Sicheres Passwort erstellen: Praktische Anleitung mit Beispielen

Es gibt drei Methoden, sichere Passwörter zu erstellen, die wirklich funktionieren. Eine Passphrase nach dem XKCD-936-Schema, ein vom Passwort-Manager generiertes Zufalls-Passwort und ein Diceware-Passwort aus der EFF-Wortliste. Ich zeige dir alle drei mit konkreten Beispielen, sage dir was sie an Entropie-Bits bringen und für welche Situation welche Methode passt. Am Ende hast du ein erprobtes Rezept, mit dem du nicht mehr lange überlegen musst.

Warum die meisten Passwort-Tipps schlecht sind

Die klassischen Empfehlungen aus IT-Schulungen ("acht Zeichen, mindestens ein Großbuchstabe, eine Zahl, ein Sonderzeichen, Wechsel alle 90 Tage") sind nachweislich kontraproduktiv. Sie erzeugen Passwörter wie Sommer24!, die formal jede Regel erfüllen, aber binnen Minuten knackbar sind. Das NIST hat die Empfehlung 2017 offiziell zurückgezogen und durch zwei Regeln ersetzt: Mindestlänge 8 (besser 12+) und Abgleich gegen Listen kompromittierter Passwörter. Komplexitätsregeln und erzwungene Wechsel sind raus.

Das ist auch logisch. Wenn Menschen Passwörter selbst ausdenken, wählen sie nicht zufällig. Sie wählen Vertrautes: Namen, Daten, Hobbys, Lieblingsorte. Genau dieses "Vertraute" ist es, was Wörterbuch-Angriffe in Sekunden durchprobieren. Sicherheit kommt nicht aus Sonderzeichen, sondern aus Zufälligkeit oder ausreichender Länge. Die folgenden drei Methoden liefern beides.

Methode 1: Passphrase nach XKCD-936

Der Comic XKCD 936 hat 2011 eine einfache Idee bekannt gemacht: Vier zufällige Wörter, mit Bindestrichen oder Leerzeichen verkettet, sind ein hervorragendes Passwort. Beispiel: korrekt-pferd-batterie-klammer. Das hat 30 Zeichen Länge, etwa 50 bis 60 Bit Entropie (abhängig vom verwendeten Wortpool) und ist erstaunlich gut zu merken.

Wichtig ist die Wort-Wahl. Die Wörter müssen zufällig sein, nicht von dir ausgesucht. Wenn du bewusst überlegst "welche Wörter passen gut zu mir", wählst du wieder Vertrautes und der Wörterbuch-Angreifer freut sich. Mein Workflow: Ich rolle physisch mit fünf Würfeln pro Wort und schlage das Ergebnis in der EFF-Wortliste nach. Oder ich lasse den Passwort-Manager die Auswahl machen, viele bieten eine "Passphrase generieren"-Funktion an.

Konkretes Beispiel mit ehrlicher Bit-Berechnung. Die EFF-Wortliste hat 7776 Wörter. Vier zufällige Wörter daraus ergeben log2 von 7776 hoch 4, also rund 51,7 Bit Entropie. Das ist akzeptabel. Mit fünf Wörtern wären es 64,6 Bit, also stark. Mit sechs Wörtern 77,5 Bit, fast sehr stark. Beispiel mit fünf Wörtern: kupfer-tunnel-laterne-marmor-flieger. Das ist 36 Zeichen lang, du tippst es in zwei Atemzügen, und ein Angreifer braucht gegen 10 Mrd. Versuche pro Sekunde rund 1.500 Jahre.

Methode 2: Passwort-Manager generiert

Das ist meine Standardmethode für alle Accounts, die ich nicht aktiv eintippen muss. Der Passwort-Manager (Bitwarden, 1Password, KeePassXC) generiert auf Knopfdruck ein zufälliges 16- bis 20-stelliges Passwort und speichert es verschlüsselt ab. Du musst es nicht merken, du musst es nicht eingeben. Du gibst nur dein Master-Passwort ein und der Manager füllt das gespeicherte Passwort automatisch aus.

Beispiel-Output meines Bitwarden mit Voreinstellung "20 Zeichen, alle Zeichensätze": 9$Tk!mB2pVx#qR4nL7sZ. Das hat exakt 131 Bit Entropie. Knack-Dauer: praktisch unendlich. Der Punkt ist nicht, dass du dieses Passwort jemals selbst eintippen würdest. Du tippst es nie. Der Manager macht das.

