Sicheres Passwort, leicht zu merken: die Methode

Ein Passwort wie “123456” wird in weniger als einer Sekunde erraten. Ein Passwort basierend auf einem persönlichen Satz mit 16 Zeichen widersteht jahrhundertelang. Der Unterschied? Ein paar Tricks, die Sie hier entdecken werden.

Die Sicherheit Ihrer Online-Konten hängt zum großen Teil von der Qualität Ihrer Passwörter ab. Aber ein “starkes” Passwort zu erstellen bedeutet nicht, etwas Unmerkbares zu schaffen. Es gibt einfache Methoden, die von Sicherheitsexperten genehmigt wurden und es Ihnen ermöglichen, Passwörter zu erstellen, die sowohl stark als auch merkfähig sind.

Warum Ihre aktuellen Passwörter wahrscheinlich zu schwach sind

Die meistgenutzten Passwörter in Deutschland

Laut der jährlichen Studie von NordPass, die im November 2025 veröffentlicht wurde, bleiben die meistgenutzten Passwörter erschreckend einfach:

1. 123456
2. 123456789
3. password
4. qwerty123
5. berlin

Diese Passwörter werden von automatischen Hacking-Programmen als erste getestet. Ein Passwort wie “password” wird in weniger als einer Sekunde erraten (Quelle: Hive Systems “Password Table”-Studie, aktualisiert 2025).

Ihr Geburtsdatum schützt nichts

Viele Menschen verwenden ihr Geburtsdatum, den Vornamen ihrer Enkelkinder oder den Namen ihres Haustieres. Diese Informationen sind oft in sozialen Netzwerken zugänglich oder leicht zu erraten. Laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) verwenden 41 % der Deutschen persönliche Informationen in ihren Passwörtern (Quelle: BSI-Bericht 2024).

Das wahre Sicherheitskriterium: die Länge

Entgegen einer weit verbreiteten Meinung ist es nicht die Komplexität (Großbuchstaben, Zahlen, Symbole), die ein Passwort stark macht, sondern vor allem seine Länge. Das BSI empfiehlt mindestens 12 Zeichen (Quelle: BSI-Leitfaden “Passwörter sicher gestalten”, 2024).

Hier ist der Grund:

• Ein 8-Zeichen-Passwort mit Buchstaben, Zahlen und Symbolen: in wenigen Stunden erraten
• Ein 12-Zeichen-Passwort mit nur Buchstaben: in mehreren Jahren erraten
• Ein 16-Zeichen-Passwort: in mehreren Jahrhunderten erraten

(Quelle: Hive Systems “Password Table” 2025, basierend auf der aktuellen Rechenleistung von Grafikkarten)

Die Phrasen-Methode: einfach und effektiv

Das ist die Methode, die vom BSI und der CNIL für Privatpersonen empfohlen wird. Das Prinzip ist einfach: Sie verwandeln einen Satz, den Sie gut kennen, in ein Passwort.

So funktioniert es

Schritt 1: Wählen Sie einen persönlichen Satz, den Sie nicht vergessen werden.

Zum Beispiel:

• “Mein Enkel Lucas wurde im März 7 Jahre alt”
• “Ich trinke meinen Kaffee um 8 Uhr mit 2 Stücken Zucker”
• “Mein blaues Haus hat 3 Fenster zur Straße”

Schritt 2: Nehmen Sie den ersten Buchstaben jedes Wortes, behalten Sie Zahlen und Satzzeichen.

• “Mein Enkel Lucas wurde im März 7 Jahre alt” → MELwimM7Ja
• “Ich trinke meinen Kaffee um 8 Uhr mit 2 Stücken Zucker” → ItmKu8Um2SZ
• “Mein blaues Haus hat 3 Fenster zur Straße” → MbHh3FzS

Schritt 3: Fügen Sie am Anfang oder Ende ein Sonderzeichen hinzu, um es zu stärken.

