Sichere Passwörter erstellen & merken: So geht es richtig
Der vollständige Guide: Von einfachen Regeln bis zu modernen Alternativen.
Stand: Juli 2026 • Lesedauer: ca. 12 Minuten
Was macht ein Passwort wirklich sicher?
Ein sicheres Passwort ist eines, das nicht erraten oder geknackt werden kann. Das klingt simpel, aber in der Praxis machen die meisten Menschen Fehler. Ein wirklich sicheres Passwort braucht:
- Länge: Mindestens 12 Zeichen, besser 16–20. Jedes zusätzliche Zeichen verdoppelt die Rechenzeit für Angreifer.
- Vielfalt: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
- Zufälligkeit: Keine Wörter aus dem Wörterbuch, keine Tastaturmuster (wie "qwerty"), keine persönlichen Daten.
- Einzigartigkeit: Jedes Passwort sollte nur für einen Dienst verwendet werden.
Ein Passwort wie "Minchen2024!" mag kompliziert aussehen, ist aber in Sekunden geknackt, weil es ein echtes Wort + ein Jahr enthält. Ein Passwort wie "7kR9m#xQpL2w$n" ist deutlich sicherer — aber unmöglich zu merken.
Häufige Fehler bei Passwörtern
Hier sind die Top-Fehler, die Privatnutzer machen:
- Zu kurz: "Passwort123" mit 11 Zeichen ist zu kurz. 6-stellige Kombinationen können von modernen Computern in Millisekunden geknackt werden.
- Wörter aus dem Wörterbuch: "Sicherheit2024!" ist ein Beispiel. "Sicherheit" ist ein echtes deutsches Wort und wird sofort im Wörterbuch gefunden. Mit Sonderzeichen und Zahlen ist es zwar etwas besser, aber immer noch schwach.
- Wiederverwendung: Wenn Sie das gleiche Passwort für Netflix, PayPal und Google nutzen und Netflix gehackt wird, können Angreifer mit Ihren Zugangsdaten alle anderen Dienste testen. Das nennt sich Credential Stuffing.
- Persönliche Daten: Geburtsdatum des Kindes, Name des Haustiers, Adresse — diese Informationen sind oft öffentlich und werden in Wörterbuch-Angriffen automatisch versucht.
- Zu einfache Sonderzeichen am Ende: "Passwort2024!" hat das Sonderzeichen nur am Ende. Angreifer wissen das und probieren zuerst Kombinationen mit Sonderzeichen am Ende. Die Sonderzeichen sollten irgendwo in der Mitte stehen.
Passphrasen als sichere Alternative
Eine Passphrase ist eine Folge von Wörtern statt einer zufälligen Zeichenkombination. Beispiel: "Kaffee-Katze-Wald-Pflanze-Blitz".
Das klingt weniger sicher — ist es aber oft nicht. Der Grund: Das menschliche Gehirn kann sich eine Phrase leichter merken als "7kR9m#xQpL2w$n". Deshalb sind Passphrasen mit 5–6 zufälligen Wörtern oft sicherer als kurze, zufällige Passwörter.
Wichtig: Die Wörter müssen wirklich zufällig gewählt sein. "Ich-liebe-mein-Haustier-Fluffy" ist keine sichere Passphrase, weil sie Ihre Lieblingshaustiere beschreibt. Besser: "Kaktus-Seife-Tunnel-Musik-Papier" — vier nicht zusammenhängende Wörter.
Länge der Passphrase: 4 zufällige Wörter = etwa 40 Bits Entropie. 5 Wörter = 50 Bits. Das ist vergleichbar mit einem 12–15-stelligen Passwort.
Passwort-Manager: Die beste Lösung
Ein Passwort-Manager wie 1Password, Bitwarden oder Dashlane löst das Dilemma: Der Manager generiert für jeden Dienst ein neues, zufälliges, 20-stelliges Passwort. Sie müssen sich nur ein einziges, starkes Passwort merken — das Master-Passwort.
