Sichere Passwörter: Was BSI und NIST wirklich empfehlen

Die meisten Ratschläge zu Passwörtern sind überholt. Sonderzeichen, Großbuchstaben und erzwungene 90-Tage-Wechsel gelten bei BSI und NIST längst nicht mehr als Sicherheitsmerkmal - im Gegenteil. Was wirklich zählt, ist Länge und Einzigartigkeit. Und der Zettel mit dem Passwort ist auch gar nicht automatisch falsch.

Die Realität: Wie die meisten Passwörter aussehen

Haftnotiz mit Passwort auf Monitor - unsichere Passwort-Praxis
Zettel am Monitor - ein Zeichen für überforderte Passwort-Richtlinien

Laut einer Auswertung von NordPass (2024) ist "123456" das meistgenutzte Passwort weltweit - mit über drei Millionen Verwendungen. Daran hat sich bis heute nichts geändert. Es lässt sich in unter einer Sekunde knacken. Das ist kein Einzelfall: Die 200 häufigsten Passwörter 2024 haben eines gemeinsam - sie sind alle in weniger als einer Sekunde zu überwinden.

Eine Passwort-Statistik (Deepstrike 2025) zeigt das strukturelle Problem: 80 bis 85 Prozent der Menschen verwenden Passwörter mehrfach auf verschiedenen Websites. Rund 13 Prozent nutzen dasselbe Passwort für alle Konten. Wird dieses einmal geleakt, öffnet es im Schnitt drei bis fünf weitere Accounts - der sogenannte Domino-Effekt.

Kurze Zusammenfassung:In meiner Arbeit mit Kunden sehe ich regelmäßig dasselbe Muster: ein bis drei Passwörter für alles, gern mit dem Geburtsjahr am Ende. Und wenn Admins alle drei Monate einen Passwortwechsel erzwingen, landet das neue Passwort konsequent auf einem Zettel unter der Tastatur - oder auf einem Haftzettel am Monitor."

Kurz gefasst: Die größten Passwort-Probleme sind Wiederverwendung und zu kurze Passwörter - nicht fehlende Sonderzeichen. 80 bis 85 Prozent der Nutzer verwenden Passwörter mehrfach.

Länge schlägt Komplexität

Das ist der wichtigste Grundsatz, auf den sich BSI und NIST inzwischen einigen: Länge ist der entscheidende Faktor bei der Passwort-Sicherheit. Jedes zusätzliche Zeichen multipliziert den Rechenaufwand für einen Brute-Force-Angriff exponentiell. Sonderzeichen erhöhen die Entropie zwar leicht - bringen aber deutlich weniger als ein weiteres Zeichen Länge.

Das BSI empfiehlt konkret: 20 bis 25 Zeichen wenn nur zwei Zeichenarten verwendet werden, oder 8 bis 12 Zeichen mit vier Zeichenarten - am besten zusätzlich mit Zwei-Faktor-Authentifizierung. Das amerikanische NIST (SP 800-63B) setzt die absolute Mindestlänge bei 8 Zeichen, empfiehlt für Konten ohne zweiten Faktor jedoch mindestens 15 Zeichen. Systeme müssen laut NIST Passwörter bis 64 Zeichen unterstützen - um Passphrasen zu ermöglichen.

Passwort-Typ Empfohlene Länge Sicherheitsniveau Merkbarkeit
Kurz + komplex 8-12 Zeichen, 4 Zeichenarten Ausreichend mit 2FA Schwer
Passphrase (Wörter) 20-25 Zeichen, 2 Zeichenarten Gut Mittel
Zufällige Zeichenkette 16+ Zeichen, alle Zeichenarten Sehr gut Nur mit Passwort-Manager
Passwort-Manager-Generiert 20+ Zeichen, zufällig Optimal Muss nicht merkbar sein

Quelle: eigene Darstellung nach BSI und NIST SP 800-63B.

Kurz gefasst: Länge ist wichtiger als Komplexität. Ein 20-Zeichen-Passwort aus zwei Wortarten ist sicherer als ein 8-Zeichen-Passwort mit Sonderzeichen, Zahlen und Großbuchstaben.

Drei Mythen die mehr schaden als nützen

Einige Passwort-Regeln haben sich so tief eingeschliffen, dass sie kaum hinterfragt werden - obwohl BSI und NIST sie längst für überholt erklären.

Kurze Zusammenfassung:Sonderzeichen machen Passwörter sicher." Sonderzeichen erhöhen die Entropie leicht. Das Problem: Wenn Menschen zur Komplexität gezwungen werden, entstehen vorhersehbare Muster. Kurze Zusammenfassung:Sommer2025!" erfüllt Komplexitätsanforderungen - ist aber durch Wörterbuchangriffe in Sekunden zu knacken. Das NIST rät deshalb ausdrücklich davon ab, Komplexitätsregeln zu erzwingen. Wichtiger ist, ob das Passwort in bekannten Leak-Listen auftaucht.