Diese Methode skaliert beliebig. Du kannst für jeden Dienst ein eigenes 20-stelliges Zufalls-Passwort haben. Wenn ein Datenleck deinen Account bei Dienst A trifft, ist Dienst B trotzdem sicher, weil dort ein völlig anderes Passwort liegt. Genau das ist der Hauptgewinn von Passwort-Managern: Eindeutigkeit pro Account ohne Merk-Aufwand.

Methode 3: Diceware mit physischen Würfeln

Diceware ist die paranoide Variante. Du nimmst fünf normale Würfel und rollst sie. Die Augenzahlen ergeben einen fünfstelligen Code (etwa 6-1-3-2-4), den du in der EFF-Wortliste nachschlägst. Das gibt dir ein Wort. Wiederholen für 5 bis 7 Wörter. Verkette die Wörter mit einem Trennzeichen deiner Wahl. Fertig.

Warum überhaupt physische Würfel? Weil ein echter physischer Würfel eine echte Zufallsquelle ist. Software-Zufallszahlengeneratoren sind in der Praxis fast immer ausreichend, aber wenn du gerade dein Master-Passwort generierst und keinem Code vertrauen willst, sind Würfel die einzige Methode, bei der du die Entropie wirklich selbst kontrollierst. Bei mir hat sich das bei Master-Passwörtern bewährt: Ich rolle 7 Wörter mit physischen Würfeln, das gibt 90,5 Bit Entropie und ein erstaunlich gut zu merkendes Passwort.

Konkretes Beispiel: Sieben Wort-Rolls können kammer-zwerg-tasche-knall-wahl-tisch-eis ergeben. 38 Zeichen, 90 Bit, gegen 10 Mrd. Versuche pro Sekunde nicht in Menschen-Lebzeit knackbar. Du tippst das einmal pro Tag (Master-Passwort) und gut ist.

Methoden im Vergleich: was passt für welchen Account?

Methode	Vorteile	Nachteile	Empfohlen für
Passphrase XKCD-936 (4-5 Wörter)	Gut merkbar, 50-65 Bit, einfach zu tippen	Lang beim Eintippen, weniger Bits pro Zeichen	Selten benötigte aber merkbare Passwörter, Zweit-Master
Passwort-Manager generiert (16-20 Zeichen)	Maximale Entropie (110-130 Bit), pro Account einzigartig, kein Merk-Aufwand	Abhängigkeit vom Manager, Master-Passwort wird Single Point of Failure	Alle Online-Accounts (Standard für 99% der Logins)
Diceware mit Würfeln (6-7 Wörter)	Echte physische Zufälligkeit, gut merkbar trotz hoher Bits, kein Software-Vertrauen nötig	Aufwändig zu erzeugen, sehr lang beim Tippen	Master-Passwörter, Festplattenverschlüsselung, hochsensible Einzelfälle

Der Prozess: drei Schritte zum sicheren Passwort

Konkrete Beispiele und ihre Bits

Damit du ein Gefühl bekommst, wie sich die Methoden in Zahlen niederschlagen, hier eine Sammlung realer Outputs aus den drei Methoden mit ihrer Bit-Bewertung. Alle Beispiele sind frisch generiert für diesen Artikel.

Passphrase mit 4 Wörtern

quartz-feder-tunnel-stempel. 51,7 Bit. Knack-Dauer im Bereich von Jahren bei Offline-Angriff. Akzeptabel für mittelwichtige Accounts.

Passphrase mit 5 Wörtern

kreide-magnet-fenster-pflaume-zelt. 64,6 Bit. Knack-Dauer in mehreren Jahrtausenden. Empfehlenswert ab Banking aufwärts, sofern du dir wirklich Wörter merken willst.

Passwort-Manager 16 Zeichen

k7$Pq!N9zXmL2vBd. 105 Bit. Praktisch nicht knackbar mit aktueller oder mittelfristig denkbarer Hardware.

Passwort-Manager 20 Zeichen

9$Tk!mB2pVx#qR4nL7sZ. 131 Bit. Auch quantencomputing-resistent für die nächsten Jahrzehnte.

Diceware 7 Wörter

kammer-zwerg-tasche-knall-wahl-tisch-eis. 90,5 Bit. Diese Mischung aus extremer Bit-Stärke und überraschend guter Merkbarkeit ist genau das, was ein Master-Passwort sein sollte.

Häufige Fehler, die ich immer wieder sehe

Wenn ich Passwörter prüfe, sehe ich dieselben Anti-Patterns immer wieder. Hier die fünf häufigsten, die du vermeiden solltest.