So funktioniert ein Passwort-Manager:
- Sie erstellen ein Master-Passwort (am besten eine Passphrase wie "Blitz-Tisch-Musik-Käse-Fenster").
- Der Manager verschlüsselt all Ihre gespeicherten Passwörter mit diesem Master-Passwort.
- Wenn Sie sich irgendwo einloggen, füllt der Manager das richtige Passwort automatisch aus.
- Der Manager kann auch neue, zufällige Passwörter generieren.
Sicherheit: Gute Manager (Bitwarden, 1Password, Dashlane) nutzen Zero-Knowledge-Architektur: Nur Sie haben den Schlüssel zum Tresor. Selbst die Manager-Anbieter können Ihre Passwörter nicht sehen, auch nicht mit Zwangsbefugnissen.
Nachteile: Wenn Ihr Master-Passwort schwach ist, sind alle Passwörter gefährdet. Es gibt auch die psychologische Hürde: Sie setzen "alles" auf einen einzigen Schlüssel. Aber statistische Analysen zeigen: Ein Manager mit starkem Master-Passwort ist deutlich sicherer als Menschen, die 20+ unterschiedliche Passwörter merken sollen.
Mehr dazu lesen: Beste Passwort-Manager 2026.
2FA als zusätzliche Schutzschicht
Zwei-Faktor-Authentifizierung (2FA) bedeutet: Selbst wenn ein Angreifer Ihr Passwort kennt, kann er sich nicht einloggen, weil er auch den zweiten Faktor braucht — meist ein Sicherheitscode auf Ihrem Smartphone.
Typen von 2FA:
- SMS-Codes: Der Dienst sendet einen 6-stelligen Code per SMS. Das ist besser als nichts, aber nicht optimal (Telefonbetrug ist möglich).
- App-basiert (TOTP): Apps wie Google Authenticator oder Authy generieren alle 30 Sekunden einen neuen Code lokal auf Ihrem Telefon. Das ist deutlich sicherer.
- Push-Benachrichtigungen: Der Dienst sendet eine Benachrichtigung auf Ihr Telefon, und Sie genehmigen den Login mit einem Knopfdruck. Sehr benutzerfreundlich und sicher.
- Hardware-Keys (FIDO2): Geräte wie YubiKey oder Titan Security Key sind das sicherste. Sie sind immun gegen Phishing.
Empfehlung: Aktivieren Sie 2FA überall, wo es möglich ist — besonders für Bank, E-Mail und Cloud-Speicher. Nutzen Sie Hardware-Keys für die sensibelsten Konten.
Detaillierter Ratgeber: Zwei-Faktor-Authentifizierung erklärt.
Checkliste: Passwort-Sicherheit auf einen Blick
- ☐ Master-Passwort/Passphrase ist mindestens 16 Zeichen lang
- ☐ Master-Passwort enthält Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
- ☐ Alle anderen Passwörter sind unique (nur einmal verwendet)
- ☐ Ich nutze einen Passwort-Manager (1Password, Bitwarden, Dashlane oder ähnlich)
- ☐ Mein Passwort-Manager wird regelmäßig aktualisiert
- ☐ Alle wichtigen Konten (E-Mail, Bank, Social Media) haben 2FA aktiviert
- ☐ Ich nutze mindestens App-basierte 2FA (besser: Hardware-Keys)
- ☐ Mein Passwort-Manager hat ein Backup oder ist cloud-synchronisiert
- ☐ Ich habe gelegentlich mit "Have I Been Pwned" meine E-Mail-Adresse geprüft
Fazit
Die beste Passwortstrategie für Privatnutzer ist: Passwort-Manager + starkes Master-Passwort + 2FA auf wichtigen Konten. Das ist sicherer als sich 20 unterschiedliche Passwörter zu merken und deutlich praktikabler als täglich zu vergessen, welches Passwort man wo verwendet hat.
Wenn Sie sich selbst Passwörter ausdenken: Nutzen Sie Passphrasen (zufällige Wort-Kombinationen) statt Zeichenkombinationen. Sie sind leichter zu merken und genauso sicher.