Passwort-Tool Zurück zum Generator

Sicherheitsleitfaden

Wie lang sollte ein Passwort sein?

Erfahren Sie, wann Sie 12, 16, 20 oder 32 Zeichen wählen sollten und warum Passwortlänge, Einzigartigkeit und Speicherung wichtiger sind als visuelle Komplexität.

Zusammenfassung

Für die meisten modernen Konten sind 16 zufällige Zeichen eine gute praktische Basis. Verwenden Sie 20 oder mehr für wichtige persönliche Konten, E-Mail, Banking, Arbeit oder Admin-Zugänge. Verwenden Sie 32 Zeichen, wenn das Passwort in einem Manager gespeichert wird und hochwertige Zugänge schützt.

Probieren Sie den 16-Zeichen, 20-Zeichen oder 32-Zeichen Generator aus.

Längenbereiche

Kurze Passwörter sind leichter zu erraten, da es weniger mögliche Kombinationen gibt. Sechs bis neun Zeichen sind normalerweise zu kurz für die Kontosicherheit. Zehn bis vierzehn Zeichen werden von vielen Diensten akzeptiert, sollten aber nicht als bevorzugte Länge für wichtige Konten angesehen werden.

Sechzehn zufällige Zeichen sind ein guter Standard, wenn ein Passwortmanager den Wert speichert. Zwanzig Zeichen bieten zusätzliche Sicherheit und bleiben mit vielen Websites kompatibel. Zweiunddreißig Zeichen sind nützlich für Admin-Panels, verschlüsselte Dateien, Datenbank-Anmeldedaten und lokale Geheimnisse.

Zufällige Länge versus menschliche Länge

Ein zufälliges 16-Zeichen-Passwort unterscheidet sich stark von einem menschengemachten 16-Zeichen-Satz. Menschliche Entscheidungen enthalten oft Wörter, Daten, Namen und vorhersehbare Endungen. Angreifer testen diese Muster, bevor sie blinde Brute-Force-Angriffe versuchen.

Praktische Empfehlungen

Detaillierte Anleitung

Dieser Leitfaden konzentriert sich auf die Wahl der Passwortlänge für verschiedene Kontorisiken. Er richtet sich an Leser, die zwischen 12, 16, 20, 24 und 32 Zeichen wählen. Das praktische Ziel ist nicht, eine dramatische Sicherheitsbehauptung aufzustellen, sondern eine Passwortgewohnheit zu wählen, die den Alltag übersteht: Anmeldeformulare, Passwortmanager, mobile Tastaturen, Kontowiederherstellung, geteilte Geräte und gelegentliche Dienste mit seltsamen Validierungsregeln. Eine sichere Empfehlung ist nur nützlich, wenn eine reale Person sie konsequent befolgen kann.

Der sicherste Ausgangspunkt ist Zufälligkeit plus Einzigartigkeit. Zufälligkeit bedeutet, dass der Wert aus einem großen Raum von einer kryptografisch geeigneten Zufallsquelle ausgewählt wird, nicht aus einem Geburtstag, einem Haustiernamen, einem Tastaturmuster oder einem Lieblingszitat erfunden. Einzigartigkeit bedeutet, dass dasselbe Passwort nirgendwo anders verwendet wird. Ein langes, aber wiederverwendetes Passwort kann nach einem einzigen unabhängigen Datenleck schnell versagen, während ein einzigartiges zufälliges Passwort den Schaden auf das einzelne Konto begrenzt, in dem es verwendet wurde.

Für dieses Thema ist eine praktische Voreinstellung 16 Zeichen für normale Konten, 20 oder mehr für wichtige Konten und 32 für Geheimnisse, die gespeichert statt eingegeben werden. Sie können diese Voreinstellung mit dem 32-Zeichen-Passwortgenerator anwenden und den endgültigen Wert dann in einem vertrauenswürdigen Passwortmanager speichern. PwdGen generiert Werte lokal im Browser mit Web Crypto; das generierte Passwort wird nicht an einen PwdGen-Server gesendet. Dieses lokale Design reduziert die Server-Exposition, schützt aber nicht vor jeder Bedrohung. Eine bösartige Browsererweiterung, ein kompromittiertes Gerät, eine Phishing-Seite oder unsichere Zwischenablage-Handhabung können ein Geheimnis nach der Generierung dennoch offenlegen.

Die häufigsten Probleme, die es zu vermeiden gilt, sind kurze zufällige Werte, maximale Längenbeschränkungen, veraltete Formulare und die Annahme, dass eine feste Anzahl für jedes System sicher ist. Diese Probleme sind wichtig, weil Angreifer selten jedes mögliche Passwort brute-forcen müssen, wenn menschliche Gewohnheiten ihnen eine Abkürzung bieten. Credential Stuffing, Phishing, geleakte Passwortlisten und Missbrauch der Kontowiederherstellung sind oft realistischer als eine rein mathematische Suche. Deshalb kombiniert der beste Rat Passwortqualität mit Kontoschutzmaßnahmen wie MFA, Passkeys, Wiederherstellungscodes und regelmäßiger Überprüfung der Wiederherstellungs-E-Mail oder Telefonnummer.

Verwenden Sie diese Checkliste bei der Anwendung der Empfehlung:

Wenn eine Website die ideale Einstellung ablehnt, erzwingen Sie das Passwort nicht von Hand in ein schwächeres Muster. Passen Sie jeweils eine Variable an. Wenn Symbole abgelehnt werden, behalten Sie Großbuchstaben, Kleinbuchstaben und Zahlen bei und erhöhen Sie die Länge. Wenn die maximale Länge niedrig ist, verwenden Sie die größte akzeptierte Länge und stellen Sie sicher, dass der Wert einzigartig ist. Wenn ein Passwort laut vorgelesen, ausgedruckt oder auf einem Fernseh- oder Router-Bildschirm eingegeben werden muss, sollten Sie mehrdeutige Zeichen ausschließen und die Länge erhöhen, um das kleinere Alphabet auszugleichen.

Denken Sie schließlich an die Grenzen von Passwort-Ratschlägen. Ein starkes Passwort ist eine Verteidigungsschicht, keine Garantie. Es kann keine Phishing-Seite sicher machen, Malware beheben oder einen Dienst kompensieren, der Anmeldedaten schlecht speichert. Die nützliche Gewohnheit ist langweilig, aber beständig: Generieren Sie einen einzigartigen Wert, speichern Sie ihn sicher, schützen Sie den Wiederherstellungspfad und ersetzen Sie ihn schnell, wenn Sie einen Verdacht auf Offenlegung haben.

Häufig gestellte Fragen

Sind 12 Zeichen ausreichend?

Ein zufälliges 12-Zeichen-Passwort kann für die Kompatibilität nützlich sein, aber 16 oder mehr sind ein besserer Standard, wenn der Dienst es akzeptiert.

Wann sollte ich 20 oder 32 Zeichen verwenden?

Verwenden Sie 20 oder mehr für wichtige Konten und 32 für Admin-, verschlüsselte Datei- oder Entwickler-Geheimnis-Workflows, die in einem Passwortmanager gespeichert werden.

Kann ein Passwort zu lang sein?

Einige Dienste legen maximale Längen fest oder lehnen Symbole ab. Verwenden Sie den längsten einzigartigen zufälligen Wert, den das Ziel akzeptiert.

Quellen