Dieser Artikel stützt sich auf öffentlich zugängliche Cybersicherheitsforschung, Branchenberichte und allgemein anerkannte Sicherheitspraktiken. Wo persönliche Erfahrungen erwähnt werden, wird dies ausdrücklich angegeben.
Eine Datenpanne, die die meisten vergessen haben – aber nicht sollten
Im Jahr 2012 wurde LinkedIn von einem der damals größten Datendiebstähle der Geschichte getroffen. Spätere Analysen zeigten, dass etwa 167 Millionen Kontodatensätze offengelegt wurden, und rund 117 Millionen davon enthielten E-Mail-Adressen und Passwort-Hashes.
Als Sicherheitsteams die geknackten Passwörter untersuchten, waren die Ergebnisse schmerzhaft vertraut. password1, linkedin123 und ähnliche bequeme Wahlen tauchten millionenfach auf. Interessanter – und besorgniserregender – war, dass selbst Passwörter, die clever aussahen, wie L!nk3d1n2020, schnell fielen. Warum? Weil sie Mustern folgten, die Menschen fast immer verwenden.
Ich arbeite seit über fünfzehn Jahren im Bereich Penetrationstests für Cybersicherheit. Mein Job ist es, in Systeme einzubrechen – legal – und dabei dieselben Methoden zu verwenden, auf die sich echte Angreifer verlassen. Passwörter sind für mich kein theoretisches Thema; sie sind etwas, das ich in der Praxis jeden Tag scheitern sehe.
Wie Passwörter tatsächlich angegriffen werden
Um zu verstehen, warum einige Passwörter überleben und andere nicht, müssen Sie die Seite des Angreifers betrachten. Angreifer sitzen nicht da und raten Passwörter einzeln. Sie automatisieren alles.
- Wörterbuchangriffe (Dictionary Attacks): Diese stützen sich auf riesige Sammlungen echter Passwörter, Wörter, Phrasen und Variationen, die aus jahrelangen Datenpannen gesammelt wurden. Diese Wörterbücher enthalten Milliarden von Einträgen und wachsen weiter.
- Regelbasierte Angriffe (Rule-Based Attacks): Diese sind verheerend effektiv gegen menschliche Kreativität. Tools wenden automatisch gängige Gewohnheiten an: das Ersetzen von "o" durch "0", das Hinzufügen von "123" oder "!" am Ende, Großschreibung des ersten Buchstabens, Einfügen einer Jahreszahl und so weiter. Die meisten "cleveren" Passwörter fallen genau hier.
- Brute Force: Jede mögliche Kombination ausprobieren. Das klingt beängstigend, aber gegen lange, wirklich zufällige Passwörter, die mit modernen Hashing-Algorithmen gespeichert sind, wird Brute Force schnell unpraktikabel, einfach weil es zu lange dauert.
Das Problem mit selbst erstellten Passwörtern
Wir mögen Passwörter, die wir selbst erfinden, weil sie sich persönlich und einprägsam anfühlen. Leider zeigen Forschung – und Erfahrung –, dass sie auch höchst vorhersehbar sind.
- Muster wiederholen sich: Groß angelegte Studien, einschließlich Arbeiten der Carnegie Mellon University, zeigen konsequent dieselben Strukturen: ein Wort oder Name, ein Großbuchstabe am Anfang und Zahlen oder Symbole am Ende. Der Inhalt ändert sich, aber die Form bleibt gleich. Sobald Angreifer diese Struktur modellieren, wird das Knacken dramatisch schneller.
- Die Länge stößt an eine Grenze: Die meisten von Benutzern erstellten Passwörter liegen zwischen 8 und 10 Zeichen. Nicht, weil die Leute nicht wissen, dass länger sicherer ist, sondern weil das Gedächtnis uns zu kürzeren Zeichenfolgen drängt.
- Persönliche Informationen sickern durch: Geburtstage, Haustiernamen, Jahrestage – die Leute benutzen sie ständig. Und im Zeitalter der sozialen Medien müssen Angreifer oft nicht einmal raten.
Warum zufällige Passwörter ein anderes Spiel spielen
Ein Passwort, das von einem sicheren Zufallspasswortgenerator erstellt wurde – so etwas wie r8$NpL#2qW9 – ist nicht nur "komplexer". Es ist grundlegend anders.
