/ Artikel

Passwörter und Manager

Wie sichere Passwörter heute wirklich aussehen, warum Wiederverwendung die Hauptursache für Konto-Übernahmen ist, und welcher Passwort-Manager (Bitwarden, 1Password, KeePassXC, Proton Pass) zu welchem Nutzungsprofil passt — plus Geräte-PINs, Sperrcodes und der oft vergessene Punkt: das Master-Passwort selbst.

Schwache und wiederverwendete Passwörter sind seit Jahren die Hauptursache für Konto-Übernahmen im Netz — vor jeder fancy Zero-Day, vor jedem geheimdienstlichen Angriff, vor jedem APT. Die gute Nachricht: das Problem ist mit Disziplin und einem Werkzeug zuverlässig lösbar. Dieser Artikel zeigt, wie Passwörter heute realistisch sicher gemacht werden, welche Passwort-Manager das in der Praxis tragen — und warum Geräte-PINs und Sperrcodes Teil derselben Geschichte sind.

01 · Abschnitt

Worin die Gefahr wirklich besteht

Stell dir vor, du nutzt dasselbe Passwort bei deinem Mail-Provider, deinem Online-Shop und einem kleinen Forum, in dem du dich vor Jahren angemeldet hast. Das Forum wird gehackt, die Anmelde-Datenbank landet im Untergrund. Sechs Wochen später taucht deine Mail-Adresse plus dein Passwort in einer Liste auf, die Angreifer durch Tausende anderer Dienste durchprobieren — auf einer Maschine, die das pro Sekunde Hunderte Mal kann.

Das Verfahren heißt Credential Stuffing. Es ist heute die wirtschaftlich erfolgreichste Angriffsmethode im Massen-Geschäft — und sie funktioniert nur deshalb, weil so viele Menschen Passwörter wiederverwenden.

Die zweite Gefahr ist Phishing: eine täuschend echte Login-Seite, in die du dein Passwort eingibst — und der Angreifer auch. Drittes Hauptproblem: Info-Stealer-Malware auf dem eigenen Gerät, die Browser-Speicher, Auto-Fill-Daten und gespeicherte Sitzungen einsammelt und in Untergrund-Foren verkauft.

Gefahr	Wie sie funktioniert	Was wirklich hilft
Credential Stuffing	Geleakte Listen werden auf anderen Diensten ausprobiert	Einzigartige Passwörter pro Dienst (Manager)
Phishing	Gefälschte Login-Seiten	Manager prüft URL beim Auto-Fill; idealerweise Passkey
Info-Stealer-Malware	Browser-Speicher und Cookies werden ausgelesen	Geräte-Hygiene, Master-Passwort getrennt, MFA
Brute Force	Wörterbuch- und Zeichen-Permutationen	Länge ≥ 12, Manager-generiert
Shoulder Surfing	Mitschauen, Kameras	PIN-Eingabe verdecken, biometrische Entsperrung

Wer diese vier Risiken adressiert, hat den allergrößten Teil der realistischen Bedrohung im Passwort-Bereich abgedeckt.

02 · Abschnitt

Was ein gutes Passwort heute ausmacht

Drei Eigenschaften — in genau dieser Reihenfolge:

Einzigartig. Jeder Dienst bekommt ein eigenes Passwort. Das ist die wichtigste Eigenschaft — wichtiger als Länge, wichtiger als Sonderzeichen. Ohne Einzigartigkeit ist Credential Stuffing unvermeidlich.
Lang. Mindestens 12 Zeichen, idealerweise mehr. Länge schlägt Komplexität: ein 16-stelliger zufälliger Passsatz aus vier Wörtern ist sicherer als P@$$w0rd!9.
Zufällig. Vom Manager generiert, nicht selbst ausgedacht. Menschen sind schlechte Zufalls-Generatoren — wir nutzen Geburtsdaten, Namen, Wörter, die in unserem Leben vorkommen.

Veraltet sind die alten Regeln aus den 2000ern, die viele Banken und Behörden immer noch fordern: „Großbuchstabe, Kleinbuchstabe, Zahl, Sonderzeichen, alle 90 Tage wechseln". Das NIST hat in der Spezifikation SP 800-63B bereits 2017 anders empfohlen — keine erzwungenen periodischen Wechsel mehr (das führt nachweislich zu schwächeren Passwörtern wie Sommer2026!), keine Komplexitäts-Regeln, dafür Länge und Abgleich gegen geleakte Passwort-Listen.