• MELwimM7Ja!
• ItmKu8Um2SZ#
• MbHh3FzS&

Sie erhalten ein Passwort aus 11 Zeichen, das zufällig wirkt, aber Sie können es leicht rekonstruieren, indem Sie an Ihren Satz denken.

Konkrete Beispiele für Senioren

Hier sind leicht zu merkende Sätze und die Passwörter, die sie generieren:

Persönlicher Satz	Passwort	Länge
”Jeden Morgen gehe ich mit Rex um 9 Uhr im Park spazieren”	JMgimRu9UiPs!	13 Zeichen
”Meine Tochter Sophie wohnt seit 2015 in München”	MTSwsi2015M!	12 Zeichen
”Ich liebe den Schokoladenkuchen meiner Mutter”	IldSkmM!	8 Zeichen
”Wir haben im Mai 12 Rosensträucher im Garten gepflanzt”	WhiM12RiGg!	11 Zeichen

Erfahrungsbericht: Gérard, 71 Jahre, Nantes, Februar 2026: “Ich habe immer dasselbe Geburtsdatum überall verwendet. Meine Enkelin hat mir die Phrasen-Methode gezeigt. Jetzt habe ich einen anderen Satz für meine Bank, meine E-Mail und Ameli. Es ist einfach, weil es Erinnerungen sind.” (Quelle: Digitaler Workshop der Mediathek Nantes, Teilnehmerfeedback)

So variiert man für jede Website

Um nicht dasselbe Passwort überall zu verwenden, fügen Sie einen Verweis auf die Website in Ihren Satz ein:

• Für Ihre Bank: “Mein Konto bei der Deutschen Bank ist seit 2024 gesichert” → MKbdDBis2024!
• Für Ihre E-Mail: “Meine Gmail-E-Mail ist mein Brief seit 2018” → MGEimBs2018!
• Für Ameli: “Mein Ameli-Raum mit meiner Sozialversicherungsnummer” → MARmmSV!

Die Drei-zufällige-Wörter-Methode

Das britische National Cyber Security Centre (NCSC) empfiehlt einen noch einfacheren Ansatz: Wählen Sie 3 Wörter ohne Zusammenhang und verbinden Sie sie (Quelle: NCSC-Leitfaden “Three random words”, aktualisiert 2025).

Beispiele:

• tulpe-heizkörper-mittwoch
• schokolade-regenschirm-jupiter
• kirsche-straßenbahn-bibliothek

Diese Passwörter sind lang (25 bis 30 Zeichen), was sie äußerst widerstandsfähig gegen Hacking macht, und leicht zu merken, weil Sie sich ein absurdes mentales Bild schaffen können: Stellen Sie sich eine Tulpe auf einem Heizkörper an einem Mittwoch vor.

Erfahrungsbericht: Monique, 66 Jahre, Bordeaux, Januar 2026: “Ich habe drei Wörter gewählt, die mich zum Lächeln bringen. Ich merke sie mir leicht, weil das Bild lustig ist. Und scheinbar ist es sehr sicher.” (Quelle: Verein Les Petits Frères des Pauvres, digitaler Workshop)

Der Passwort-Manager: Die Lösung, um nichts mehr merken zu müssen

Was ist das?

Ein Passwort-Manager ist eine sichere App, die alle Ihre Passwörter in einem verschlüsselten digitalen Tresor speichert. Sie müssen sich nur ein einziges Passwort merken: das Master-Passwort, das den Tresor öffnet.