Jedes Zeichen wird unabhängig gewählt. Es gibt keine Wörter, keine Ersetzungen, keine menschliche Logik. Diese einzige Tatsache entfernt die mächtigsten Werkzeuge des Angreifers: Wörterbücher und Regeln.
Aus der Zahlenperspektive:
- Ein 8-stelliges Passwort, das nur Kleinbuchstaben verwendet, hat etwa 26⁸ Möglichkeiten (~209 Milliarden).
- Fügen Sie Großbuchstaben, Zahlen und Symbole hinzu, und Sie sind plötzlich bei etwa 95⁸ (~6 Billiarden).
- Erhöhen Sie das auf 12 Zeichen, und der Raum wird astronomisch groß.
Aber der wirkliche Vorteil ist nicht nur die Größe – es ist, dass zufällige Passwörter Angreifer zu Brute Force zwingen, was langsam, teuer und oft die Mühe nicht wert ist.
Wie das Knacken dieser Passwörter in der Praxis aussieht
Aus der Sicht eines Penetrationstesters ist der Unterschied gravierend:
| Passworttyp | Beispiel | Angreifermethode | Zeit zum Knacken |
| :--- | :--- | :--- | :--- |
| Selbst erstellt | Tiger2021! | Wörterbuch & Regelbasiert | Minuten bis Stunden |
| Zufällig generiert | r8$NpL#2qW9 | Reine Brute Force | Jahre / Jahrhunderte |
Wenn das Passwort mit etwas wie bcrypt oder Argon2 ordnungsgemäß gehasht ist, impliziert Brute Force gegen die zufällige Zeichenfolge einen Zeitrahmen, der den Angriff unmöglich macht. In den meisten Fällen in der realen Welt zieht der Angreifer einfach weiter.
Der wahre Kompromiss: Mensch vs. Zufall
Die größte Schwäche von zufälligen Passwörtern ist nicht die Sicherheit – es ist die Benutzerfreundlichkeit. Menschen sind schrecklich darin, sich bedeutungslose Zeichenfolgen zu merken. Das ist die zentrale Spannung in der Passwortsicherheit:
- Passwörter, die Menschen sich gut merken können, neigen dazu, schwach zu sein.
- Passwörter, die stark sind, neigen dazu, nicht einprägsam zu sein.
Moderne Sicherheitspraktiken existieren, um diese Lücke zu schließen.
Was heute tatsächlich funktioniert
Basierend auf Branchenkonsens und Erfahrungen aus der realen Welt:
- Verwenden Sie einen Passwort-Manager: Tools wie Bitwarden oder 1Password ermöglichen es Ihnen, sich auf ein starkes Master-Passwort zu verlassen, während alles andere lang, zufällig und einzigartig ist. Dies wird allgemein als die beste Option für die meisten Menschen angesehen.
- Wenn Sie sich etwas merken müssen, nutzen Sie Länge: Eine Kette von nicht zusammenhängenden Wörtern (z. B.
coffee-zebra-battery-stapler) ist oft widerstandsfähiger gegen Angriffe – und leichter zu merken – als ein kurzes, symbollastiges Passwort. - Verwenden Sie Passwörter niemals wieder: Sobald eine Seite gehackt wurde, verwandelt Wiederverwendung dies in einen Dominoeffekt.
- Aktivieren Sie MFA: E-Mail, Banking, Cloud-Konten – verwenden Sie immer Multi-Faktor-Authentifizierung.
- Überprüfen Sie auf Datenpannen: Dienste wie Have I Been Pwned ermöglichen es Ihnen zu sehen, ob Ihre E-Mail-Adresse in bekannten Datensätzen von Datenpannen auftaucht.
Abschließende Gedanken
Dies ist keine philosophische Debatte darüber, ob Menschen oder Maschinen "bessere" Passwörter erstellen. Es geht um Risikomanagement.
Computer sind gut darin, Zufälligkeit zu erzeugen. Menschen sind gut darin, ein einzelnes Geheimnis zu schützen und auf Aufforderungen wie MFA zu reagieren. Der sicherste Ansatz ist, jeden das tun zu lassen, was er am besten kann.
Bereit, Ihre Sicherheit zu verbessern? Generieren Sie jetzt ein starkes Offline-Passwort um Ihre Konten sofort zu schützen.