Praktisch heißt das: ein einzigartiges, vom Manager generiertes Passwort pro Dienst — und das Master-Passwort des Managers als einziges, das du dir merken musst.

03 · Abschnitt

Das Master-Passwort: der einzige Knackpunkt

Wer einen Manager benutzt, hat alle Eier in einem Korb. Das ist kein Problem, solange der Korb stabil ist. Stabil heißt:

Lang und einprägsam. Vier bis sechs zufällige Wörter, kombiniert zu einem Satz. Beispiel: gewitter-fischmarkt-bleistift-mai-orange. Sechs Wörter aus einer Diceware-Liste haben rund 77 Bit Entropie — das ist gegen Brute Force praktisch unangreifbar.
Nirgendwo sonst verwendet. Nicht für das Mail-Konto, nicht für den Laptop-Login. Wirklich nur für den Manager.
Nicht digital notiert. Wenn aufgeschrieben, dann auf Papier — und das Papier in den Tresor oder in den Geldbeutel (je nach Threat-Model). Ein Zettel zu Hause ist gegen Mitbewohner:innen anfällig, aber nicht gegen Online-Angreifer.
Optional ergänzt durch zweiten Faktor. Alle ernsten Manager unterstützen einen Hardware-Key (YubiKey, SoloKey) als Pflicht-Zweitfaktor — sehr empfehlenswert für Manager-Konten.

Wer das Master-Passwort verliert, verliert in den meisten Managern den Zugang zu allen gespeicherten Daten. Es gibt keine Hintertür — was Vertraulichkeit garantiert, aber Disziplin verlangt. Recovery-Strategien sind im Artikel account-wiederherstellung erklärt.

04 · Abschnitt

Welcher Passwort-Manager passt zu wem?

Die drei wichtigsten Auswahl-Dimensionen: wo liegen die Daten (eigene Cloud, Provider-Cloud, lokal), wie offen ist der Client (Open Source vs. proprietär), wie komfortabel ist der Alltag (Auto-Fill, Mobile-Apps, Sync).

Manager	Hosting	Open Source	Stärke
Bitwarden	Cloud (Bitwarden) oder Self-hosted	Ja (Server + Clients)	Bester Kompromiss aus Open-Source, Komfort, Preis
1Password	Cloud (1Password)	Nein (proprietär)	Komfortabelster Alltag, sehr gute UX, Travel-Mode
KeePassXC	Lokal (Datei)	Ja	Maximale Kontrolle, kein Cloud-Risiko, Sync selbst lösen
Proton Pass	Cloud (Proton)	Ja (Clients)	Integration in Proton-Ökosystem, Schweizer Datenschutz
Apple iCloud-Schlüsselbund	Apple-Cloud	Nein	Bequem für reine Apple-Welt; eingeschränkter Komfort woanders
Google Password Manager	Google-Cloud	Nein	Praktisch in Chrome/Android-Welt; weniger Features

Empfehlung nach Profil:

Einsteiger:in, keine Tech-Erfahrung — Bitwarden Free oder 1Password Family. Beide haben deutsche Oberflächen und sind ohne IT-Wissen einrichtbar.
Datenschutz-orientiert, will Self-Hosting — Bitwarden (oder Vaultwarden als ressourcen-leichter Self-Host-Server) oder KeePassXC mit eigenem Sync (Nextcloud, Syncthing).
Mac-/iPhone-Nutzer:in, will minimalen Aufwand — Apple-Schlüsselbund reicht oft. Sobald Linux- oder Windows-Geräte dazukommen, lohnt Bitwarden/1Password mehr.
Familie, Teilen-Anforderung — 1Password Family oder Bitwarden Family/Premium. Beide haben „Shared Vaults" mit fein-granularen Rechten.
Sehr hohes Threat-Model (Journalismus, Aktivismus) — KeePassXC offline auf einem dedizierten Gerät; Cloud-Manager nur mit Hardware-Key als Zweitfaktor.