Warum es empfohlen wird

Das BSI und die CNIL empfehlen die Verwendung eines Passwort-Managers für Privatpersonen (Quelle: BSI-Leitfaden “Passwörter und Datenschutz”, aktualisiert 2024). Die Vorteile sind konkret:

• Sie müssen sich nur ein einziges Passwort merken
• Die App generiert sehr starke Passwörter für jede Website
• Sie füllt Anmeldefelder automatisch aus
• Ihre Passwörter sind durch AES-256-Verschlüsselung geschützt (dieselbe wie die des Militärs)

Bitwarden: Kostenlos, einfach und empfohlen

Unter den verfügbaren Managern wird Bitwarden am häufigsten für Privatpersonen empfohlen:

• Kostenlos für den persönlichen Gebrauch
• Open Source: Der Code ist öffentlich und wird von unabhängigen Experten überprüft
• Verfügbar auf Computer, Telefon und Tablet
• Einfach zu bedienen: Es integriert sich in Ihren Browser und füllt Passwörter automatisch aus

Laut dem Vergleich der 01net-Redaktion, veröffentlicht im Januar 2026, ist Bitwarden der beste kostenlose Manager für Anfänger.

So installiert man Bitwarden: Schritt-für-Schritt-Anleitung

Auf dem Computer:

1. Öffnen Sie Ihren Internetbrowser (Chrome, Firefox, Edge)
2. Gehen Sie auf bitwarden.com
3. Klicken Sie auf “Kostenloses Konto erstellen”
4. Wählen Sie Ihr Master-Passwort (verwenden Sie die Phrasen-Methode!)
5. Installieren Sie die Erweiterung für Ihren Browser
6. Bitwarden bietet an, Ihre Passwörter zu speichern, wenn Sie sich auf Websites anmelden

Auf Telefon oder Tablet:

1. Öffnen Sie den App Store (iPhone/iPad) oder den Play Store (Android)
2. Suchen Sie nach “Bitwarden”
3. Installieren Sie die App
4. Melden Sie sich mit demselben Konto an

Ein gutes Master-Passwort wählen

Das Master-Passwort ist das einzige, das Sie sich merken müssen. Es muss besonders stark sein. Verwenden Sie die Phrasen-Methode mit einem langen Satz:

“Mein Bitwarden-Tresor schützt meine 25 Konten seit 2026” → MBTsmm25Ks2026!

Schreiben Sie dieses Passwort auf einen Zettel, den Sie an einem sicheren Ort aufbewahren (nicht neben Ihrem Computer). Sobald Sie es auswendig kennen, vernichten Sie den Zettel.

Was man auf keinen Fall tun sollte

Die häufigsten Fehler

1. Überall dasselbe Passwort verwenden. Wenn auch nur eine Website gehackt wird, sind alle Ihre Konten gefährdet. Im Jahr 2024 wurden mehr als 2 Milliarden gestohlene Zugangsdaten online veröffentlicht (Quelle: Have I Been Pwned-Bericht, Dezember 2024).

2. Sein Passwort auf einem Post-it am Bildschirm kleben. Wenn jemand Ihr Zuhause betritt oder Sie ein Foto Ihres Schreibtisches senden, sind Ihre Passwörter sichtbar.

3. Ein Passwort per E-Mail oder SMS senden. Diese Kanäle sind nicht sicher. Wenn Ihre E-Mail gehackt wird, findet der Betrüger alle Passwörter, die Sie gesendet haben.

4. Ein einzelnes Wörterbuch-Wort verwenden. Hacking-Programme testen alle Wörterbuch-Wörter in wenigen Sekunden.

5. Sicherheitsfragen vertrauen. “Was ist der Name Ihres Haustieres?” ist oft in Ihren sozialen Netzwerken zu finden. Wenn eine Website Sicherheitsfragen anbietet, antworten Sie mit falschen Informationen, die nur Sie kennen.

Doppelte Authentifizierung: Zusätzlicher Schutz

So funktioniert es

Die doppelte Authentifizierung (oder 2FA) fügt dem Passwort eine zusätzliche Sicherheitsebene hinzu. Wenn Sie sich anmelden, sendet die Website Ihnen einen Code per SMS oder über eine App. Selbst wenn jemand Ihr Passwort kennt, kann er sich ohne diesen Code nicht anmelden.

