Die Passwortsicherheit ist im Jahr 2026 viel schwieriger als vor 5 Jahren. Die Kombination aus KI-gestütztem Knacken, Massendatenverstößen und Credential-Stuffing-Angriffen führt dazu, dass die meisten „sicheren“ Passwörter bereits kompromittiert sind.
Die Wahrheit über Passwörter:
- Das durchschnittliche Passwort liegt bei 47 bekannten Datenschutzverletzungen vor (überprüfen Sie Ihr Passwort unter Wurde ich pwned?)
- 8-stellige Passwörter mit gemischter Groß-/Kleinschreibung + Zahlen + Symbolen knacken in 39 Minuten auf modernen GPUs
- Das Knacken zufälliger Passwörter mit 16 Zeichen dauert mehr als 5 Milliarden Jahre
- Das Wichtigste ist die LÄNGE, nicht die Komplexität
Die 3-Stufen-Strategie:
Stufe 1: Kritische Konten (Banking, E-Mail, Passwort-Manager)
- Verwenden Sie ein einzigartiges, zufälliges Passwort mit mehr als 25 Zeichen
- Aktivieren Sie 2FA mit einer Authentifizierungs-App (Authy, Aegis) – NICHT SMS
- Aktivieren Sie für E-Mail + Banking auch einen Hardware-Sicherheitsschlüssel (YubiKey 5 – 50 $)
- Alle 12 Monate wechseln
Stufe 2: Wichtige Konten (Einkaufen, soziale Medien, Arbeit)
- Einzigartige, zufällige Passwörter mit 18 Zeichen
- 2FA aktiviert
- Vom Passwort-Manager generiert
Stufe 3: Konten mit geringem Wert (Foren, kostenlose Tools, einmalige Anmeldungen)
- Einzigartige zufällige Passwörter mit 15 Zeichen (immer noch vom Passwort-Manager verwaltet)
- Überspringen Sie 2FA, wenn es nicht einfach angeboten wird
- Verwenden Sie E-Mail-Aliase (SimpleLogin, Apple Hide My Email), um die Gefährdung zu begrenzen
Passwortmanager, die es wert sind, verwendet zu werden:
- 1Passwort (36 $/Jahr) – insgesamt am besten, Familienfreigabe, sichere Notizen
- Bitwarden (10 $/Jahr oder kostenlos) – Open Source, weniger ausgefeilt, aber vertrauenswürdig
- Apple-Schlüsselanhänger (kostenlos) – gut, wenn Sie zu 100 % dem Apple-Ökosystem angehören
- NICHT LastPass (mehrere Verstöße, Vertrauensverlust)
Bewertung der Zwei-Faktor-Authentifizierung:
1. Hardware-Sicherheitsschlüssel (YubiKey, Titan) – Phishing-sicher
2. Authentifizierungs-App (Authy, Aegis, 1Password TOTP)
3. SMS (anfällig für SIM-Austausch – nur verwenden, wenn nichts anderes verfügbar ist)
4. E-Mail-basiertes 2FA (besser als nichts)
Bester kostenloser Passwortgenerator: Wikishopline-Passwortgenerator – generiert sichere, zufällige Passwörter in Ihrem Browser, die nie gespeichert werden und keine Anmeldung erfordern.
Gängige Mythen entlarvt:
- „Passwörter alle 90 Tage ändern“ → veraltete NIST-Richtlinie, eher schädlich als hilfreich
- „Passwörter nicht aufschreiben“ → in Ordnung, wenn sie physisch gesperrt sind, nur nicht digital unverschlüsselt speichern
- „Gemischte Groß- und Kleinschreibung + Symbole machen Passwörter sicher“ → Länge ist weitaus wichtiger
- „Browser-Autofill ist in Ordnung“ → ok für Konten mit geringem Risiko; Verwenden Sie für wichtige Passwörter einen echten Passwort-Manager
Was tun bei Verstößen:
1. Überprüfen Wurde ich pwned? – identifiziert die Websites
2. Ändern Sie das Passwort auf der gehackten Website und auf jeder anderen Website, die dasselbe Passwort verwendet
3. Aktivieren Sie 2FA für alle wichtigen Konten
4. Laufen Überprüfung des Passworts „Have I Been Pwned“. um zu sehen, ob IHR Passwort konkret bei Verstößen vorkommt