Sie ist ähnlich nervig wie ein ungeliebter Behördengang: die regelmäßige Passwort-Zurücksetzung. Dieser vertraute Kreislauf der Frustration – Sommer2026!, Sommer2026?, Herbst2026! – ist ein Sicherheitsritual, das viele von uns ertragen. Aber warum tun wir uns das eigentlich an, wenn dieses Ritual nicht nur nervt, sondern die Passwortsicherheit auch unsicherer macht?
Die überraschende Wahrheit ist: Viele von uns gelernte Regeln zur Passwortsicherheit sind heute nicht nur überholt, sondern sogar kontraproduktiv. Sie führen zu vorhersagbaren Mustern und wiegen uns in einer trügerischen Sicherheit, während die wirklichen Gefahren oft unbeachtet bleiben. Relevante Sicherheitsbehörden wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und das US-amerikanische National Institute of Standards and Technology (NIST) haben ihre Empfehlungen daher grundlegend aktualisiert.
Dieser Blogpost räumt mit den hartnäckigen Passwort-Mythen auf und zeigt Ihnen die wichtigsten neuen Erkenntnisse, die Ihre digitale Sicherheit nicht nur einfacher, sondern vor allem stärker machen. Zeit, um alte Gewohnheiten über Bord zu werfen und zu verstehen, was im Jahr 2026 in Sachen Passwortsicherheit wirklich zählt.
1. Mythos: „Passwörter müssen alle 90 Tage geändert werden“ – Die Realität: Erzwungene Passwortwechsel erzeugen schwächere Passwörter.
Die jahrzehntelang geltende Regel der erzwungenen, regelmäßigen Passwortänderung ist heute offiziell veraltet. BSI und das NIST raten explizit von einem rein zeitgesteuerten Passwortwechsel ab. Der Grundgedanke war, die Zeitspanne zu begrenzen, in der ein gestohlenes Passwort von Angreifern genutzt werden kann. Die Praxis zeigte jedoch ein anderes Bild.
Die ständigen Wechsel führen bei Nutzern zu Frustration und unsicheren Verhaltensweisen. Anstatt starke, neue Passwörter zu erstellen, werden bestehende nur minimal angepasst (z.B. das oben genannte, zugegeben ohnehin sehr unsichere Beispiel „Sommer2026!“ zu „Sommer2026? oder „Herbst2026!“). Diese vorhersagbaren Muster sind für Angreifer leicht zu erraten. Außerdem erzeugt die Praxis ein trügerisches Gefühl der Sicherheit, während kritischere Schwachstellen wie eine fehlende Multi-Faktor-Authentifizierung (MFA) oder das Wiederverwenden von Passwörtern auf verschiedenen Plattformen in den Hintergrund rücken.
Die US-amerikanische Federal Trade Commission fasst die psychologischen Auswirkungen bereits 2016 treffend zusammen: „Es gibt viele Belege dafür, dass Nutzer, die gezwungen sind, ihre Passwörter häufig zu ändern, von vornherein schwächere Passwörter wählen und diese dann auf vorhersagbare Weise ändern, die von Angreifern leicht erraten werden können.“
2. Mythos: „Je komplexer, desto besser!“ – Die neue Maxime: Länge ist wichtiger als Komplexität.
Die starren Komplexitätsregeln (z.B. mindestens ein Sonderzeichen, eine Zahl, etc.) sind ein Relikt der Vergangenheit. Moderne Richtlinien berücksichtigen, dass die alten Empfehlungen oft zu leicht knackbaren Passwörtern wie hier bei unserem Beispielpasswort „Sommer2026!“ führen. Angreifer kennen diese Muster und nutzen sie in ihren Wörterbuchangriffen gezielt aus.
