UtilBoxx
Entwickler-Tools·5 Min

Erstellen Sie starke, einprägsame Passwörter (2026)

Generieren Sie kryptographisch starke Passwörter. Steuern Sie Länge, Zeichen und Aussprechbarkeit.

Warum Passwörter 2026 immer noch wichtig sind

Wir sind tief im Passkey-Zeitalter, aber Passwörter bleiben die häufigste Authentifizierungs­berechtigung im Internet. Die meisten Online-Konten — E-Mail, Banking, soziale Medien, Arbeitswerkzeuge, Streaming-Dienste — verlassen sich immer noch auf einen Benutzernamen und ein Passwort als primäre oder Backup-Authentifizierungsmethode. Selbst wenn biometrische Daten oder Passkeys verfügbar sind, schützt ein starkes Master-Passwort den Manager, der alles andere enthält.

Ein schwaches Passwort ist eines der einfachsten Dinge, die ein Angreifer ausnutzen kann. Brute-Force-Tools können Milliarden von Passwortvermuten pro Sekunde gegen einen gestohlenen Passwort-Hash testen. Credential Stuffing verwendet Passwörter, die bei einer Datenpanne geleakt wurden, um Konten bei nicht verwandten Diensten zu kompromittieren. Phishing bringt Benutzer dazu, Passwörter auf gefälschten Login-Seiten einzugeben. Die Abwehr gegen all dies beginnt mit einem starken, eindeutigen Passwort für jedes Konto.

Dieser Leitfaden behandelt, wie man starke Passwörter generiert, die verschiedenen Zeichenklassen, die Sie verwenden können, wie Sie sie einprägsam machen, und wie Sie einen Passwort-Manager verwenden, um sie organisiert zu halten.

Was macht ein Passwort stark?

