Passwörter & Passwort-Manager

Das erste computergestützte Passwort erfand Fernando Corbató 1961 am MIT für das CTSS-System — damit mehrere Nutzer sich abends einloggen konnten, ohne gegenseitig die Dateien zu sehen. Die Idee war genial simpel: ein geheimes Wort als Schlüssel. Dass dieser Schlüssel schon 1962 zum ersten Mal gestohlen wurde (ein Mitarbeiter druckte die komplette Passwortdatei aus), zeigt: das Problem ist so alt wie die Lösung. In den 1970ern führte Unix den md5-Hash ein — Passwörter wurden nicht mehr im Klartext gespeichert, sondern als mathematischer Fingerabdruck. Doch als 2009 RockYou.com gehackt wurde und 32 Millionen Passwörter im Klartext ins Internet flossen, war klar: die Welt nutzt immer noch "123456".

• 1961: Erstes Computer-Passwort am MIT — und erster Passwortdiebstahl ein Jahr später
• Unix hashing (1970s): Passwörter wurden als Hash gespeichert, aber MD5 ist heute knackbar
• RockYou-Hack 2009: 32 Mio. Klartextpasswörter — "123456" war das häufigste
• Have I Been Pwned enthält heute über 12 Milliarden kompromittierte Zugangsdaten
• Credential Stuffing: Angreifer testen gestohlene Passwörter automatisch auf 100+ Diensten
• NIST empfiehlt seit 2017: Länge vor Komplexität — 16+ Zeichen schlagen "P@ssw0rd!" jedes Mal

Ein modernes GPU-Cluster kann MD5-Hashes mit 100 Milliarden Versuchen pro Sekunde cracken. Das klingt abstrakt — bedeutet aber: ein 8-stelliges Passwort aus Buchstaben und Ziffern ist in unter 2 Stunden geknackt. Gleichzeitig hat Phishing das manuelle Knacken fast überflüssig gemacht: Warum Brute-Force betreiben, wenn Nutzer ihr Passwort selbst eingeben? 83 % aller Datenpannen laut Verizon DBIR 2023 involvieren gestohlene oder schwache Zugangsdaten. Und die Wiederverwendung von Passwörtern macht einen einzigen Hack zu einer Generalschlüssel-Attacke auf das gesamte digitale Leben eines Menschen.

• Moderne GPUs knacken MD5-Hashes mit 100 Mrd. Versuchen/Sek. — 8-stellige Passwörter fallen in Stunden
• 83 % aller Datenpannen nutzen schwache oder gestohlene Zugangsdaten (Verizon DBIR 2023)
• Passwort-Wiederverwendung: Ein geleakter Dienst = alle Konten kompromittiert
• Phishing stiehlt Passwörter ohne technisches Knacken — Nutzer geben sie selbst ein
• Dark-Web-Marktplätze verkaufen Login-Sets für 1–5 € pro Konto im Großhandel
• Keylogger und Infostealer aus Malware liefern Passwörter direkt an Angreifer

Der Mathematiker Claude Shannon definierte in den 1940ern Entropie als Maß für Unvorhersehbarkeit. Ein gutes Passwort hat hohe Entropie — aber "Tr0ub4dor&3" hat trotz Sonderzeichen weniger Entropie als "correcthorsebatterystaple", weil Menschen vorhersehbare Muster nutzen (Buchstabe durch Zahl ersetzen, Ausrufezeichen am Ende). Experten nutzen deshalb heute Password Manager — Software-Tresore wie Bitwarden oder KeePassXC, die für jeden Dienst ein zufälliges 24-stelliges Passwort generieren und speichern. Der Nutzer merkt sich nur ein einziges, starkes Master-Passwort. Das ist nicht bequemer, es ist mathematisch unlösbar sicher.

• Passphrasen (4+ zufällige Wörter) sind stärker als komplexe Zeichensuppen — und merkbar
• Password Manager (Bitwarden, KeePassXC) generieren und speichern einzigartige Passwörter pro Dienst
• Das Master-Passwort sollte 20+ Zeichen lang, komplett einzigartig und offline gemerkt sein
• zxcvbn-Bibliothek: Schätzt Passwortstärke realistisch statt nach Komplexitätsregeln
• NIST SP 800-63B: Keine erzwungenen Passwortwechsel ohne Kompromittierungshinweis
• Argon2/bcrypt/scrypt: Moderne Hashing-Algorithmen, die GPU-Angriffe verlangsamen

Sicherheit entsteht durch Systeme, nicht durch Willenskraft. Wer versucht, sich 50 einzigartige, starke Passwörter zu merken, scheitert — wer einen Password Manager einrichtet, hat das Problem ein für alle Mal gelöst. Die wichtigsten drei Schritte: Password Manager einrichten, alle alten Passwörter durch generierte ersetzen, und überall wo möglich Zwei-Faktor-Authentifizierung aktivieren. Das klingt nach Aufwand — dauert aber realistisch einen Nachmittag und schützt danach dauerhaft.

• Richte heute Bitwarden (kostenlos) oder KeePassXC ein und importiere bestehende Passwörter
• Ändere als erstes die wichtigsten Konten: E-Mail, Banking, soziale Netzwerke
• Aktiviere 2FA überall — bevorzugt mit Authenticator-App, nicht per SMS
• Prüfe alle E-Mail-Adressen auf haveibeenpwned.com auf bekannte Leaks
• Setze für jedes Konto ein einzigartiges, zufällig generiertes Passwort (20+ Zeichen)
• Notiere das Master-Passwort handschriftlich und bewahre es sicher offline auf