Wussten Sie dazwischen einem 12 Zeichen Passwort und einem 14 Zeichen Passwort Jahrzehnte liegen?

Nehmen wir an wir haben den ASCII Code als Grundvoraussetzung woraus in der Regel ein Passwort ausgewählt wird. Hier wird meistens von „druckbaren Zeichen“ gesprochen.

Kurz zur Erklärung:
ASCII steht für American Standard Code for Information Interchange.
Es ist ein Zeichencode, also eine Tabelle, die jedem Zeichen (Buchstaben, Zahl, Symbol usw.) eine Zahl zuordnet, damit Computer damit umgehen können.

Wenn man von „95 möglichen ASCII-Zeichen“ spricht, meint man genau diese druckbaren Zeichen — weil nur die in Passwörtern sinnvoll vorkommen können.
Die anderen 33 Steuerzeichen sind für Computersteuerung gedacht, nicht für Text oder Passwörter.

Somit ergeben sich 95¹² im Fall von 12 Zeichen oder 94¹⁴ im Fall von 14 Zeichen schier unvorstellbare Kombinationen. Da kommt selbst ein Schachweltmeister ins Schwitzen. Nun sind aber nicht Schachweltmeister unsere Bedrohungen sondern hochleistungsfähige Grafikkarten und CPUs die in der Lage sind jegliche Passwortkombination in Millisekunden auszurechnen und zutesten. Dieses Verfahren wird Brute Force Attacke genannt.

Was bedeutet dies nun für meine Passwortsicherheit?

Wenn ein Angreifer 1 Milliarde (10⁹) Kombinationen pro Sekunde prüft (sehr schnelle Offline-Attacke):

• Durchschnittliche Zeit* bis zum Treffer bei 12 Zeichen: ca. 8,57 Millionen Jahre
• Bei 14 Zeichen: ca. 77,3 Milliarden Jahre

Hinweis: Das sind grobe Beispiele — reale Zeiten hängen stark davon ab, wie das Passwort gespeichert ist und ob Wörter/leichte Muster benutzt wurden.

Man erkennt also schnell, dass die Länge des Passworts einen erheblichen Unterschied ausmacht.

Daher empfehle ich hier, wenn möglich sich Passphrasen von mindestens 14 Zeichen zu wählen und sich diese besten Falls durch einen Passwort Manager generieren lässt.

Wie sieht solch eine Passphrase aus?

Eine Passphrase ist quasi ein zusammengeworfene Zeichenkette bestehend aus Wörtern, Sonderzeichen, Zahlen und gleicht einem einfach zu merkenden Satz. Ein klassisches Beispiel wäre hierbei (bitte nicht verwenden!):

In 2025 gehe ich mit meinem Hund Gassi und(&) du? = I2025gimmHG&d?

Während sich die einzelnen Zeichen schwer zu merken sind, prägt sich der Satz einfacher ein. Man muss lediglich die ersten Buchstaben, Zahlen und Zeichen in der Reihenfolge eingeben. Dabei gilt folgendes zu beachten:

• Keine bekannten Zitate oder Sätze aus Büchern/Liedern (die stehen in Angriffslisten).
• Keine persönlichen Daten oder logischen Zusammenhänge (z. B. „MeinHundHeißtBello2025“).
• Lieber zufällige oder ungewöhnlich kombinierte Wörter.

Fazit

Meine Empfehlung wäre hier klar ein Passwort Manager der initial mit einer Passphrase und 2FA abgesichert ist (z.B. Apple Passwort Manager mit FaceID) und sich dort für alle weiteren Anwendungen generische Passwörter erstellen zu lassen mit ebenfalls 14 Zeichen Mindestlänge. Da Sie sich diese sowieso nicht merken werden, empfiehlt es sich hier direkt auf 16 Zeichen oder mehr zu gehen.

Moderne Anwendungen und Betriebsysteme sichern sich mit einer Logout Policy ab, bei der das System oder die Anwendung erkennt ob es sich hierbei um einen herkömmlichen Tippfehler seitens eines Menschen handelt oder um das systematische „ausprobieren“ und sperrt den Account für eine gewisse Zeit. Fragen Sie Ihren Administrator, ob dies bei Ihnen der Fall ist.

Eine 2FA ist für mich essentiell, da mögliche Breaches eine noch so komplizierte Phrase zugänglich machen können und eine neue Bedrohung mit Quantencomputing bevorsteht. Um sein Passwort zu prüfen, oder zu checken, ob man von einem Datenleck betroffen ist, empfehle ich die Website: https://haveibeenpwned.com

*KI-Hinweis: Rechenbeispiel mit Hilfe von ChatGPT erstellt.