Was alle ernsthaften Manager heute können sollten: Passwort-Generator, Auto-Fill via Browser-Extension, Mobile-Integration, TOTP-Speicherung (kann Sinn ergeben — siehe Hinweis im nächsten Abschnitt), Datenleck-Warnung (HIBP-Integration), Sichere Datei-Notizen, Sharing mit Rechten.

05 · Abschnitt

TOTP-Codes im Passwort-Manager — ja oder nein?

Eine umstrittene Frage. Pragmatische Antwort: es kommt drauf an.

Kombiniert (Passwort + TOTP im selben Manager). Bequem, hohe Adoption — viele Menschen aktivieren 2FA überhaupt erst, wenn der Manager es anbietet. Nachteil: Wenn das Manager-Konto kompromittiert wird, sind Passwort und Zweitfaktor weg.
Getrennt (TOTP in dedizierter App: Aegis, 2FAS, Raivo). Sicherer im Worst Case, weil der Zweitfaktor wirklich ein zweiter Faktor ist. Nachteil: zwei Apps zu pflegen, Recovery ist komplexer.

Faustregel: Für kritische Konten (Mail, Bank, Manager selbst, Identitäts-Provider) TOTP-Codes getrennt halten. Für alle anderen Dienste sind beide Optionen vertretbar — wichtiger als die Trennung ist, dass 2FA überhaupt aktiv ist.

Und das beste Argument für die Frage: Passkeys lösen das Dilemma, weil sie keinen separaten Zweitfaktor mehr brauchen. Dazu gleich.

06 · Abschnitt

Geräte-PINs und Sperrcodes

Manager-Disziplin nützt nichts, wenn dein entsperrtes Gerät in fremde Hände fällt. Drei einfache Regeln:

Auto-Lock auf 1–5 Minuten. Smartphone und Laptop sperren sich nach kurzer Inaktivität von selbst.
PIN/Code hat mindestens 6 Ziffern, besser alphanumerisches Passwort. 4-stellige PINs sind in 10 000 Versuchen durch — das schaffen forensische Werkzeuge in unter einer Stunde, wenn keine Rate-Limits greifen.
Biometrie zum Entsperren — aber nicht für kritische Aktionen ohne PIN-Backup. Mehr dazu im Artikel biometrie.

Spezifisch:

Smartphone — mindestens 6 Ziffern, idealerweise alphanumerische Passphrase. iOS und Android lassen Geräte nach mehreren Falscheingaben langsamer werden oder löschen sich (konfigurierbar).
Laptop — Festplatten-Verschlüsselung an (FileVault, BitLocker, LUKS) mit eigenem starken Passwort, getrennt vom Login.
SIM-Karte — SIM-PIN aktiv (oft vergessen). Schützt gegen Diebstahl-Szenarien, in denen die Karte in ein anderes Gerät wandert.
eSIM / Mobilfunk-Konto — separater Port-Out-PIN beim Provider (gegen SIM-Swapping; siehe account-wiederherstellung).
Router / Smart-Home — Default-Passwort ändern, Admin-Interface nicht aus dem Internet erreichbar machen.

Diese Geräte-Codes sind das fundamentale Vertrauen, auf dem alles Weitere aufbaut. Wer einen Top-Tier-Passwort-Manager hat, aber als Smartphone-PIN 1234 nutzt, hat eine schöne Kette mit einem Glasreif als schwächstem Glied.

07 · Abschnitt

Einsteiger-Roadmap: in 60 Minuten ein solides Setup

So sieht ein realistisches Startprogramm aus, das in einer guten Stunde durchführbar ist:

(10 min) Passwort-Manager auswählen und installieren. Browser-Extension + Mobile-App.
(5 min) Master-Passwort generieren (vier bis sechs zufällige Wörter). Auf Papier notieren, weglegen — Tresor, Bankschließfach, Vertrauensperson.
(15 min) Die zehn wichtigsten Konten zuerst migrieren: Haupt-Mail, Backup-Mail, Bank, Identitäts-Provider (Apple, Google, Microsoft), soziale Hauptaccounts, Online-Shops mit hinterlegter Zahlungsmethode. Pro Konto: neues Passwort vom Manager generieren, beim Dienst ändern, im Manager speichern.
(10 min) Geräte-Codes auf den Stand bringen: 6-stellige PIN auf Smartphone, FileVault/BitLocker/LUKS aktiv, Auto-Lock konfiguriert.
(15 min) 2FA auf den fünf wichtigsten Konten aktivieren (siehe zwei-faktor-und-mfa). Backup-Codes ausdrucken und zum Master-Passwort legen.
(5 min) Have-I-Been-Pwned mit Mail-Adresse abfragen. Konten in der Treffer-Liste haben Priorität für Passwort-Wechsel.