Die Stärke eines Passworts wird in Entropie-Bits gemessen. Jedes Bit Entropie verdoppelt die Arbeit, die ein Angreifer leisten muss, um es zu erraten. Die Formel:

``` entropy = log2(character_pool^length) ```

Wobei `character_pool` die Anzahl der verfügbaren unterschiedlichen Zeichen und `length` die Länge des Passworts ist.

Damit ein Passwort 2026 als stark gilt:

  • Mindestens 16 Zeichen lang (länger ist immer besser)
  • Mischung aus Zeichenklassen: Großbuchstaben, Kleinbuchstaben, Ziffern und Symbole
  • Zufällige oder pseudozufällige Generierung (kein Wörterbuchwort, Name oder häufige Phrase)
  • Eindeutig pro Dienst (niemals Passwörter zwischen Websites wiederverwenden)

Ein zufälliges 16-Zeichen-Passwort unter Verwendung aller 4 Zeichenklassen hat ungefähr 95 Bit Entropie — genug, um Brute-Force jahrzehntelang zu widerstehen, selbst mit einem gestohlenen Hash und der schnellsten Hardware.

Häufige schwache Muster, die zu vermeiden sind:

  • Wörterbuchwörter: „password", „sunshine", „football"
  • Namen, Geburtstage, Jahrestage: „Hans1990", „Maggie2010"
  • Häufige Ersetzungen: „P@ssw0rd" — sieht zufällig aus, ist aber in jedem Angreifer-Wörterbuch
  • Wiederverwendete Passwörter: „MeinHund2020!" auf 14 verschiedenen Websites verwendet
  • Sequentielle oder wiederholte Zeichen: „12345678", „aaaaaaaa"

Zeichenklassen

Die vier Zeichenklassen und ihre typischen Pool-Größen:

| Klasse | Beispiele | Pool-Größe | |-------------|--------------------------------|------------| | Kleinbuchstaben | a–z | 26 | | Großbuchstaben | A–Z | 26 | | Ziffern | 0–9 | 10 | | Symbole | !@#$%^&()_-+={}[]|:;"'<>,.?/ | 32 | | Gesamt | | 94* |

Ein Passwort, das alle vier Klassen verwendet, hat 94 mögliche Zeichen an jeder Position. Ein 16-Zeichen-Passwort aus diesem Pool: 94^16 ≈ 3,7 × 10^31 Möglichkeiten, oder ungefähr 105 Bit Entropie.

Einige Dienste beschränken den akzeptierten Symbolumfang (z. B. nur `!@#$%`). Eine übliche Lösung: Vermeiden Sie die problematischsten Zeichen (`/`, `\`, Anführungszeichen, Backticks) und bleiben Sie bei der einfacheren Teilmenge.

Einprägsam vs zufällig

Es gibt zwei Hauptansätze zur Erstellung starker Passwörter:

Zufällig (höchste Stärke, geringste Einprägsamkeit)

Rein zufällige Passwörter wie `aB7#kP2&mN9$qR3!` haben maximale Entropie, sind aber im Wesentlichen unmöglich zu merken. Verwenden Sie sie für Konten, die in einem Passwort-Manager leben — Sie müssen sich nur ein Master-Passwort merken.

Einprägsame Passphrasen (gute Stärke, leicht zu merken)

Eine Passphrase besteht aus mehreren zufälligen Wörtern, die zusammengefügt werden: `correct-horse-battery-staple`. Das klassische XKCD-Beispiel. Mit 4 zufälligen Wörtern aus einer 7.776-Wörter-Liste (der Diceware-Wortliste) beträgt die Entropie ungefähr 51 Bit — stark gegen Online-Angriffe, leicht zu merken, leicht zu tippen.

Die Stärke einer Passphrase kommt aus der Entropie pro Wort, nicht aus der Länge. Das Hinzufügen eines Symbols und einer Zahl (z. B. `correct-horse-battery-staple-7!`) erhöht die Entropie auf ~57 Bit.

Beste Praxis: Kombinieren Sie beide. Verwenden Sie ein starkes Master-Passwort (zufällig, hohe Entropie, im Kopf gespeichert) für Ihren Passwort-Manager, und eindeutige zufällige Passwörter für jedes andere Konto (im Manager gespeichert).

Methode 1: Den Passwort-Generator von UtilBoxx verwenden (Empfohlen)

Der schnellste, privateste und flexibelste Weg, Passwörter in Ihrem Browser zu generieren, ist der Passwort-Generator von UtilBoxx. Er unterstützt benutzerdefinierte Länge, Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole) und einen aussprechbaren Modus für einprägsame Passwörter. Alles läuft in Ihrem Browser mit `crypto.getRandomValues` — kryptographisch sicher, kein Upload, keine Logs.

So verwenden Sie ihn:

  1. Gehen Sie zu utilboxx.com/de/tools/dev/password
  2. Wählen Sie die Passwortlänge (12, 16, 20, 32, 64 sind üblich)
  3. Schalten Sie um, welche Zeichenklassen einbezogen werden sollen
  4. Klicken Sie auf Generieren
  5. Kopieren Sie das Ergebnis

Für aussprechbare Passwörter:

  1. Aktivieren Sie die Option „Aussprechbar"
  2. Der Generator erzeugt silbenbasierte Passwörter wie `vahkibozu` oder `fremo-jady`
  3. Diese sind leichter aus dem Gedächtnis zu tippen, aber etwas weniger zufällig

Warum wir diese Methode empfehlen:

  • 100 % kostenlos, keine Registrierung, keine E-Mail, keine Werbung
  • Privatsphäre zuerst: Passwörter werden in Ihrem Browser generiert. Sie verlassen niemals Ihr Gerät.
  • Kryptographisch sicher: verwendet `crypto.getRandomValues`, den CSPRNG des Browsers
  • Anpassbar: Länge, Zeichenklassen, aussprechbarer Modus
  • Funktioniert auf jedem Gerät mit Browser

Setzen Sie ein Lesezeichen auf dieses Werkzeug — Sie werden es jedes Mal verwenden, wenn Sie sich für einen neuen Dienst anmelden.

Methode 2: Passwort-Manager (1Password, Bitwarden)

Ein Passwort-Manager ist eine Software, die starke Passwörter generiert, speichert und automatisch ausfüllt. Sie müssen sich nur ein starkes Master-Passwort merken; der Manager erledigt alles andere.

Die beiden beliebtesten Optionen:

  • 1Password (kostenpflichtig, ~$3/Monat): Polierte Apps für jede Plattform, ausgezeichnete Sicherheitsbilanz, Familienpläne, Secret-Sharing.
  • Bitwarden (kostenlos für Einzelpersonen, $10/Jahr für Premium): Open Source, Ende-zu-Ende-Verschlüsselung, auf jeder Plattform verfügbar, unterstützt Self-Hosting.

Beide:

  • Generieren bei Bedarf starke zufällige Passwörter
  • Füllen sie in Browsern und Apps automatisch aus
  • Synchronisieren über alle Ihre Geräte
  • Warnen Sie vor kompromittierten oder wiederverwendeten Passwörtern
  • Unterstützen Passkeys, 2FA und sichere Notizen

Ein Passwort-Manager ist die größte Sicherheitsverbesserung, die Sie vornehmen können. Wenn Sie nur ein Werkzeug aus diesem Leitfaden übernehmen, dann einen Passwort-Manager.

Methode 3: CLI mit openssl oder pwgen

Die Unix-Dienstprogramme `openssl` und `pwgen` sind schnelle, skriptbare Möglichkeiten, Passwörter aus einem Terminal zu generieren.