Kurze Zusammenfassung:Passwort alle 90 Tage wechseln." Das BSI hat diese Empfehlung offiziell zurückgezogen und erklärt: Regelmäßige, anlassunabhängige Passwortwechsel führen erfahrungsgemäß zu schwächeren Passwörtern. Nutzer wählen vorhersehbare Muster wie Kurze Zusammenfassung:Passwort01", Kurze Zusammenfassung:Passwort02" oder schreiben das neue Passwort auf einen Zettel. NIST SP 800-63B verbietet erzwungene periodische Wechsel ohne konkreten Verdacht ausdrücklich. Passwörter sollen nur geändert werden, wenn ein Leck oder Verdacht vorliegt.

Kurze Zusammenfassung:Ein Passwort aufschreiben ist immer gefährlich." Auch hier hat das BSI seine Haltung differenziert. Ein aufgeschriebenes Passwort das sicher analog aufbewahrt wird - also nicht öffentlich zugänglich ist - ist nach BSI-Empfehlung zulässig. Der Zettel am Monitor ist das Problem - nicht der Zettel in der Schublade. Wer ohnehin keinen Passwort-Manager nutzen will, ist mit einer sicher verwahrten Notiz besser dran als mit einem zu schwachen, aber Kurze Zusammenfassung:merkbaren" Passwort.

Kurz gefasst: Komplexitätszwang, 90-Tage-Wechsel und das absolute Verbot von Notizen sind überholt. BSI und NIST haben ihre Empfehlungen grundlegend geändert.

Passphrasen: der praktische Mittelweg

Vier zufällige Wörter als Passphrase-Konzept dargestellt
Vier zufällige Wörter ergeben eine starke und merkbare Passphrase

Eine Passphrase verbindet das Beste aus beiden Welten: Sie ist lang genug für hohe Sicherheit und trotzdem merkbar. Das BSI nennt als Beispiel die Aneinanderreihung mehrerer nicht zusammenhängender Wörter - etwa Kurze Zusammenfassung:StiftPfanne-Maulwurf". Noch besser: vier bis fünf völlig zufällige Wörter aus dem Wörterbuch, getrennt durch ein Leerzeichen oder Bindestrich.

Die Sicherheit entsteht durch die Kombination. Jedes zusätzliche zufällig gewählte Wort erhöht die Entropie - also den Rechenaufwand für Angreifer - um ein Vielfaches mehr als ein angehängtes Ausrufezeichen. Eine Passphrase aus fünf kurzen Wörtern schlägt ein 8-Zeichen-Passwort mit allen Sonderzeichen deutlich.

Wichtig: Die Wörter müssen zufällig gewählt sein - keine Zitate, keine Liedzeilen, keine bekannten Phrasen. Wer sich nicht auf seinen eigenen Zufallssinn verlassen möchte, nutzt einen Passwort-Manager zur Generierung.

Kurz gefasst: Vier bis fünf zufällige Wörter ergeben eine Passphrase, die stark genug ist und sich trotzdem merken lässt. Keine Zitate, keine bekannten Phrasen.

Passwort-Manager: warum und welcher

Das Grundproblem ist einfach: Wer sich Passwörter merken muss, wählt zu kurze, zu einfache oder wiederverwendete Passwörter. Ein Passwort-Manager löst das, weil er sich alle Passwörter merkt - und für jeden Dienst ein langes, zufälliges, einzigartiges Passwort generiert. BSI und NIST empfehlen den Einsatz von Passwort-Managern ausdrücklich.

Drei Optionen die sich in der Sicherheits-Community bewährt haben:

  • Bitwarden - Open Source, kann lokal oder in der Cloud betrieben werden, unterstützt Hardware-2FA. Wurde mehrfach unabhängig auditiert. Kostenlose Grundversion verfügbar.
  • KeePassXC - speichert die verschlüsselte Passwort-Datenbank ausschließlich lokal, kein Cloud-Zwang. Geeignet für alle, die keine Online-Synchronisation wollen.
  • 1Password - kommerzieller Manager mit zusätzlichem Secret-Key-Konzept: Neben dem Master-Passwort ist ein separater geheimer Schlüssel erforderlich, der niemals den Gerät verlässt.

Das einzige Passwort das man sich dann noch merken muss, ist das Master-Passwort für den Manager selbst - das sollte eine starke Passphrase sein und mit 2FA gesichert werden.

Kurz gefasst: Ein Passwort-Manager macht lange, zufällige und einzigartige Passwörter für jeden Dienst praktisch umsetzbar. Bitwarden, KeePassXC und 1Password sind bewährte Optionen.

