ZAIOS.NETBlogSecurity
Security 6. März 2026 9 Min. Lesezeit

Passwörter sind tot — Passkeys leben

Warum '123456' keine Option ist, was NIST empfiehlt und wie Passkeys die Zukunft der Authentifizierung ändern.

Passwörter sind tot — Passkeys leben

Jedes Jahr veröffentlichen Sicherheitsforscher die Listen der häufigsten Passwörter. Und jedes Jahr ist das Ergebnis ernüchternd: 123456, password, qwerty und 123456789 dominieren die Ranglisten — seit über einem Jahrzehnt. Millionen von Menschen vertrauen ihr digitales Leben einem Passwort an, das ein Angreifer in weniger als einer Sekunde erraten kann. Es ist an der Zeit, über Alternativen zu sprechen.

Die Top 10 der häufigsten Passwörter

Laut der NordPass-Studie von 2025 sind die zehn häufigsten Passwörter weltweit:

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Zusammengenommen schützen diese zehn Passwörter über 100 Millionen Konten. Ein Angreifer, der nur diese zehn Kombinationen durchprobiert, hat bereits Zugang zu einem erschreckend großen Teil des Internets. Aber selbst vermeintlich clevere Passwörter wie Sommer2024! oder Passwort123# bieten kaum mehr Schutz — sie folgen vorhersagbaren Mustern, die jede moderne Cracking-Software in ihren Wörterbüchern hat.

Psychologie: Warum Menschen schlechte Passwörter wählen

Das Problem ist nicht Unwissenheit — die meisten Menschen wissen, dass „123456“ kein gutes Passwort ist. Die Gründe für schlechte Passwörter liegen tiefer:

  • Bequemlichkeit: Der durchschnittliche Internetnutzer hat über 100 Online-Konten. Sich für jedes ein einzigartiges, komplexes Passwort zu merken, ist schlicht unmöglich ohne Hilfsmittel.
  • Passwort-Müdigkeit: Wenn man täglich mehrfach nach Passwörtern gefragt wird, wählt man den Weg des geringsten Widerstands.
  • Wiederverwendung: Rund 65% aller Nutzer verwenden dasselbe Passwort für mehrere Dienste. Wird einer kompromittiert, fallen alle anderen wie Dominosteine.
  • Falsche Sicherheitsgefühle: Viele glauben, ein Großbuchstabe am Anfang und eine Zahl am Ende machen ein Passwort sicher. In Wirklichkeit kennen Angreifer diese Muster genau und prüfen sie zuerst.

Was passiert bei einem Datenleck?

Wenn ein Dienst gehackt wird und die Passwort-Datenbank gestohlen wird, beginnt ein Wettlauf gegen die Zeit. Angreifer nutzen verschiedene Techniken, um aus den gestohlenen Hash-Werten die Klartextpasswörter zu rekonstruieren:

  • Credential Stuffing: Gestohlene Benutzername-Passwort-Paare werden automatisiert bei Hunderten anderen Diensten ausprobiert. Wer sein Passwort wiederverwendet, ist sofort betroffen — bei allen Diensten.
  • Rainbow Tables: Vorgefertigte Tabellen, die Hash-Werte auf Klartextpasswörter abbilden. Einfache Passwörter werden in Sekundenbruchteilen geknackt.
  • Brute Force und Dictionary Attacks: Moderne GPUs können Milliarden von Passwort-Hashes pro Sekunde berechnen. Ein 8-Zeichen-Passwort mit Groß-/Kleinbuchstaben und Zahlen fällt in wenigen Stunden.
  • Rule-Based Attacks: Cracking-Tools wie Hashcat und John the Ripper wenden Regeln an — Großbuchstabe vorne, Zahl hinten, ! am Ende. Genau die Muster, die Menschen für „sicher“ halten, werden systematisch abgearbeitet.

NIST 800-63B: Die neuen Passwort-Empfehlungen

Das National Institute of Standards and Technology (NIST) hat mit der Revision von Special Publication 800-63B die Passwort-Richtlinien grundlegend überarbeitet. Die wichtigsten Änderungen brechen mit jahrzehntelangen Gewohnheiten:

