Was ist der Unterschied zwischen einem Passwort und einer Passphrase?

Ein herkömmliches Passwort ist eine Folge zufälliger Zeichen (z. B. xK9#mP2!), während eine Passphrase mehrere reale Wörter kombiniert, die durch Zeichen getrennt sind (z. B. Pferd-Batterie-Klammer-richtig). Das NIST empfiehlt seit 2017 Passphrasen, da ihre Länge eine hohe Entropie bietet und sie gleichzeitig viel leichter zu merken sind. Der berühmte XKCD-Comic Nr. 936 veranschaulicht dieses Prinzip: Vier zufällige Wörter übertreffen ein kurzes aber "komplexes" Passwort.

Werden meine generierten Passwörter irgendwo gespeichert?

Nein, absolut nicht. Unser Generator verwendet die crypto.getRandomValues()-API Ihres Browsers — dieselbe Technologie, die auch von Online-Banken eingesetzt wird. Alle Berechnungen finden lokal auf Ihrem Gerät statt. Kein Passwort wird an einen Server übertragen, in einer Datenbank gespeichert oder nach der Generierung im Speicher behalten. Sie können das Tool sogar offline nutzen, sobald die Seite geladen ist.

Was ist Passwort-Entropie und warum ist sie wichtig?

Entropie, ein Konzept aus Claude Shannons Informationstheorie (1948), misst die Unvorhersehbarkeit eines Passworts in Bits. Die Formel lautet E = L × log₂(N), wobei L die Länge und N die Anzahl möglicher Zeichen ist. Ein 8-Zeichen-Passwort aus Kleinbuchstaben hat nur 38 Bit Entropie, während 16 gemischte Zeichen über 100 Bit erreichen. Sicherheitsexperten halten mindestens 60 Bit für notwendig, um modernen Brute-Force-Angriffen standzuhalten.

Wie oft sollte man seine Passwörter ändern?

Im Gegensatz zu früheren Empfehlungen rät das NIST (Publikation SP 800-63B, 2017) nun von systematischen regelmäßigen Änderungen ab. Microsoft folgte 2019 und entfernte die Passwortrotation aus seinen Sicherheitsbaselines. Es ist besser, ein Passwort nur bei Verdacht auf Kompromittierung oder nach einem bestätigten Datenleck zu ändern, da zu häufige erzwungene Änderungen Benutzer dazu verleiten, schwächere Passwörter zu wählen.

Ist ein Passwort-Manager wirklich sicher?

Manager wie Bitwarden (Open Source), 1Password oder KeePass verwenden AES-256-Verschlüsselung zum Schutz Ihres Tresors. Das Hauptrisiko liegt im Master-Passwort: Ist es schwach, ist der gesamte Tresor gefährdet. 2022 erlitt LastPass einen Sicherheitsvorfall, bei dem verschlüsselte Tresore offengelegt wurden — eine Mahnung, wie wichtig ein sehr starkes Master-Passwort ist. Ein Manager bleibt dennoch weitaus sicherer als die Wiederverwendung desselben Passworts auf mehreren Websites — eine Praxis, die durch "Credential Stuffing"-Angriffe ausgenutzt wird.

Passwort-Generator

Generieren Sie sichere, zufällige Passwörter kostenlos. Wählen Sie Länge und Sonderzeichen, kopieren Sie mit einem Klick. Zuverlässig.. Kostenloses Online-Spiel, ohne Registrierung oder Download. Jetzt spielen auf TirageAuSort.io!

Das Passwort ist eines der ältesten Sicherheitsmittel der Menschheitsgeschichte. Im antiken Rom verlangten Wachposten eine „Tessera" — ein auf eine Holztafel graviertes Passwort — um den nächtlichen Durchgang von Soldaten zu genehmigen. Der griechische Historiker Polybios (2. Jahrhundert v. Chr.) beschreibt in seinen Historien, wie das „Losungswort" jeden Abend vom Militärtribun ausgegeben und von Wache zu Wache durch das Lager weitergereicht wurde. Die Bibel erwähnt eine ähnliche Praxis im Buch der Richter (12:5-6): Die Gileaditer identifizierten die Ephraimiter, indem sie sie aufforderten, „Schibboleth" auszusprechen — wer „Sibboleth" sagte, wurde entlarvt. Dieses „sprachliche Passwort" wurde zu einem grundlegenden Konzept der Computersicherheit.

