Fast jeder Online-Dienst verlangt ein Passwort, und ständig hört man von Datenlecks und gehackten Konten. Doch was unterscheidet ein wirklich sicheres Passwort von einem schwachen? Der Schlüsselbegriff lautet Entropie – ein Maß dafür, wie schwer ein Passwort zu erraten ist.
Was ist Passwort-Entropie?
Die Entropie misst die Unsicherheit eines Passworts in Bit. Je höher der Wert, desto mehr verschiedene Kombinationen müsste ein Angreifer durchprobieren. Ein zusätzliches Bit Entropie verdoppelt die Zahl der möglichen Passwörter.
Die Entropie hängt von zwei Faktoren ab: der Länge des Passworts und der Größe des verwendeten Zeichensatzes. Nutzt du nur Kleinbuchstaben, gibt es 26 Möglichkeiten pro Zeichen. Kommen Großbuchstaben, Ziffern und Sonderzeichen dazu, wächst der Zeichensatz auf rund 95 Zeichen. Der Passwort-Entropie-Rechner zeigt dir, wie viele Bit dein Passwort ungefähr hat.
Länge schlägt Komplexität
Ein verbreiteter Irrtum: Sonderzeichen machen ein Passwort automatisch sicher. Tatsächlich wirkt sich die Länge viel stärker aus, weil sie exponentiell in die Zahl der Kombinationen eingeht. Ein kurzes Passwort mit Sonderzeichen kann schwächer sein als eine lange, leicht merkbare Phrase.
Deshalb empfehlen Fachleute oft sogenannte Passphrasen: mehrere zufällige Wörter aneinandergereiht. Sie sind lang, leicht zu merken und schwer zu knacken. „Tisch-Wolke-Anker-Lampe” ist sicherer und einprägsamer als „T1sch!”.
Warum Wiederverwendung gefährlich ist
Selbst das stärkste Passwort hilft nicht, wenn du es überall nutzt. Wird ein einziger Dienst gehackt, probieren Angreifer die erbeuteten Zugangsdaten automatisch bei anderen Diensten aus. Für jedes Konto ein eigenes Passwort ist deshalb Pflicht – und mit einem Passwort-Manager auch ohne Auswendiglernen machbar.
Wie Angreifer vorgehen
Angreifer raten Passwörter nicht zufällig. Sie nutzen Listen häufiger Passwörter, Wörterbücher und bekannte Muster. Deshalb sind „Passwort123” oder der eigene Geburtstag trotz scheinbarer Länge unsicher. Die Entropie-Berechnung geht von zufälligen Zeichen aus – bei vorhersehbaren Mustern ist die echte Sicherheit oft viel geringer, als der Bit-Wert vermuten lässt.
Ein Blick hinter die Kulissen: Computer rechnen intern im Binär- und Hexadezimalsystem. Wer verstehen möchte, wie aus Zeichen Zahlen werden, findet im Zahlensystem-Umrechner ein anschauliches Werkzeug.
Praktische Hinweise
- Nutze pro Dienst ein eigenes, langes Passwort.
- Setze zusätzlich auf Zwei-Faktor-Authentifizierung, wo möglich.
- Vermeide persönliche Bezüge wie Namen, Geburtsdaten oder Lieblingsteams.
- Ein Passwort-Manager erzeugt und speichert starke Passwörter zuverlässig.
Diese Hinweise sind allgemeine Empfehlungen und ersetzen keine individuelle Sicherheitsberatung.
Häufige Fragen
Wie lang sollte ein sicheres Passwort sein? Als Faustregel gelten mindestens 12 bis 16 Zeichen. Bei Passphrasen aus mehreren zufälligen Wörtern darf es ruhig länger sein – Länge erhöht die Sicherheit am stärksten.
Sind Sonderzeichen Pflicht? Sie erhöhen den Zeichensatz und damit die Entropie, sind aber kein Ersatz für ausreichende Länge. Ein langes Passwort ohne Sonderzeichen kann sicherer sein als ein kurzes mit.
Was bringt mir die Entropie-Angabe in Bit? Sie ist ein grober Vergleichswert für die Stärke. Höhere Bit-Werte bedeuten mehr mögliche Kombinationen. Sie gilt aber nur für zufällige Passwörter, nicht für vorhersehbare Muster.