  • Länge über Komplexität: Statt Sonderzeichen-Pflicht und Großbuchstaben-Regeln empfiehlt NIST mindestens 12 Zeichen Länge. Ein langes Passwort aus einfachen Zeichen ist mathematisch sicherer als ein kurzes mit erzwungener Komplexität.
  • Keine erzwungene Rotation: Passwörter sollen nur bei konkretem Verdacht auf Kompromittierung geändert werden — nicht alle 90 Tage. Erzwungene Rotation führt nachweislich zu schlechteren Passwörtern (Sommer2024 → Herbst2024 → Winter2025).
  • Blocklisten statt Regeln: Statt komplexe Zeichenregeln durchzusetzen, sollen Dienste Passwörter gegen Listen bekannter kompromittierter Passwörter prüfen (z.B. über die HIBP-API).
  • Alle Unicode-Zeichen erlauben: Nutzer sollen Emojis, Leerzeichen und nicht-lateinische Zeichen in Passwörtern verwenden dürfen. Je größer der Zeichenraum, desto schwieriger das Knacken.
  • Keine SMS-basierte Verifizierung: NIST stuft SMS als „restricted authenticator“ ein und empfiehlt, auf sicherere Methoden umzusteigen.

Diese Empfehlungen sind keine Theorie — sie basieren auf jahrelanger Forschung darüber, wie Menschen tatsächlich mit Passwörtern umgehen. Das alte Modell („Sonderzeichen, Großbuchstabe, Rotation“) hat nachweislich versagt.

Was bedeutet „Entropie“ bei Passwörtern?

Entropie ist das Maß für die Unvorhersagbarkeit eines Passworts, gemessen in Bits. Je höher die Entropie, desto mehr Versuche braucht ein Angreifer im Durchschnitt, um das Passwort zu erraten. Ein Passwort mit 40 Bit Entropie erfordert bis zu 2^40 (etwa 1 Billion) Versuche. Bei 80 Bit Entropie wären es 2^80 Versuche — eine Zahl, die selbst mit modernster Hardware Jahrmilliarden dauern würde. Ein 8-Zeichen-Passwort aus zufälligen Kleinbuchstaben hat etwa 37,6 Bit Entropie. Fügt man Großbuchstaben, Zahlen und Sonderzeichen hinzu, steigt die Entropie auf etwa 52 Bit — das klingt besser, aber eine Passphrase aus vier zufälligen Wörtern (bei einer 7776-Wörter-Diceware-Liste) hat über 51 Bit und ist drastisch leichter zu merken. Sechs zufällige Wörter erreichen über 77 Bit — das ist für ein Master-Passwort mehr als ausreichend. Die Mathematik ist eindeutig: Länge und Zufälligkeit sind die entscheidenden Faktoren, nicht die Zeichenvielfalt pro Stelle.

Warum „Sommer2024!“ kein gutes Passwort ist

Dieses Passwort erfüllt auf dem Papier alle klassischen Anforderungen: Großbuchstabe, Kleinbuchstaben, Zahl, Sonderzeichen, 11 Zeichen lang. Trotzdem ist es grottenschöecht:

  • Es folgt dem Muster Wort + Jahr + Sonderzeichen — eines der häufigsten Muster überhaupt
  • Jahreszeiten, Monate und Jahreszahlen stehen in jedem Cracking-Wörterbuch
  • Bei erzwungener Änderung wird daraus vorhersagbar Herbst2024!, Winter2025! etc.
  • Hashcat knackt dieses Passwort mit einer RTX 4090 in unter einer Minute

Besser: Eine Passphrase aus 4-6 zufälligen Wörtern. „korrekt pferd batterie heftklammer“ (inspiriert vom berühmten xkcd-Comic) hat mehr Entropie als „X#9kL!2m“ und ist leichter zu merken. Noch besser: Einen Passwort-Manager nutzen und sich gar nichts mehr merken müssen.

Passwort-Manager: Warum und welche

Ein Passwort-Manager ist das wichtigste Werkzeug für jeden, der mehr als drei Online-Konten hat. Er generiert für jeden Dienst ein einzigartiges, zufälliges, langes Passwort und speichert es verschlüsselt. Du musst dir nur noch ein einziges Master-Passwort merken.

  • KeePass/KeePassXC (kostenlos, Open-Source): Die Datenbank liegt als verschlüsselte Datei lokal auf deinem Gerät. Kein Cloud-Sync, maximale Kontrolle. Ideal für Nutzer, die keinem Cloud-Dienst vertrauen wollen. Sync über Syncthing oder eigene Nextcloud möglich.
  • Bitwarden (kostenlos/Premium ab 10$/Jahr, Open-Source): Cloud-basiert mit Zero-Knowledge-Architektur. Der Server sieht nur verschlüsselte Daten. Komfortabler als KeePass, da automatischer Sync über alle Geräte. Kann auch selbst gehostet werden (Vaultwarden).
  • 1Password (ab 36$/Jahr, proprietär): Polierte Benutzeroberfläche, Familien- und Team-Funktionen, Watchtower (prüft auf kompromittierte Passwörter). Besonders beliebt in Unternehmensumgebungen und bei Apple-Nutzern.

