität belanglos.

Die Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Ebene hinzu, die Sie schützt, selbst wenn Ihr Passwort kompromittiert wird. Gängige Formen sind:

TOTP-Apps (Google Authenticator, Authy): Erzeugen einen 6-stelligen Code, der sich alle 30 Sekunden ändert. Selbst mit Ihrem Passwort kann sich ein Angreifer ohne den aktuellen Code nicht anmelden.
Hardware-Schlüssel (YubiKey): Ein physisches Gerät, das Sie einstecken oder antippen. Phishing-resistent, weil der Schlüssel die Domain der Website verifiziert, bevor er sich authentifiziert.
SMS-Codes: Besser als nichts, aber anfällig für SIM-Swapping-Angriffe. Verwenden Sie nach Möglichkeit stattdessen eine Authenticator-App.

Aktivieren Sie 2FA bei jedem Konto, das es unterstützt — insbesondere bei E-Mail, Banking, Cloud-Speicher und sozialen Medien. Ein starkes Passwort plus 2FA macht unbefugten Zugriff selbst für gut ausgestattete Angreifer äußerst schwierig.

Eine vollständige Checkliste für Passwortsicherheit

Verwenden Sie für jedes Passwort mindestens 16 Zeichen
Verwenden Sie auf jeder Website und jedem Dienst ein anderes Passwort
Verwenden Sie niemals Wörterbuchwörter, Namen oder persönliche Informationen
Nutzen Sie einen Passwort-Manager, um alle Passwörter zu erzeugen und zu speichern
Aktivieren Sie die Zwei-Faktor-Authentifizierung überall dort, wo sie verfügbar ist
Prüfen Sie noch heute Ihre vorhandenen Passwörter mit einem Stärkeprüfer
Prüfen Sie, ob Ihre E-Mail in bekannten Datenlecks aufgetaucht ist (haveibeenpwned.com)
Geben Sie Passwörter niemals per E-Mail, SMS oder Messaging-Apps weiter

Fangen Sie jetzt an — es dauert nur 2 Minuten

Sie müssen nicht alles auf einmal umkrempeln. Beginnen Sie mit Ihren wichtigsten Konten: E-Mail, Banking und Ihren wichtigsten sozialen Medien. Ersetzen Sie diese Passwörter zuerst mit dem BrowseryTools Passwortgenerator und prüfen Sie anschließend die Stärke Ihrer bestehenden Passwörter mit dem Passwortstärke-Prüfer.

Kostenlose Passwort-Tools — keine Anmeldung, keine geteilten Daten

Passwortstärke prüfen →Starkes Passwort erzeugen →

Beide Tools laufen vollständig in Ihrem Browser. Ihre Passwörter werden niemals übertragen, protokolliert oder irgendwo außerhalb Ihres eigenen Geräts gespeichert. Das ist das Versprechen von BrowseryTools — leistungsstarke Tools, die Ihre Privatsphäre wirklich respektieren.