13 Zeichen machen dein Passwort nicht sicher
Empfehlungen wie "Mindestens 13 Zeichen!" klingen nach mehr Sicherheit - sind aber oft nur ein Ablenkungsmanöver. Denn in Wahrheit entscheidet nicht das Passwort über die Sicherheit, sondern das System dahinter. Warum Sonderzeichen nicht helfen, wenn das Fundament faul ist.
Es gibt Themen in der IT, die nie alt werden - leider oft deshalb, weil sie nie richtig zu Ende gedacht wurden. Die Passwortsicherheit gehört dazu. Kaum ein Bereich ist so überreguliert und gleichzeitig so nutzerfeindlich gestaltet. Und trotzdem passiert’s immer wieder: Datenlecks, Account-Übernahmen, Credential Stuffing.
Oft beginnt die Diskussion mit der Frage: "Machen Sonderzeichen mein Passwort sicherer?" Mathematisch gesehen: Ja. Praktisch gesehen: Kommt drauf an.
Entropie ist nicht gleich Sicherheit
Natürlich erhöht ein Sonderzeichen die theoretische Entropie eines Passworts. Aus einer rein mathematischer Sicht ist P@ssw0rd! schwerer zu erraten als passwort123. Doch diese Sicht blendet einen entscheidenden Faktor aus: den Menschen.
Denn was tun Menschen, wenn Passwörter zu kompliziert werden?
- Sie schreiben sie auf.
- Sie verwenden das eine komplizierte Passwort für alles.
- Oder sie vergessen es einfach - und klicken regelmäßig auf "Passwort vergessen".
Das Ergebnis: Aus der mathematischen Sicherheit wird reale Unsicherheit.
Der Mythos vom starken Passwort
Ein langes Passwort, einfach zu merken, aber nicht erratbar, ist oft die bessere Lösung. Etwas wie: IchessejedenDonnerstagum13UhrLasagne
Niemand errät das. Kein Angriff kommt da durch. Und: Es ist sogar ohne Passwortmanager merkbar, wenn es Teil der eigenen Welt ist.
Solche Passwörter sind in der Praxis sicherer als kurze, kryptische Kombinationen, die entweder wiederverwendet oder vergessen werden.
Und dann kommt Heise und sagt: "13 Zeichen sollten es schon sein."
Klingt plausibel - mehr Zeichen, mehr Sicherheit. Aber genau hier liegt das Problem: Solche Empfehlungen kratzen nur an der Oberfläche.
Denn ob ein Passwort 10, 13 oder 20 Zeichen lang ist, spielt nur dann eine Rolle, wenn das dahinterliegende System keinerlei Schutz bietet. Ohne Rate-Limit. Ohne 2FA. Ohne Erkennung auffälliger Muster.
Ein Beispiel: Wenn ich 1 Million Versuche pro Minute habe, knackt man auch ein 16-stelliges Passwort irgendwann. Aber wenn ich nach 3 Versuchen gesperrt werde, bringt selbst ein 6-stelliges Passwort mehr Schutz als jedes 20-stellige Monster in einem offenen System.
Sicherheit ist keine Frage der Zeichenanzahl, sondern des Gesamtdesigns. Die Konzentration auf "mindestens 13 Zeichen" ist nur ein neues Kapitel im ewigen Spiel: "Wir wälzen die Verantwortung weiter auf den Benutzer ab - diesmal mit größeren Zahlen."
Sicherheit darf keine Bringschuld des Nutzers sein
Was mich am meisten stört: Die Verantwortung wird fast immer auf den Benutzer abgewälzt.
"Bitte verwenden Sie ein sicheres Passwort mit mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.“
Und dann?
- Kein Rate-Limit.
- Kein 2FA.
- Keine Sicherheitsmechanismen bei untypischem Login-Verhalten.
- Keine Benachrichtigung bei fremden Zugriffen.
Das ist so, als würde man in einem Hochsicherheitslabor die billigsten Türen einbauen und erwarten, dass die Mitarbeiter ihre Schlüssel besonders gut verstecken.
Was wir von Banken lernen können
Banken arbeiten seit Jahrzehnten mit Zwei-Faktor-Systemen: Karte und PIN. Nur 4 Zahlen, aber das Ganze funktioniert, weil das System sicher ist.
3 Fehlversuche, dann ist Schluss. Keine Fernzugriffe ohne legitime Autorisierung. Und wenn doch was passiert, haftet nicht der Kunde allein.
Warum sehen wir das so selten an anderen Stellen im Alltag?
Fazit: Sonderzeichen sind nicht die Lösung
Passwörter sind nur ein Baustein. Sich auf die Passwortkomplexität zu verlassen, ist bequem - für die Anbieter.
Statt immer wieder dieselben Regeln zu predigen, sollten wir als Entwickler und Architekten darüber nachdenken, wie wir Sicherheit ganzheitlich und benutzbar gestalten.
Dazu gehören:
- Passwort-Limits und Account Lockouts
- Zwei-Faktor-Authentifizierung
- Adaptive Systeme, die auffälliges Verhalten erkennen
- Und vor allem: Die Bereitschaft, nicht alles auf den Nutzer abzuwälzen
Sonderzeichen retten keine Passwörter. Gute Systeme schon.
Themen
Über den Author
Christian
Ich bin Christian - Softwareentwickler. Über die Jahre habe ich in verschiedenen Rollen gearbeitet, unter anderem als Lead Developer und Datenschutzkoordinator in der Ströer-Gruppe sowie als Games Specialist bei Amazon Games.