Wo man es zuerst aktiviert

Laut den BSI-Empfehlungen (Quelle: BSI-Leitfaden “Sicherheit im Internet”, 2024) aktivieren Sie die doppelte Authentifizierung mindestens auf:

1. Ihrer Haupt-E-Mail (das ist der Schlüssel zu all Ihren anderen Konten)
2. Ihrem Online-Banking (die meisten erzwingen es bereits)
3. Ihrem Ameli-Konto (verfügbar seit 2024)
4. Ihren sozialen Netzwerken (Facebook, WhatsApp)

So aktiviert man es

Das Verfahren variiert je nach Website, befindet sich aber im Allgemeinen unter:

• Einstellungen → Sicherheit → Zweistufige Verifizierung
• Einstellungen → Passwort und Sicherheit → Zwei-Faktor-Authentifizierung

Die Website führt Sie Schritt für Schritt. Bei Schwierigkeiten zögern Sie nicht, die Hilfe eines Angehörigen zu erbitten.

Überprüfen, ob Ihre Passwörter bereits gestohlen wurden

Die Website haveibeenpwned.com (erstellt vom Sicherheitsexperten Troy Hunt) ermöglicht es Ihnen, kostenlos zu überprüfen, ob Ihre E-Mail-Adresse in gehackten Datenbanken erscheint.

So geht es:

1. Gehen Sie auf haveibeenpwned.com
2. Geben Sie Ihre E-Mail-Adresse ein
3. Die Website zeigt an, ob Ihre Daten kompromittiert wurden und auf welchen Diensten

Wenn Ihre E-Mail erscheint, ändern Sie sofort das Passwort des betreffenden Dienstes und aller Konten, bei denen Sie dasselbe Passwort verwendet haben.

Zusammenfassung: Die 5 Regeln, die man sich merken muss

1. Ein anderes Passwort für jede wichtige Website (Bank, E-Mail, Ameli, Steuern).
2. Mindestens 12 Zeichen — verwenden Sie die Phrasen-Methode oder die 3 zufälligen Wörter.
3. Teilen Sie niemals ein Passwort per E-Mail, SMS oder Telefon.
4. Aktivieren Sie die doppelte Authentifizierung auf Ihren sensiblen Konten.
5. Verwenden Sie einen Passwort-Manager (Bitwarden, kostenlos), wenn Sie viele Konten haben.

Digitale Sicherheit ist nicht nur für Experten. Mit diesen wenigen Gewohnheiten schützen Sie Ihr Online-Leben wirksam.

---

Redaktioneller Hinweis

Konsultierte Quellen: BSI (Leitfäden “Passwörter sicher gestalten” und “Sicherheit im Internet” 2024), NordPass (Jahresstudie 2025), Hive Systems (“Password Table” 2025), britisches NCSC (Leitfaden “Three random words” 2025), Have I Been Pwned (Bericht Dezember 2024), 01net-Vergleich (Januar 2026).

Grenzen dieses Leitfadens: Die Zeiten zum Knacken von Passwörtern sind Schätzungen basierend auf der aktuellen Rechenleistung und können sich mit dem technologischen Fortschritt ändern. Die Empfehlungen zur Mindestlänge könnten in den kommenden Jahren nach oben revidiert werden. Dieser Leitfaden deckt keine physischen Sicherheitsschlüssel (Yubikey) ab, die für fortgeschrittene Nutzung besser geeignet sind.

Überprüfungsdatum: 26. März 2026

Interessenkonflikte: keine

Questions fréquentes

Was ist die empfohlene Mindestlänge für ein Passwort? ▼

Kann ich dasselbe Passwort für mehrere Websites verwenden? ▼

Wie kann man sich mehrere verschiedene Passwörter merken? ▼

Was ist ein Passwort-Manager und ist er sicher? ▼

Was tun, wenn ich mein Passwort vergessen habe? ▼