Welcher Manager der richtige ist, hängt von deinen Prioritäten ab: Maximale Kontrolle (KeePass), guter Kompromiss aus Komfort und Sicherheit (Bitwarden) oder maximaler Komfort (1Password).

Was einen guten Passwort-Manager ausmacht

Unabhängig vom Anbieter sollte ein Passwort-Manager folgende Eigenschaften mitbringen: Zero-Knowledge-Architektur (der Anbieter kann deine Daten nicht entschlüsseln), starke Verschlüsselung (AES-256 oder XChaCha20), geprüfte Open-Source-Codebasis, automatisches Ausfüllen im Browser, einen Passwort-Generator mit konfigurierbarer Länge und Zeichenauswahl sowie plattformübergreifende Verfügbarkeit. Besonders wichtig: Der Manager sollte dich warnen, wenn ein gespeichertes Passwort in einem bekannten Datenleck aufgetaucht ist — Bitwarden und 1Password integrieren diese Funktion über die HIBP-API direkt in die Benutzeroberfläche.

Ein häufiger Einwand gegen Passwort-Manager lautet: „Dann liegt alles an einem Ort — wenn der gehackt wird, ist alles weg.“ Das stimmt theoretisch, aber in der Praxis ist die Alternative — schwache oder wiederverwendete Passwörter — um Größenordnungen gefährlicher. Ein gut gesicherter Passwort-Manager mit starkem Master-Passwort und Hardware-MFA ist um ein Vielfaches sicherer als jede manuelle Passwort-Verwaltung. Der Tresor ist verschlüsselt mit einem von deinem Master-Passwort abgeleiteten Schlüssel — selbst bei einem Server-Einbruch erhält der Angreifer nur verschlüsselte Daten, die ohne dein Master-Passwort wertlos sind.

Have I Been Pwned (HIBP)

Die Website haveibeenpwned.com von Sicherheitsforscher Troy Hunt sammelt öffentlich gewordene Datenlecks und ermöglicht es dir, zu prüfen, ob deine E-Mail-Adresse oder dein Passwort betroffen ist. Mit über 13 Milliarden kompromittierten Konten in der Datenbank ist die Wahrscheinlichkeit hoch, dass auch du betroffen bist. Besonders nützlich: Der Notify me-Dienst informiert dich automatisch, wenn deine E-Mail-Adresse in einem neuen Leck auftaucht. Die Passwort-Prüfung nutzt k-Anonymity — dein vollständiges Passwort wird dabei niemals an den Server gesendet.

Was sind Passkeys?

Passkeys sind die nächste Evolution der Online-Authentifizierung und basieren auf dem WebAuthn-Standard (demselben Standard, den auch FIDO2-Hardware-Schlüssel verwenden). Der fundamentale Unterschied: Bei Passkeys wird kein Passwort mehr benötigt — überhaupt nicht, nicht als Faktor und nicht als Backup.

Wie Passkeys funktionieren

Bei der Registrierung bei einem Dienst erzeugt dein Gerät (Smartphone, Laptop, Tablet) ein kryptografisches Schlüsselpaar. Der öffentliche Schlüssel wird an den Server gesendet und dort gespeichert. Der private Schlüssel bleibt auf deinem Gerät, geschützt durch Biometrie (Fingerabdruck, Face ID) oder eine Geräte-PIN. Bei der Anmeldung sendet der Server eine zufällige Challenge, dein Gerät signiert sie mit dem privaten Schlüssel (nach biometrischer Bestätigung), und der Server verifiziert die Signatur mit dem öffentlichen Schlüssel.

Das Ergebnis: Es gibt kein Passwort, das gestohlen werden könnte. Es gibt kein geteiltes Geheimnis zwischen dir und dem Server. Es gibt nichts, was man per Phishing abfangen könnte. Und die „Eingabe“ (Fingerabdruck oder Face ID) kann nicht über das Netzwerk abgefangen werden.

Passkey-Unterstützung: Wer ist dabei?

Die Unterstützung für Passkeys wächst rasant. Stand März 2026 unterstützen unter anderem:

  • Google: Vollständige Passkey-Unterstützung für Google-Konten, Chrome und Android
  • Apple: Passkeys über iCloud Keychain, synchronisiert über alle Apple-Geräte
  • Microsoft: Windows Hello Integration, Microsoft-Konten und Azure AD
  • GitHub: Passkey-Login und -Registrierung seit 2024
  • Amazon: Passkey-Support für Amazon-Konten
  • PayPal, eBay, Best Buy, Kayak und Hunderte weitere Dienste

Die passkeys.directory listet über 200 Dienste, die bereits Passkeys unterstützen — Tendenz stark steigend.

