Das klassische Passwort blickt auf eine lange Geschichte zurück und die Begriffe wandeln sich. Trotzdem steht am Ende immer noch ein Kennwort, aber der Ausdruck Passphrase etwa beschreibt einen anderen Weg, dieses zu erzeugen und es sich zu merken. Denn am Anfang jeden Zugangs steht ein Geheimnis, das es zu lösen und zu übergeben gilt. Der eine Teil ist der Benutzername und damit die Identifikation des Eigentümers. Dieser sollte unter normalen Umständen als einzige Person den Schlüssel zum Eintritt haben. Beim Erzeugen eines Kennworts steht der Anwender vor zwei Herausforderungen: Er muss ein sicheres Passwort generieren und es sich auch noch merken.

Bill Burr schrieb die offizielle Anleitung für Passwörter für das das US National Institute of Standards and Technology (NIST). Ein Kennwort sollte demnach mindestens über acht Zeichen verfügen und komplex sein. Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen sollten auftauchen, also am besten drei bis vier verschiedene Zeichenarten. Zudem sollte es regelmäßig geändert werden. Wobei eine Historie dafür sorgt, dass es im Idealfall gar nicht oder erst nach einem langen Zeitraum zur Wiederverwendung eines bereits benutzten Kennworts kommt.

Vieles in diesem Regelwerk wurde jedoch falsch interpretiert und vor allem haben die Benutzer Umwege und Abkürzungen gefunden, die so nicht gewollt und geplant waren. Bei der Länge des Kennworts etwa liegt die Betonung auf "mindestens" acht Zeichen. Viele Anwender hat das dazu verleitet, diese acht Zeichen als Maximum zu sehen, vielfach haben IT-Abteilungen dies auch nicht deutlich kommuniziert. Denn natürlich dürfen und sollen es mehr als acht Zeichen sein.

Unter der Berücksichtigung der oben erwähnten Regeln entstandene Kennwörter wie "dU7%9IL&" – die sich dann auch noch alle drei Monate ändern – haben Anwender in der Praxis schnell zu "Sommer24" gewandelt. Denn "Sommer24" ist nach dem Regelwerk komplex. Drei von vier Zeichenarten, acht Zeichen Länge, die Vorgaben sind erfüllt. In dieser Logik ist schnell erkennbar, welches Kennwort wohl in drei Monaten zum Einsatz kommt. Denn Anwender machen es sich so leicht wie möglich und möchten einfach nur arbeiten. Sie wollen nicht alle 15 Minuten nach Sperrung des Geräts durch den Bildschirmschoner oder die Inaktivitätsgrenze ein komplexes Kennwort eintippen.

Die Idee, einen Kennsatz, einen Liedtext oder einen Refrain zu verwenden und von diesem die Anfangsbuchstaben zu nutzen, vielleicht noch inklusive eines Buchstabenaustauschs – ein A wird eine 4, ein E eine 3 ein O eine 0, die 1 ein ! et cetera – machen es noch komplizierter und stellen keinerlei Erleichterung im Umgang mit Kennwörtern dar. "Robbie Williams - Hell is gone and heaven's here" könnte so zu "RW-H1gahh" werden. Es hätte Groß- und Kleinbuchstaben, mit dem "-" ein Sonderzeichen und mit der 1 statt dem i auch eine Zahl. Das Kennwort ist komplex und nach dem bekannten Regelwerk sicher. Das Problem dabei: Der User kann es sich wahrscheinlich immer noch nicht merken und er benötigt wesentlich mehr Zeit, sich zu erinnern, wie es abgekürzt geschrieben wird.

Das Dilemma besteht darin, dass sobald es anstrengend wird und es Energie kostet, das Gehirn abschaltet und evolutionsbedingt nach einer Erleichterung und einem simpleren Konstrukt sucht. Am Ende finden sich dann die Kennwörter auf dem berühmten Zettel unter der Tastatur oder es endet trivial bei Frühling, Sommer, Herbst und Winter, Sonne, Mond und Sterne, allen Monatsnamen mit der entsprechenden Jahreszahl oder einem anderen Zähler, der einfach weiterschaltet, etwa Michael01, Michael02, Michael03 et cetera.

Das Ziel ist also, über ein leicht zu erinnerndes Kennwort zu verfügen. Es muss wenig Energie kosten, es aus dem Gedächtnis zu holen, und es sollte trotzdem noch sicher sein. Dieser Ansatz führt uns zu Passphrasen. Diese bestehen aus drei, vier oder fünf Worten, die assoziativ nichts miteinander zu tun haben. Aufgrund der deutschen Rechtschreibung haben wir zwei Bedingungen der Komplexität direkt erfüllt. Ein Trennzeichen ist schnell ausgedacht und ob es dann noch eine Zahl aufweist oder nicht, ist dem Anwender freiwillig überlassen – etwaige Bedenken hierzu entkräften wir später noch.

