Login Registrieren
Wissen / Leitfaden: Sichere Passwörter & 2FA

Leitfaden: Sichere Passwörter & 2FA

Stand: 19.06.2026

Passwörter sind nach wie vor die häufigste erste Verteidigungslinie – und gleichzeitig die am häufigsten geknackte. Wer ein paar Grundregeln befolgt und Zwei-Faktor-Authentifizierung (2FA) ergänzt, macht es Angreifern um ein Vielfaches schwerer. Dieser Leitfaden fasst das Wichtigste zusammen.

Länge schlägt Komplexität

Entscheidend für die Stärke eines Passworts ist seine Entropie – ein Maß für die Unvorhersehbarkeit. Sie steigt mit der Länge weit stärker als mit Sonderzeichen. Ein 16 Zeichen langes, zufälliges Passwort ist praktisch nicht zu erraten, während P@ssw0rt! trotz Sonderzeichen in Sekunden fällt, weil es in jeder Angriffsliste steht.

  • Mindestens 12–16 Zeichen, bei wichtigen Konten gern mehr.
  • Keine Namen, Geburtsdaten, Tastaturmuster (qwertz) oder Wörterbuchwörter.
  • Prüfe die Stärke deiner Passwörter mit der Passwort-Stärke-Analyse.

Passphrasen: lang und merkbar

Eine gute Alternative zu kryptischen Zeichenfolgen sind Passphrasen aus mehreren zufälligen Wörtern, z. B. korb-anker-fluss-laterne-7. Sie sind lang, leicht zu merken und durch ihre Wortzahl sehr stark. Wichtig: Die Wörter müssen zufällig gewählt sein, kein Zitat oder Sprichwort. Erzeugen lassen sie sich mit dem Passphrase-Generator.

Passwort-Manager und kein Reuse

Die wichtigste Regel überhaupt: Jedes Konto bekommt ein eigenes Passwort. Wird ein Dienst gehackt, probieren Angreifer die erbeuteten Zugangsdaten automatisiert bei anderen Diensten („Credential Stuffing“). Da sich niemand Dutzende einzigartige Passwörter merken kann, gehört ein Passwort-Manager zur Grundausstattung.

  • Verwende für jeden Dienst ein einzigartiges, mit dem Passwort-Generator erzeugtes Passwort.
  • Schütze den Manager mit einem einzigen, sehr starken Master-Passwort (am besten eine Passphrase).
  • Recycle Passwörter niemals – auch nicht in Varianten wie ...2024, ...2025.

Zwei-Faktor-Authentifizierung (2FA)

2FA verlangt zusätzlich zum Passwort einen zweiten Nachweis – selbst ein gestohlenes Passwort reicht dann nicht aus. Nicht alle Verfahren sind gleich sicher:

  • Stark Hardware-Keys (FIDO2/WebAuthn, z. B. YubiKey) – phishing-resistent, da an die echte Domain gebunden.
  • Gut TOTP-Apps erzeugen alle 30 Sekunden einen Code, offline und unabhängig vom Mobilfunknetz. Codes generierst du mit unserem TOTP-Tool.
  • Schwach SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping und Abfangen – nur als Notlösung.

Phishing-Resistenz

Phishing-Seiten fragen Passwort und 2FA-Code in Echtzeit ab und leiten beides sofort weiter. Dagegen helfen:

  • URLs immer prüfen, bevor du Zugangsdaten eingibst – nie über Links aus E-Mails einloggen.
  • FIDO2/WebAuthn nutzen, wo möglich: Diese Methode gibt Codes erst gar nicht an gefälschte Domains weiter.
  • Der Passwort-Manager füllt Daten nur auf der echten Domain aus – bleibt das Feld leer, ist das ein Warnsignal.

Checkliste

  • Einzigartiges, langes Passwort pro Konto – verwaltet im Passwort-Manager.
  • 2FA überall aktivieren, vorzugsweise per App oder Hardware-Key.
  • Wiederherstellungscodes sicher und offline aufbewahren.
  • Bei Datenleck-Meldung das betroffene Passwort sofort ändern.

Du musst Passwörter nicht mehr regelmäßig „auf Verdacht“ ändern – das fördert nur schwache Muster. Ändere sie gezielt, wenn ein Leck bekannt wird oder ein Verdacht besteht.