```bash # Generieren Sie ein 24-Zeichen-Base64-Passwort openssl rand -base64 24 # kPq3M9zT8sB1eF7gH5jL0nR2w==

# Generieren Sie ein 32-Zeichen-Hex-Passwort openssl rand -hex 32 # 7a4f8b2c1d9e3f5a6b8c0d2e4f6a8b0c1d3e5f7a9b1c3d5e7f9a1b3c5d7e9f1a3

# 16 zufällige alphanumerische Zeichen LC_ALL=C tr -dc 'A-Za-z0-9' </dev/urandom | head -c 16 # kP3mN9bT7sB1eF5g

# Verwendung von pwgen (falls installiert) pwgen -s 20 1 # 8Hk3jP9mN2qB5vR7wL4t

pwgen 16 1 # aezohCai9Iesohph ```

`openssl rand` ist die sicherste Option (verwendet den CSPRNG von OpenSSL). `/dev/urandom` ist der CSPRNG des Kernels, auch gut. `pwgen` ist bequem, aber sein Standardmodus generiert aussprechbare Passwörter, die etwas weniger zufällig sind.

Methode 4: Die Diceware-Methode (offline, kein Computer)

Wenn Sie ein starkes Passwort wollen, ohne einer Software zu vertrauen, ist die Diceware-Methode der Goldstandard. Sie verwendet physische Würfel, um wirklich zufällige Passphrasen zu generieren.

  1. Besorgen Sie sich eine Diceware-Wortliste (finden Sie eine auf diceware.com).
  2. Werfen Sie fünf Würfel gleichzeitig. Die geworfenen Zahlen (z. B. 4-2-6-1-3) entsprechen einem Wort in der Liste (z. B. „siren").
  3. Wiederholen Sie dies für jedes Wort in Ihrer Passphrase (4-5 Wörter sind typisch).
  4. Verbinden Sie die Wörter mit Leerzeichen oder Bindestrichen.

Beispiel: 5 Würfe mit je 5 Würfeln → „siren-vivid-arcade-bulb-quest". 5 Wörter × 12,9 Bit Entropie pro Wort = 64,5 Bit Entropie, weit über dem Minimum für ein starkes Passwort.

Der Vorteil: Null Software, null Vertrauen. Sie können die Entropie selbst überprüfen, von Hand. Der Nachteil: Langsam (einige Minuten pro Passphrase) und unpraktisch für die Hunderte von Passwörtern, die eine typische Person benötigt.

Häufige Fragen

Wie lang sollte mein Passwort sein?

In 2026 mindestens 16 Zeichen für jedes wichtige Konto. 20+ ist besser. Je länger, desto stärker — und die Länge ist wichtiger als die Zeichenvielfalt. Ein 20-Zeichen-Passwort nur in Kleinbuchstaben (log2(26^20) = 94 Bit) ist stärker als ein 8-Zeichen-Passwort mit Groß- und Kleinbuchstaben und Symbolen (log2(94^8) = 52 Bit).

Für Master-Passwörter und hochwertige Konten zielen Sie auf 20+ Zeichen.

Sollte ich Sonderzeichen in meinem Passwort verwenden?

Ja, wenn der Dienst es erlaubt. Sonderzeichen erhöhen den Zeichenvorrat, was die Entropie direkt erhöht. Aber die Länge ist wichtiger — ein 20-Zeichen-Passwort nur in Kleinbuchstaben ist stärker als ein 12-Zeichen-Passwort mit allem gemischt.

Ein 16-Zeichen-Passwort mit Groß- und Kleinbuchstaben, Ziffern und Symbolen: log2(94^16) ≈ 105 Bit Entropie. Die gleiche Länge nur in Kleinbuchstaben: log2(26^16) ≈ 75 Bit. Beide sind stark, aber das erste ist dramatisch stärker.

Sind Passphrasen besser als Passwörter?

Eine 5-Wörter-Diceware-Passphrase hat ~65 Bit Entropie, ähnlich einem 12-Zeichen-Zufallspasswort (~70 Bit). Für Passwörter, die Sie regelmäßig aus dem Gedächtnis eingeben müssen, sind Passphrasen einfacher. Für Passwörter, die in einem Manager gespeichert sind, ist zufällig in Ordnung.

Der Kompromiss: Passphrasen sind leichter zu merken, aber dauern länger beim Tippen, und einige Dienste haben Längenbeschränkungen (z. B. 16 Zeichen), die lange Passphrasen ausschließen.