Der neue Grundsatz lautet daher unmissverständlich: Länge ist der entscheidende Faktor für die Passwortsicherheit. Jedes zusätzliche Zeichen erhöht die Anzahl der möglichen Kombinationen exponentiell und macht einen Brute-Force-Angriff (systematisches Durchprobieren aller Möglichkeiten) ungleich aufwändiger. Das NIST empfiehlt daher mittlerweile eine Mindestlänge von 15 Zeichen für Passwörter, die als alleiniger Authentifizierungsfaktor dienen. Für Passwörter, die durch einen zweiten Faktor (MFA) geschützt sind, gilt eine Mindestlänge von acht Zeichen als ausreichend. Die 15-Zeichen-Empfehlung zielt darauf ab, Brute-Force-Angriffe auf alleinstehende Passwörter praktisch unmöglich zu machen, während die kürzere 8-Zeichen-Regel anerkennt, dass ein zweiter Faktor (MFA) bereits die Hauptlast der Sicherheit trägt.
Um solche langen Passwörter dennoch merkbar zu machen, hat sich das Konzept von „Passphrasen“ durchgesetzt. Anstatt sich eine kryptische Zeichenfolge zu merken, kombiniert man mehrere, idealerweise zufällige Wörter. Ein Beispiel wie KlassentreffenSommerkleidSiemensallee362! ist für einen Menschen deutlich leichter zu merken als Tr!x1&?bA, bietet aber durch seine Länge eine weitaus höhere Sicherheit gegen automatisierte Angriffe. Je kreativer/skurriler und persönlicher die Passphrase, umso leichter lässt sie sich merken. Selbstverständlich sollte für jeden Dienst eine andere Kombination verwendet werden. Das kann schnell zur Herausforderung werden – dazu aber später mehr…
Die überraschende Alternative: Warum Verbotslisten (Blacklists) so wirksam sind
Anstatt Nutzern komplexe Regeln vorzuschreiben, ist es weitaus effektiver, ihnen zu sagen, was sie nicht tun sollen. Dies ist das Prinzip hinter Passwort-Verbotslisten (Blacklists), einer modernen und hochwirksamen Sicherheitsmaßnahme. Anstatt die Verwendung von Sonderzeichen zu erzwingen, wird ein neu erstelltes Passwort bei der Eingabe gegen riesige Datenbanken geprüft.
Dienste wie haveibeenpwned.com bieten eine entsprechende API zur Integration an und enthalten Millionen von bereits kompromittierten Passwörtern aus früheren Datenlecks sowie extrem häufig genutzte und simple Passwörter wie „123456“, „passwort“ oder „qwertz“. Egal ob eigene Blacklist oder per API – wird eine Übereinstimmung beim Abgleich gefunden, wird das Passwort schlichtweg abgelehnt. Dieser Ansatz verhindert die häufigsten und schwächsten Passwörter, ohne die Nutzer mit starren Regeln zu frustrieren.
Eine Studie der Carnegie Mellon University bestätigte die Wirksamkeit dieses Ansatzes eindrucksvoll. Die Untersuchung ergab, dass die Anforderung, keine Passwörter von einer Blacklist zu verwenden, zu signifikant stärkeren Passwörtern führte und ein „sehr günstiges Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit“ bietet. Dieser Ansatz ist die logische Konsequenz des „Länge schlägt Komplexität“-Prinzips: Anstatt Nutzer zu zwingen, sich an künstliche Komplexitätsmuster zu erinnern, eliminiert er die am einfachsten zu erratenden Passwörter und fördert so indirekt die Erstellung längerer, einzigartiger Passphrasen.
Die kalte Dusche: Nicht jeder Passwort-Manager ist sicher – was eine BSI-Studie aufdeckte
Angesichts der neuen Empfehlung – lange, für jeden Dienst einzigartige Passphrasen – sind Passwort-Manager keine Bequemlichkeit mehr, sondern die logische und notwendige Konsequenz. Das menschliche Gedächtnis ist für diese Aufgabe eher ungeeignet. Ein Passwort-Manager löst dieses Problem, indem er alle Zugangsdaten in einem verschlüsselten Tresor speichert. Doch nicht alle Manager sind gleich sicher.
