Neu
Keine Werbung mögen? Gehen Werbefrei Heute
Warum P@ssword1 nicht wirklich sicher ist
Aktualisiert am
Die Passwortkomplexitätsregeln sollten uns sicherer machen. Stattdessen haben sie uns „Password1!“ überall gegeben. Hier erklärt, was Entropie tatsächlich bedeutet, warum Länge komplexer ist als Komplexität und was NIST 2017 herausfand.
ANZEIGE Entfernen?
Die Passwortrichtlinie bei vielen Unternehmen sieht so aus: mindestens 8 Zeichen, mindestens ein Großbuchstabe, ein Kleinbuchstabe, eine Zahl und ein Sonderzeichen. Und irgendwo denkt ein IT-Manager, dass dies Sicherheit schafft.
In der Zwischenzeit erfüllt „Password1!“ jede einzelne dieser Anforderungen. Ebenso „P@ssw0rd1“ und „Summer2024!“. Diese Passwörter tauchen regelmäßig in Datenbanken von Sicherheitsverletzungen auf – nicht trotz Komplexitätsregeln, sondern teilweise wegen dieser Regeln.
Warum Komplexitätsregeln schiefgehen
Wenn man Benutzern zwingt, einen Großbuchstaben, eine Zahl und ein Symbol hinzuzufügen, erzeugen sie keine Zufälligkeit – sie folgen Mustern. Der erste Buchstabe wird großgeschrieben. Der Buchstabe „a“ wird durch „@“ und „o“ durch „0“ ersetzt. Das Passwort endet mit „1!“ oder dem aktuellen Jahr. Jedes Passwort-Abfrage-System enthält diese Transformationen. Die Anwendung von „Wörterbuch + gängige Substitutionen + Anhängen von Zahlen/Symbolen“ an einem gelösten Hash-Datenbank ist ein Standardangriff, und er funktioniert, weil das genau das ist, was die Richtlinie den Benutzern beigebracht hat.
Die Anforderung an Komplexität verleiht dem Benutzer das Gefühl von Sicherheit, während sie systematisch Benutzer in vorhersehbare Muster leitet. Es ist Sicherheitsschau mit zusätzlichen Schritten.
Entropie: Das, was tatsächlich wichtig ist
Die Stärke eines Passworts hängt von der Entropie ab – einer Maßzahl für Unvorhersehbarkeit. Die Formel ist einfach:
H = L × log₂(N)
Wo L ist die Länge des Passworts und N ist die Größe der Zeichenmenge, aus der die Zeichen ausgewählt werden. Je mehr Bits = mehr Versuche = schwieriger zu knacken.
Das kritische Wort ist ausgewählt. Diese Formel annimmt, dass jedes Zeichen zufällig aus N Möglichkeiten ausgewählt wird. Sobald ein Mensch die Zeichen wählt, sind alle Wetten verloren – denn Menschen sind vorhersehbar schlecht bei Zufälligkeit.
Die Zahlen
Hier ist ein Vergleich der gängigen Passwortstrategien:
| Passworttyp | Beispiel | Theoretische maximale Entropie | Realwelt-effektive Entropie |
|---|---|---|---|
| 8-Zeichen „komplex“ (Wort + Substitutionen) | P@ssw0rd | ~52 Bit | ~20 Bit – Angreifer nutzen regelbasierte Angriffe |
| 10-Zeichen „komplex“ (Wort + Zahl + Symbol) | P@ssw0rd1! | ~65 Bit | ~28 Bit – das gleiche Problem, etwas länger |
| 4-Wort-Diceware-Phrase | correct horse battery staple | ~52 Bit | ~52 Bit – wirklich zufällig, wenn Würfel verwendet wurden |
| 16-Zeichen zufällig (vollständige ASCII-Druckzeichen) | Xk9#mP2vQw7&nZ4j | ~105 Bit | ~105 Bit – nur mit einem Passwortmanager erreichbar |
„correct horse battery staple“ und „P@ssw0rd“ haben auf dem Papier ähnliche theoretische Entropie – aber nur die Phrase erreicht sie, weil ein Würfelwurf wirklich zufällig ist und „Passwort mit o→0 und a→@“ nicht. Angreifer kennen jede Substitutionsregel, die du kennst.
Was NIST 2017 herausfand
Die NIST-Spezialpublikation 800-63B kehrte nach Jahrzehnten konventioneller Meinung schleichend um. Die wichtigsten Änderungen in der 2017-Ausgabe:
- Keine zwingende Komplexitätsregeln. Die Erfordernisse eines Groß- und Kleinbuchstabens, einer Zahl und eines Sonderzeichens verbessern die Sicherheit nicht so, wie man dachte.
- Keine zwingende periodische Rotation. „Ändere dein Passwort alle 90 Tage“ führt zu Passwörtern wie Password1 → Password2 → Password3. Es sei denn, es gibt Hinweise auf einen Sicherheitsvorfall, führt die Rotation mehr Schaden als Nutzen.
- Länge statt Komplexität. Ein langes Passwort ist fast immer sicherer als ein kürzeres komplexes Passwort. NIST empfiehlt eine Mindestlänge von 8 Zeichen und schlägt eine Länge von mindestens 64 vor.