Im Mittelalter nutzten Burgen und befestigte Städte Passwörter zur Zugangskontrolle an ihren Toren. Mittelalterliche Gilden, insbesondere die Freimaurer, entwickelten ausgeklügelte Systeme aus Wörtern, Zeichen und Handschlägen, um ihre Mitglieder zu erkennen. Das „Maurerwort", das während der Initiation mündlich weitergegeben wurde, diente als Beweis der Zugehörigkeit zur Bruderschaft. Während des Hundertjährigen Krieges (1337-1453) verwendeten englische und französische Armeen tägliche Passwörter, um in nächtlichen Gefechten Verbündete von Feinden zu unterscheiden. Der Chronist Jean Froissart berichtet, dass die Verwechslung von Passwörtern in der Schlacht von Crécy (1346) den Tod zahlreicher Soldaten durch Eigenbeschuss verursachte.

Das Computerzeitalter des Passworts begann 1961 am MIT, als Fernando Corbató das erste Passwort-Authentifizierungssystem für das Compatible Time-Sharing System (CTSS) implementierte. Dieses System ermöglichte es mehreren Benutzern, einen IBM 7094-Computer gemeinsam zu nutzen und dabei die Dateien jedes Einzelnen zu schützen. Bereits 1962 führte Allan Scherr, ein Doktorand am MIT, den ersten bekannten „Angriff" durch: Er fand die Masterdatei mit allen Passwörtern im Klartext und druckte sie aus, um sich so zusätzliche Rechenzeit zu verschaffen. Diese Anekdote veranschaulicht die grundlegende Schwachstelle der Klartextspeicherung.

Die Wissenschaft der Passwörter erlebte 1976 einen entscheidenden Wendepunkt, als Robert Morris Sr., Forscher bei den Bell Labs, das Passwort-Hashing unter Unix mit der Funktion crypt() erfand, die auf dem DES-Algorithmus basierte. Erstmals wurden Passwörter nicht mehr im Klartext gespeichert, sondern als irreversibler „Hash". 1979 fügte Morris das Konzept des „Salzes" (Salt) hinzu — ein Zufallswert, der vor dem Hashing hinzugefügt wird, um Angriffe mit vorberechneten Tabellen zu verhindern. Die Entropie, ein Konzept aus Claude Shannons Informationstheorie (1948), wurde zum Standardmaß: E = L × log₂(N), wobei L die Länge und N die Anzahl möglicher Zeichen ist. Ein 12-Zeichen-Passwort aus gemischten Zeichen erreicht etwa 79 Bit Entropie — genug, um Brute-Force-Angriffe jahrtausendelang zu widerstehen.

Die Psychologie der Passwörter offenbart faszinierende Paradoxe. Im Jahr 2003 veröffentlichte Bill Burr vom National Institute of Standards and Technology (NIST) Anhang A des Dokuments SP 800-63, in dem komplexe Passwörter mit Großbuchstaben, Zahlen und Sonderzeichen empfohlen wurden. 2017 gestand er in einem Interview mit dem Wall Street Journal ein, dass diese Empfehlung „weitgehend falsch" gewesen sei: Benutzer umgehen die Komplexität mit vorhersehbaren Ersetzungen („P@ssw0rd!"), und häufige Änderungen führen zu schwachen Mustern. Der Psychologe Jeff Yan von der Universität Cambridge wies 2004 nach, dass auf Eselsbrücken basierende Passwörter sowohl stärker als auch leichter zu merken sind als solche, die auf reiner Komplexität beruhen.

Die heutige Branche durchlebt einen tiefgreifenden Wandel. Das NIST überarbeitete seine Richtlinien 2017 (SP 800-63B) und bevorzugt nun Länge gegenüber Komplexität, wobei die regelmäßige Ablaufpflicht aufgegeben wurde. Microsoft folgte 2019 und entfernte die Passwortrotation aus seinen Sicherheitsbaselines. Das RockYou-Datenleck von 2009 — 32 Millionen Passwörter im Klartext — zeigte, dass „123456" die Liste anführte, gefolgt von „12345" und „password". Der NordPass-Bericht 2023 bestätigt, dass „123456" weiterhin das weltweit meistgenutzte Passwort ist, das in weniger als einer Sekunde geknackt wird. Der Algorithmus Argon2, Gewinner des Password Hashing Competition 2015, verkörpert den Stand der Technik beim Hashing. Gleichzeitig könnten Passkeys auf Basis von FIDO2/WebAuthn, gefördert von Google, Apple und Microsoft seit 2022, das Ende der Ära traditioneller Passwörter einläuten.

Passwort-Generator

Neues Konto

Sensible Konten

Nach einem Datenleck

Berufliche Nutzung

WLAN & IoT

Geteilte Konten