Eine aktuelle Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI), die gängige Passwort-Manager untersuchte, deckte bei zehn Produkten teils erhebliche Schwächen auf. Die ernüchternden Kernergebnisse:
• Bei 8 von 10 Produkten erfolgt nach der Änderung des Masterpassworts keine vollständige Neuverschlüsselung des Passwort-Containers. Das alte Masterpasswort könnte unter Umständen weiterhin Zugriff ermöglichen.
• Nur 4 der 10 untersuchten Manager setzen durchgehend sichere, korrekt konfigurierte kryptografische Algorithmen ein.
• Bei 3 von 10 Produkten könnten die Hersteller theoretisch auf die Passwörter im Klartext zugreifen, was dem Zero-Knowledge-Prinzip widerspricht (der Grundsatz, dass der Anbieter selbst keine Möglichkeit hat, Ihre Daten zu entschlüsseln).
Basierend auf den Studienergebnissen lässt sich folgende Empfehlung ableiten: Lokale Lösungen wie KeePassXC bieten die höchste Privatsphäre, da die Daten ausschließlich auf Ihrem Gerät bleiben. Hier liegt jedoch die Verantwortung für Backups vollständig bei Ihnen. Komfortablere Cloud-Lösungen wie 1Password oder Bitwarden synchronisieren Ihre Daten über alle Geräte hinweg. Unabhängig von der Wahl ist es absolut entscheidend, den Zugang zum Passwort-Manager selbst mit einem zweiten Faktor (MFA) abzusichern – idealerweise mit einem phishing-resistenten FIDO2-Sicherheitsschlüssel wie z.B. einem Yubikey.
Blick in die Zukunft: Das beste Passwort ist gar kein Passwort
Die Ära der Passwörter neigt sich langsam ihrem Ende zu, und die Zukunft heißt Passkeys. Passkeys sind ein neuer Authentifizierungsstandard, der darauf ausgelegt ist, Passwörter vollständig zu ersetzen. Anstatt eines Geheimnisses, das Sie sich merken müssen, wird bei der Registrierung ein kryptografisches Schlüsselpaar erzeugt. Der öffentliche Schlüssel wird auf der Webseite gespeichert, während der private, geheime Schlüssel sicher auf Ihrem Gerät (z.B. Smartphone, Laptop) verbleibt und dieses niemals verlässt.
Der entscheidende Vorteil: Um sich anzumelden, müssen Sie nichts mehr eingeben. Sie bestätigen den Login einfach über die Biometrie Ihres Geräts (Fingerabdruck, Gesichtserkennung). Da der private Schlüssel an Ihr Gerät und die jeweilige Webseite gebunden ist, sind Passkeys von Natur aus resistent gegen Phishing-Angriffe. Selbst wenn Sie auf einen Link in einer gefälschten E-Mail klicken, kann der Angreifer nichts stehlen, da kein Passwort existiert, das preisgegeben werden könnte.
Die deutsche Regierung und das BSI treiben die Einführung von Passkeys aktiv voran, um die Cybersicherheit für alle Bürger einfacher und gleichzeitig robuster zu machen. BSI-Präsidentin Claudia Plattner unterstreicht in ihrem Statement die offizielle Stoßrichtung:
„Wir müssen Cybersicherheit so einfach wie möglich und gleichzeitig robust gestalten. Passkeys sind ein perfektes Beispiel dafür, wie man mit technischen Lösungen, technischen Herausforderungen begegnen kann. Ihnen gehört die Zukunft.“
Zeit für den Abschied von alten Gewohnheiten
Die Ära des Auswendiglernens von kryptischem Unsinn ist zum Glück vorbei. An ihre Stelle tritt ein smarterer Ansatz, der Technologie nutzt, um uns vor digitalen Bedrohungen zu schützen, anstatt unser Gedächtnis zu belasten. Das Einzige, was im Weg steht, sind alte Gewohnheiten.
Der Paradigmenwechsel ist klar: weg von komplexen, rotierenden Passwörtern, hin zu langen, einzigartigen und professionell verwalteten Zugangsdaten und langfristig dem vollständigen Umstieg auf Passkeys.