Den Rest des Manager-Bestands kannst du dir über Wochen verteilen — bei jedem Login, der gerade ansteht, das Passwort durch ein Manager-generiertes ersetzen. Nach drei Monaten ist die gesamte digitale Identität auf einem aktuellen Stand.

08 · Abschnitt

Häufige Stolperfallen

"Ich kann mir das doch merken"

Untersuchungen zeigen reproduzierbar: Menschen, die sich Passwörter selbst merken, nutzen drei bis fünf Variationen über alle Konten — was Credential Stuffing zur perfekten Angriffsmethode macht. Die Antwort ist nicht ein besseres Gedächtnis, sondern ein Werkzeug.

Browser-Speicher als Manager-Ersatz reicht meist nicht

Chrome und Firefox bieten eingebaute Passwort-Speicher mit Sync. Komfortabel — aber: schwächere Trennung vom Geräte-Login (Stealer-Malware liest sie aus), oft keine kategorisierten Vaults, keine Familien-Teilen-Funktion, keine sicheren Notizen. Für den Einstieg okay, für vollständiges Setup zu wenig.

Master-Passwort = E-Mail-Passwort ist eine Falle

Häufiger Fehler beim Einrichten: dasselbe Passwort für den Manager und das Mail-Konto. Wer einen kompromittiert, hat oft Zugang zum anderen — und damit zum Recovery-Pfad aller Konten. Master-Passwort und Mail-Passwort sind die einzigen zwei, die du dir wirklich merken solltest, und sie müssen unterschiedlich sein.

Auto-Fill nur bei Browser-Extension, nicht bei beliebigen Apps

Der Manager sollte beim Auto-Fill prüfen, ob die URL zur gespeicherten Domain passt. Manche Manager-Apps füllen bei einer ähnlich klingenden, aber nicht identischen URL trotzdem aus — wertvoller Phishing-Schutz geht verloren. Im Zweifel im Manager-Setting nachsehen, ob "strict URL matching" aktiv ist.

LastPass-Geschichte als Mahnung

2022 wurde der populäre Manager LastPass massiv kompromittiert: ein gestohlener Tresor-Container, Master-Passwörter über Wörterbuchangriffe knackbar bei schwachen Mastern. Lehre: Master-Passwörter müssen Brute-Force-fest sein (= lang & zufällig); für sehr exponierte Profile lohnt sich ein Wechsel zu Anbietern mit nachgewiesener Sicherheits-Disziplin.

Familien-Manager nur mit klar getrennten Vaults

Ein gemeinsam genutzter Familien-Vault sollte nur das enthalten, was wirklich gemeinsam genutzt wird (Streaming-Abos, gemeinsame Konten). Persönliche Mail, eigene Bank, eigene Identität bleiben in einem privaten Vault. Sonst sind Trennungen oder Konflikte später unangenehm.

4-stellige PIN bei Smartphone-Diebstahl reicht nicht

Forensische Tools wie Cellebrite oder GrayKey zielen genau auf diese 10 000 Möglichkeiten — bei iPhones mit älterer Hardware oft binnen Minuten durch. Aktuelle iOS- und Android-Geräte haben gehärtete Secure Elements, aber 6 Ziffern oder eine alphanumerische Passphrase erhöhen die Zeitspanne massiv.

Weiterführende Ressourcen

Externe Quellen

NIST SP 800-63B – Digital Identity Guidelines (Authentication)
Have I Been Pwned – Passwort- und Mail-Leck-Check
Bitwarden — Open-Source-Manager
1Password — kommerzieller Manager mit starker UX
KeePassXC — Offline-Manager
Proton Pass — Schweizer Open-Source-Manager
Diceware – Wortlisten für Passsätze
Privacy Guides – Passwort-Manager-Empfehlungen
BSI – Sichere Passwörter erstellen

/ Weiter

Zurück zu Passwörter & Authentifizierung

Zur Übersicht