- Prüfe auf bekannte verletzte Passwörter. Blockiere Passwörter, die in bekannten Verletzungsdatenbanken vorkommen. Das ist viel effektiver als die Erfordernis eines Sonderzeichens.
Die meisten IT-Abteilungen in Unternehmen führen 2025 noch 2003-Politiken. Die Empfehlungen haben sich geändert. Die Passwortdialoge haben sich nicht geändert.
Phrasen gegenüber „komplexen“ Passwörtern
Das xkcd-Comic „correct horse battery staple“ war nicht nur ein Witz – die Mathematik hält sich. Eine aus vier wirklich zufälligen allgemeinen Wörtern bestehende Passphrase hat etwa 44–52 Bit Entropie, je nach Wortliste. Das übertrifft die meisten „komplexen“ Passwörter, die Menschen tatsächlich in der Praxis erstellen, und es ist etwas, das ein Mensch tatsächlich merken und eingeben kann.
Die Bedingung: Die Wörter müssen wirklich zufällig sein. „Mein Hund Max liebt Pizza“ ist keine Passphrase – es ist ein Satz mit persönlicher Kontext, der den Suchraum erheblich reduziert. Wählen Sie Wörter mit Würfeln (Diceware) oder einem geeigneten Zufallsgenerator, nicht mit Ihrem Kopf.
Gängige Mythen zur Passwort-Sicherheit
- Mythos: Sonderzeichen machen Passwörter sicher. Nur wenn das zugrunde liegende Passwort zufällig ist. Die Anhängung eines „!“ an ein Wort- basiertes Passwort ergibt vielleicht 6 Bit Entropie und fast nichts in einem regelbasierten Angriff.
- Mythos: Längere Passwörter sind schwerer zu tippen, also schlechtere Benutzererfahrung. Eine vierwortige Passphrase ist in Zeichenlänge länger, aber oft einfacher zu tippen als Tr0ub4dor&3.
- Mythos: Häufige Rotation bedeutet bessere Sicherheit. Datenbanken von Verletzungen zeigen eindeutig, dass zwingende Rotation zu vorhersehbaren, schrittweisen Änderungen führt. NIST empfiehlt nun explizit gegen eine solche Rotation außer bei bestätigten Sicherheitsvorfällen.
- Mythos: Ein Passwortmanager ist riskant, weil eine Verletzung alles enthüllt. Die Alternative – das Verwenden schwacher Passwörter auf mehreren Websites – enthüllt alles bei der ersten Verletzung eines Dienstes, den Sie nutzen. Passwortmanager gewinnen auf Erwartungswert.
Was tatsächlich funktioniert
Verwenden Sie einen Passwortmanager und lassen Sie ihn lange, wirklich zufällige Passwörter (16 oder mehr Zeichen, vollständige Zeichenmenge) generieren. Sie erinnern sich an ein starkes Hauptpasswort; der Manager kümmert sich um alles andere. Bitwarden, 1Password und KeePassXC sind die vernünftigen Optionen, je nachdem, ob Sie Cloud-Synchronisierung oder lokale Nutzung bevorzugen.
Verwenden Sie Diceware-Phrasen für alles, was Sie tippen oder merken müssen. Würfeln Sie tatsächlich Würfel, schauen Sie die Wörter in der EFF-Größewortlisteauf und verbinden Sie vier oder fünf Wörter zusammen. Verpassen Sie nicht die Würfel – das Auswahl von Wörtern selbst zerstört den Sinn.
Sie können überprüfen, wo ein Passwort auf der Entropieskala liegt, mit dem Password Strength Analyzer – es zeigt die real geschätzte Kriegszeit an statt dem grünen, gelben oder roten Theater, das die meisten Websites anbieten. Und wenn Sie ein richtig zufälliges Passwort benötigen, bietet der Passwortgenerator eine Einstellung für Länge und Zeichenmenge und erzeugt etwas, das nicht „Summer2025!“ ist.
Die tatsächliche Zusammenfassung
Die Komplexitätsregeln haben gewonnen. Sie sind in jeder Unternehmensrichtlinie, bei jedem Benutzeranmelden und in jedem Dialog „Ihr Passwort muss enthalten…“ verankert. Doch sie haben gescheitert – die Datenbanken von Sicherheitsverletzungen sind voll von genau den Arten von Passwörtern, die diese Regeln erzeugen.
Länge und echte Zufälligkeit sind die Hebel, die tatsächlich Entropie beeinflussen. Alles andere ist eine Checkbox, die einem Passwortdialog das Gefühl verleiht, etwas zu tun.
Möchten Sie werbefrei genießen?
Werde noch heute werbefrei
Erweiterungen installieren
IO-Tools zu Ihrem Lieblingsbrowser hinzufügen für sofortigen Zugriff und schnellere Suche
恵 Die Anzeigetafel ist eingetroffen!
Anzeigetafel ist eine unterhaltsame Möglichkeit, Ihre Spiele zu verfolgen. Alle Daten werden in Ihrem Browser gespeichert. Weitere Funktionen folgen in Kürze!
ANZEIGE Entfernen?
Unverzichtbare Tools
AlleANZEIGE Entfernen?
Neuheiten
AlleAktualisieren: Unser neuestes Werkzeug was added on Juni 26, 2026
Beteiligen Sie sich
Helfen Sie uns, weiterhin wertvolle kostenlose Tools bereitzustellen
ANZEIGE Entfernen?