Zwei-Faktor-Authentifizierung

Selbst ein starkes, einzigartiges Passwort kann in einem Datenleck auftauchen - beim Anbieter, nicht bei Ihnen. Dann nützt das beste Passwort nichts. Genau hier greift die Zwei-Faktor-Authentifizierung (2FA): Ein Angreifer der das Passwort kennt, kommt ohne den zweiten Faktor nicht ins Konto.

Das BSI empfiehlt 2FA überall dort wo es verfügbar ist - besonders für E-Mail-Konten, Banking und Cloud-Dienste. Die Forschung zur 2FA-Wirksamkeit (BYU, Reese) bestätigt: 2FA schützt deutlich auch dann noch, wenn das Passwort kompromittiert wurde.

Drei Varianten nach aufsteigender Sicherheit:

  • SMS-Code - praktisch, aber anfällig für SIM-Swapping-Angriffe. Besser als kein zweiter Faktor, aber nicht die erste Wahl.
  • Authenticator-App (z.B. Google Authenticator, Aegis) - zeitbasierte Einmal-Codes, funktioniert ohne Mobilfunkempfang.
  • Hardware-Security-Key (z.B. YubiKey) - physischer Schlüssel, phishing-sicher durch FIDO2. Höchste Sicherheitsstufe.

Das BSI empfiehlt außerdem Passkeys als Alternative zu Passwörtern: Statt eines Passworts wird ein kryptografisches Verfahren über den Fingerabdruck, Gesichtserkennung oder eine PIN ausgelöst. Da kein Passwort eingegeben wird, kann auch keines gestohlen werden.

Kurz gefasst: 2FA ist der wichtigste Schutz zusätzlich zum Passwort. Authenticator-App ist besser als SMS, Hardware-Key ist die sicherste Option. Wo möglich: aktivieren.

Häufige Fragen zu sicheren Passwörtern

Wie lang sollte ein sicheres Passwort sein?

Das BSI empfiehlt mindestens 20 bis 25 Zeichen für Passphrasen oder 8 bis 12 Zeichen mit vier Zeichenarten - am besten mit 2FA. NIST empfiehlt für Konten ohne zweiten Faktor mindestens 15 Zeichen. Grundregel: Je länger, desto besser.

Muss ich mein Passwort regelmäßig wechseln?

Nein. Sowohl BSI als auch NIST empfehlen ausdrücklich, Passwörter nur bei konkretem Verdacht auf Kompromittierung zu wechseln. Erzwungene regelmäßige Wechsel führen in der Praxis zu vorhersehbaren, schwächeren Passwörtern - und zu Zetteln unter der Tastatur.

Welcher Passwort-Manager ist empfehlenswert?

Bitwarden ist Open Source und wurde mehrfach extern auditiert. KeePassXC speichert lokal ohne Cloud-Zwang. 1Password ist kommerziell mit zusätzlichem Secret-Key-Konzept. Alle drei gelten in der Sicherheits-Community als vertrauenswürdig. BSI und NIST empfehlen Passwort-Manager grundsätzlich.

Ist ein aufgeschriebenes Passwort immer unsicher?

Nicht automatisch. Das BSI hält ein analog aufgeschriebenes Passwort für zulässig, solange es sicher verwahrt wird - also nicht am Monitor, nicht unter der Tastatur. Eine Notiz in einer abgeschlossenen Schublade ist sicherer als ein zu kurzes Passwort das man sich gut merken kann.

Was ist ein Passkey und ist er sicherer als ein Passwort?

Ja. Passkeys ersetzen das Passwort durch ein kryptografisches Verfahren - ausgelöst per Fingerabdruck, Gesichtserkennung oder PIN. Da kein Passwort eingegeben wird, kann auch keines gestohlen oder in einem Datenleck auftauchen. Das BSI empfiehlt Passkeys als zukunftssichere Alternative zu Passwörtern.

Fazit

Die alten Passwort-Regeln haben ausgedient. Sonderzeichen-Zwang, 90-Tage-Wechsel und das absolute Verbot von Notizen haben in der Praxis mehr Schaden angerichtet als Nutzen gebracht - weil sie Menschen zu vorhersehbaren Umgehungsstrategien gezwungen haben.

Was wirklich schützt: ein langes, einzigartiges Passwort oder eine Passphrase für jeden Dienst - am besten verwaltet von einem Passwort-Manager - und Zwei-Faktor-Authentifizierung wo immer sie angeboten wird. Das E-Mail-Konto verdient dabei besondere Aufmerksamkeit: Wer darauf Zugriff bekommt, kann über die Passwort-zurücksetzen-Funktion oft alle anderen Konten übernehmen.