Es folgt ein simples Beispiel für einen eigenen Passphrase-Generator. Wir verwenden beispielhaft die Wortliste 776 von dys2p [1] auf GitHub, speichern sie als TXT-Datei und würfeln uns per PowerShell eine Phrase mit drei oder mehr Worten zusammen:

Es kommen nun Phrasen wie "Anprangern-Verknallen-Erkunden" oder "Jawort#Einwurf#Imbiss" heraus. Am Ende sind es also drei simple Wörter mit einem einzigartigen Klangbild und einer leicht zu erinnernden Reihenfolge. Natürlich könnten wir uns auch im Raum umschauen und die Bezeichnungen von Dingen im Blickfeld verwenden, etwa "Tischlampe-Poster-Fenster". Ziel ist aus Admin-Sicht aber immer, es den Anwendern so leicht wie möglich zu machen.

Selbst Microsoft setzt bei seinem Kennwortdienst LAPS in Windows Server 2025 auf die Möglichkeit von Passphrasen [2]. Diese sind leichter zu tippen, lassen sich im Geist vorlesen und der Anwender erinnert sich leichter. Es ist nicht notwendig, Sie Buchstabe für Buchstabe und Zeichen abzutippen. Sie sind lesbar.

Die Passphrase ist also der erste und wichtigste Schutz vor dem Eintritt in ein System. Sie darf nicht trivial erratbar sein. Aus dem obigen Code-Snippet ist schnell eine Webseite im Intranet gebaut und dem Anwender zur Verfügung gestellt. Das Praktische an dieser Lösung ist, dass wir damit auch die wichtigste Regel im Umgang mit Kennwörtern und Kennphrasen erfüllt haben: Die Länge.

Die Länge des Kennworts ist entscheidend bei jeglichen Angriffen, die auf Ausprobieren (Brute Force) aufsetzen. Je länger das Kennwort, desto länger auch die Rechenzeit, die benötigt wird, um das Kennwort durchzuspielen. An dieser Stelle kommen wir auf die oben erwähnten Bedenken zurück, aber: Länge schlägt stets Komplexität.

Das Sonderzeichen erhöht mathematisch den Multiplikator in der Rechnung, wohingegen jedes zusätzliche Zeichen die Potenz erhöht. Somit ergibt sich mit jedem weiteren Zeichen in der Länge eine unglaubliche Zahl an Möglichkeiten. "Anprangern-Verknallen-Erkunden" etwa hat 31 Zeichen. Nach aktuellem Stand der Technik und Berechnungen von Hive Systems [3] müssen wir davon ausgehen, dass alle Kennwörter mit weniger als 16 Zeichen nicht mehr sicher sind.

Die Schwierigkeit ist nun, dies dem Anwender psychologisch wirkungsvoll zu verkaufen. Sie sollten deshalb in der entsprechenden E-Mail keinesfalls den Betreff "Ab Morgen mindestens 16-Zeichen-Kennwort" wählen. Die User werden Sturm laufen und bei jeder höheren Instanz nachfragen, welche Drogen in der IT konsumiert werden. Wählen Sie aber stattdessen die Überschrift "Ab Morgen simple Kennwörter, die Sie für immer behalten dürfen" und bieten dann den Phrasendrescher als Webfrontend an, dann merken die Anwender nicht, dass Sie sie eigentlich überrumpelt haben.

Das Skript ließe sich auf zwei Worte abwandeln und ein Minimum von "x" Zeichen einbauen. Wichtig ist nur, dass wir dem Anwender ein Angebot machen, das Kennwort schnell und unkompliziert zu erstellen. Ein langes Passwort wird sich durch das Anwenden und Tippen in ein Fingergedächtnis einprägen und es bekommt auf Dauer ein Klangbild. Ein Vertippen, selbst bei 25 Zeichen und mehr, wird zunehmend seltener. Wir beerdigen damit das Problem der trivialen Kennwörter und das aufsteigende Zählen.

Die Passphrase bietet jedoch nur einen Grundschutz. Wir haben weiterhin zwei ungelöste Probleme. Das Kennwort ist die einzige Absicherung des Zugangs und auch eine 31 Zeichen lange Passphrase kann irgendwann bekannt und ausgenutzt werden. Viele Anwender werden ein wirkungsvolles Kennwort zudem in diversen Diensten im Internet nutzen und es zu ihrem neuen Standard erklären. Sobald aber in einem Webshop oder in einer Datenbank die Kombination der E-Mail-Adresse mit einem Kennwort gestohlen wurde, landet diese in Passwortlisten von Angreifern. Hat der Anwender sich also nicht an das Verbot des Passwort-Recyclings gehalten, ist ein großer Verlust und Schaden zu erwarten.