Fehler 1: Zahlen statt Buchstaben

Aus passwort wird p4ssw0rt. Das fühlt sich clever an, ist aber wertlos. Cracking-Tools haben "Leetspeak"-Regeln eingebaut, die genau diese Substitutionen automatisch durchprobieren. Ein Wörterbuch-Angriff fängt p4ssw0rt in derselben Zeit wie passwort.

Fehler 2: Tastaturwege

qwertzuiop oder 1qaz2wsx sehen zufällig aus, sind es aber nicht. Tastatur-Sequenzen sind eine eigene Kategorie in jeder Cracking-Wortliste. Das Tool erkennt das und stuft entsprechend runter.

Fehler 3: Geburtsdaten und Namen

Lukas2014 oder Mona1985! sind Klassiker. Vornamens-Listen plus Jahreszahlen plus Sonderzeichen sind in jeder ernstzunehmenden Cracking-Suite das Standardrezept. Sobald ein Angreifer deinen Namen oder den deiner Kinder kennt (etwa über Social Media), läuft das in Sekunden durch.

Fehler 4: Gleiches Passwort mehrfach

Selbst wenn dein Passwort 130 Bit hat, ist es wertlos, sobald es bei einem unsicheren Dienst geleakt wird und du es woanders auch verwendet hast. Credential Stuffing (also leaked Passwörter automatisch bei anderen Diensten testen) gehört zu den häufigsten Angriffsmethoden überhaupt. Pro Account ein eigenes Passwort, ohne Ausnahme.

Fehler 5: Im Browser oder auf Zettel speichern

Browser-Passwort-Funktionen sind besser als nichts, aber sie speichern oft unverschlüsselt zugänglich für Malware. Zettel am Monitor sind selbsterklärend ein Problem. Ein dedizierter Passwort-Manager mit einem starken Master-Passwort ist um Welten sicherer als beide Alternativen zusammen.

Mein Rezept für den Alltag

Damit du sofort starten kannst, hier mein praktischer Standard-Workflow. Erstens: Ein Passwort-Manager (ich nutze Bitwarden, weil Open Source plus Self-Hosting möglich ist) wird installiert. Browser-Extension plus Mobile-App. Zweitens: Master-Passwort per Diceware mit physischen Würfeln, 7 Wörter. Das ist das einzige Passwort, das du dir merkst. Drittens: Für jeden bestehenden Account das Passwort auf 20 Zeichen Manager-generiert ändern. Schrittweise, etwa fünf pro Woche, fang mit den wichtigsten an (E-Mail, Banking, Cloud-Speicher).

Viertens: Bei neuen Accounts immer den Manager-Generator nutzen, nie selbst tippen. Fünftens: Zwei-Faktor-Authentifizierung wo immer angeboten, idealerweise per TOTP (Authenticator-App), nicht per SMS. Sechstens: Master-Passwort einmal jährlich gegen das Tool prüfen, ob die Bit-Bewertung noch passt.

Wenn du kein Passwort-Manager-Mensch bist (und das ist okay), nimm Methode 1 mit fünf Wörtern für die fünf bis zehn Accounts, die du wirklich brauchst, und akzeptiere dass mehr Accounts dann nicht praktikabel sicher zu verwalten sind.

Wie der Stärke-Test ins Workflow passt

Ich nutze das Tool nicht nur einmal beim Generieren, sondern routinemäßig. Bei einem neu generierten Manager-Passwort kurz reinkopieren, schauen ob es wirklich die erwarteten Bits hat (selten gibt es Generator-Konfigurationen, die einen kleineren Zeichensatz nutzen als gedacht). Bei Passphrasen prüfen, ob das Tool die Wörter wirklich als zufällig wertet oder ob mein Pool zu klein war. Das dauert zehn Sekunden und fängt Fehler vor dem produktiven Einsatz ab. Besonders wichtig bei selbst generierten Passphrasen, weil Menschen oft glauben sie wählen zufällig, tatsächlich aber unbewusst aus einem viel kleineren Wortvorrat schöpfen.

Was du jetzt tun kannst

Geh durch deine wichtigsten Accounts, beginne mit der Haupt-E-Mail. Generier ein neues Passwort nach Methode 2 (Manager, 20 Zeichen) oder Methode 1 (Passphrase, 5 Wörter), prüfe es kurz im Tool, schau auf Bits und Knack-Dauer und ändere es im Account. Wenn du dabei feststellst, dass dein altes Passwort schwächer war als gedacht, ist das genau der Wachrüttler, den die meisten Leute brauchen, um endlich umzusteigen. Bei mir war es vor Jahren genauso. Heute generiert mein Manager alle Passwörter, ich tippe nur noch eins selbst (das Master) und das Sicherheitsniveau hat sich messbar verbessert.