Plattform-Passkeys vs. Hardware-Passkeys

Es gibt zwei Varianten von Passkeys, die sich in einem wichtigen Punkt unterscheiden: Plattform-Passkeys (auch Synced Passkeys) werden im Betriebssystem-Keychain gespeichert und über Cloud-Dienste synchronisiert — Apple über iCloud Keychain, Google über Google Password Manager, Microsoft über Windows Hello. Das ist bequem, bedeutet aber auch, dass der private Schlüssel in der Cloud liegt (wenn auch Ende-zu-Ende-verschlüsselt). Hardware-Passkeys (auch Device-bound Passkeys) werden auf einem physischen Sicherheitsschlüssel wie dem YubiKey gespeichert und verlassen das Gerät niemals. Sie bieten das höchste Sicherheitsniveau, erfordern aber den physischen Token bei jedem Login.

Für die meisten Nutzer sind Plattform-Passkeys ein massiver Sicherheitsgewinn gegenüber Passwörtern. Für Hochsicherheits-Szenarien (Admin-Zugänge, kritische Infrastruktur, Finanzkonten) sind Hardware-Passkeys auf einem dedizierten Sicherheitsschlüssel die bessere Wahl, da kein Cloud-Dienst involviert ist.

Übergangszeit: Passkeys und Passwort-Manager kombinieren

Wir befinden uns in einer Übergangsphase. Nicht alle Dienste unterstützen bereits Passkeys, und manche werden es noch Jahre nicht tun. Die pragmatische Lösung:

  1. Passkeys aktivieren, wo immer möglich — das sind deine sichersten Logins
  2. Passwort-Manager für alle Dienste ohne Passkey-Support — mit einzigartigen, zufälligen Passwörtern
  3. Hardware-Schlüssel (YubiKey) für die kritischsten Konten — E-Mail, Bank, Admin-Zugänge
  4. Backup-Codes sicher offline aufbewahren für den Notfall

Praktische Tipps: Das perfekte Master-Passwort

Das Master-Passwort deines Passwort-Managers ist das einzige Passwort, das du dir noch merken musst. Es muss daher gleichzeitig sehr sicher und merkbar sein. Die beste Methode: eine Passphrase aus mindestens 4 zufälligen Wörtern.

Nutze einen Diceware-Generator oder würfle die Wörter aus einer Wortliste. Beispiel: „mango traktor nebel klavier“ hat bei einer 7776-Wörter-Liste eine Entropie von über 51 Bit — mit 5 Wörtern sind es über 64 Bit, mit 6 Wörtern über 77 Bit. Selbst mit modernster Hardware würde das Knacken Jahrmillionen dauern.

Merke: Länge schlägt Komplexität. Immer. Vier zufällige Wörter sind sicherer als acht zufällige Zeichen mit Sonderzeichen — und du kannst sie dir tatsächlich merken.

Fazit: Die Zukunft ist passwortlos

Passwörter waren eine Lösung für die 1960er Jahre, als MIT-Forscher die ersten Time-Sharing-Systeme mit Mehrbenutzerzugang schützen mussten. Sechzig Jahre später nutzen wir im Kern dasselbe Konzept — und es funktioniert nicht mehr. Passkeys bieten eine Zukunft, in der du dich nie wieder ein Passwort merken, nie wieder ein Passwort ändern und nie wieder ein Passwort verlieren musst. Der Übergang wird Jahre dauern, aber die Richtung ist klar. Bis dahin: Passwort-Manager, einzigartige Passwörter, HIBP-Prüfung — und wo immer möglich, Passkeys aktivieren.

Quellen & Referenzen

securitypasskeyspasswörternistwebauthnpasswort-manager

Das könnte dich auch interessieren

Security

YubiKey: Dein digitaler Türsteher

Was ein YubiKey ist, wie FIDO2 funktioniert und warum ein Hardware-Schlüssel besser schützt als jede...

Security

MFA: Warum die App auf deinem Handy dich nicht schützt

Authenticator-Apps gelten als sicher — aber SIM-Swapping, Malware und Phishing-Proxies machen sie ve...

Security

Offline-Sicherheit: REINER SCT und Air-Gapped Devices

Warum Geräte ohne Internetverbindung die sicherste Form der Authentifizierung bieten — von chipTAN b...