Ist „P@ssw0rd1!" ein starkes Passwort?

Nein. Häufige Ersetzungen (`@` für `a`, `0` für `o`, `!` für `i`) sind Angreifern gut bekannt und in jedem Passwort-Cracking-Wörterbuch enthalten. Moderne Cracking-Regeln generieren Millionen solcher Varianten pro Sekunde. „P@ssw0rd1!" wird in weit weniger als einer Sekunde geknackt.

Das Gleiche gilt für Tastaturmuster (`qwerty123`, `asdf1234`) und Zahlensuffixe (`password1`, `password123`).

Sollte ich meine Passwörter regelmäßig ändern?

Der alte Rat war „alle 90 Tage ändern". Das NIST empfiehlt jetzt gegen obligatorische regelmäßige Passwortänderungen, weil sie Benutzer dazu ermutigen, schwächere Passwörter zu wählen (sie durchlaufen vorhersehbare Muster wie `Frühling2024!` → `Sommer2024!` → `Herbst2024!`).

Ändern Sie Ihr Passwort, wenn:

  • Ein von Ihnen genutzter Dienst eine Datenpanne meldet
  • Sie es versehentlich auf einer Phishing-Seite eingegeben haben
  • Sie es mit jemandem geteilt haben, der es nicht haben sollte
  • Es sich um Anmeldedaten auf einem verlorenen Gerät handelt

Andernfalls kann ein starkes, eindeutiges Passwort unbegrenzt halten.

Was ist der beste Passwort-Manager?

Es gibt nicht den einen „besten" — der beste ist der, den Sie verwenden werden. Unter den beliebten Optionen:

  • 1Password: Beste UX, Familienpläne, kostenpflichtig
  • Bitwarden: Beste kostenlose Option, Open Source, selbst-hostbar
  • Apple iCloud Keychain: In macOS/iOS integriert, kostenlos für Apple-Nutzer
  • Google Password Manager: In Chrome und Android integriert, kostenlos
  • Firefox Lockwise: In Firefox integriert, kostenlos
  • KeePass / KeePassXC: Nur lokal, keine Cloud, kostenlos, Open Source

Jeder hat Kompromisse zwischen Komfort, Sicherheit und Plattformunterstützung. Wählen Sie einen und verwenden Sie ihn konsequent.

Was ist mit Passkeys?

Passkeys (basierend auf FIDO2/WebAuthn) sind die Zukunft: Sie ersetzen Passwörter durch kryptographische Schlüsselpaare, die nicht für Phishing anfällig sind. Große Plattformen (Apple, Google, Microsoft) unterstützen sie, und eine wachsende Zahl von Diensten akzeptiert sie.

Aber Passkeys sind noch nicht allgegenwärtig, und die meisten Konten benötigen immer noch ein Passwort als Fallback. Verwenden Sie Passkeys, wo verfügbar, aber pflegen Sie trotzdem ein starkes Master-Passwort für Ihren Passwort-Manager.

Fazit

Starke Passwörter sind das Fundament der persönlichen Cybersicherheit im Jahr 2026. Ein zufälliges Passwort mit 16+ Zeichen, kryptographisch generiert und in einem Passwort-Manager gespeichert, ist der Goldstandard. Passphrasen sind eine großartige Alternative für Passwörter, die Sie aus dem Gedächtnis behalten müssen. Passwort-Wiederverwendung ist das größte zu vermeidende Risiko.

Die minimal funktionsfähige Einrichtung:

  1. Installieren Sie einen Passwort-Manager (1Password, Bitwarden oder die integrierte Option Ihres Betriebssystems)
  2. Legen Sie ein starkes Master-Passwort fest (16+ Zeichen, zufällig oder eine 5-Wörter-Diceware-Passphrase)
  3. Aktivieren Sie 2FA auf Ihrem Passwort-Manager und kritischen Konten
  4. Generieren Sie für jede Website, auf der Sie sich anmelden, ein neues zufälliges Passwort
  5. Überprüfen Sie bestehende Passwörter und ersetzen Sie wiederverwendete oder schwache

Für gelegentliche einmalige Passwortgenerierung ist der Passwort-Generator von UtilBoxx privat, kostenlos und läuft vollständig in Ihrem Browser mit kryptographisch sicherer Zufälligkeit. Kombinieren Sie ihn mit einem Passwort-Manager und Sie haben 95 % der Sicherheit, die Sie brauchen.

Die restlichen 5 % sind Passkeys, Hardware-Sicherheitsschlüssel und gute operative Sicherheit. Aber zuerst die Grundlagen richtig machen.

Zurück zu allen Artikeln