Eine mögliche Lösung hierfür liegt leider nicht in der Hand des Anwenders. Es geht um die Kombination des Kennworts mit einem dynamisch erzeugten Schlüssel. Die IT-Verantwortlichen des Systems, auf das der User zugreifen soll, müssen die Möglichkeit schaffen, ein Zweifaktor-, Multifaktor- oder One-Time-Passwort zu verwenden. Die Kenntnis des Geheimnisses allein ist dann nicht länger der einzige Zugang. Es gibt einen weiteren Schlüssel, den der User mithilfe eines zusätzlichen Geräts generiert.

In den meisten Fällen handelt es sich um einen sechsstelligen Zahlencode, der alle 30 Sekunden erneuert wird. Bei der Einrichtung wird die Software, die diesen Code zum Beispiel auf einem Smartphone anzeigt, einmalig mit der Technik des eigenen Unternehmens verzahnt. Neben den beiden großen Playern auf diesem Gebiet, dem Microsoft Authenticator und dem Google Authenticator, kam hier häufig Authy zum Einsatz. Leider hatte dieser Dienst unlängst den Verlust von 33 Millionen Nutzerdaten zu beklagen. Die Angreifer sollen dabei keine Zugänge erbeutet und keine Schlüssel gestohlen haben, verfügen aber nun über Millionen von validen Datensätzen – eine Phishingwelle ist zu erwarten.

Neben den Apps bieten einige Authentifizierungsanbieter das Verfahren auch über SMS und E-Mail an. In diesem Fall sind die Codes länger gültig. Wenn machbar sollten Sie hier auf die Möglichkeit einer Push-Bestätigung verzichten. Diese ist zwar bequem, da der Anwender nur bestätigen muss, dass er sich gerade einloggt. Die Praxis hat aber gezeigt, dass der Anwender wieder einmal das schwächste Glied in der Kette ist. Der User wählt ein schwaches, erratbares Kennwort und fühlt sich mit 2FA beziehungsweise MFA sicher.

Der Angreifer hat durch Raten oder Verproben Kenntnis von dem Kennwort und versucht sich immer wieder einzuloggen. Das Gerät mit der App reagiert nun und meldet permanent den Versuch und fragt, ob dieser valide ist. Nachts um zwei Uhr, wenn der Anwender eigentlich schlafen möchte, wird dieser irgendwann genervt bestätigen.

Diese Attacke per "Annoying Push Notification" ist an sich kein Angriff auf das Konstrukt als solches, das weiterhin als sicher zu erachten ist. Sie spielt vielmehr in derselben Liga wie jede andere Social-Engineering-Attacke. Trotz des Ausnutzens des schwächsten Glieds der Kette bleibt 2FA/MFA/OTP ein unerlässlicher Schutzfaktor. Es gibt schlichtweg keine Ausrede mehr, diesen wegzulassen. Jede aktuelle Cybersecurity-Versicherung sieht es als grob fahrlässig an, wenn Zugänge von außen ohne den zweiten Faktor eingerichtet werden und zahlen kein Geld bei Verlust von Daten aus.

Eine weitere Absicherung, die ebenfalls nicht in der Hand des Anwenders liegt, ist der Wechsel von einem Passwort oder einer Passphrase zu einem Passkey [4]. Dieser ist einer Smartcard sehr ähnlich, im Grunde handelt es sich um eine Anmeldung per Zertifikat.

Diese steht einem Windows-Admin schon seit 25 Jahren zur Authentifizierung gegen das Active Directory zur Verfügung, hat nur nie den Weg in die Breite geschafft. Die Gründe liegen in der umständlichen Infrastruktur, die dafür zu schaffen und zu pflegen ist. Auch hier gilt: Eine Public-Key-Infrastruktur im Unternehmen, die Zertifikate für den Benutzer ausstellt, mit denen er sich dann authentifiziert, darf nie in die falschen Hände geraten. Die Handhabung von Smartcards (Plastikkarten oder USB-Sticks) hat sich in der Praxis als sehr umständlich herausgestellt. Die Lösung ist nun das Smartphone, das jeder in der Hosentasche hat. Auf diesem lässt sich eine unendliche Anzahl von Zertifikaten (Passkeys) speichern und einem Dienst zuordnen. Weiterer Pluspunkt: Das Telefon bleibt nicht neben dem Computer liegen, sondern wird vom User eingesteckt und mitgenommen.

Das Smartphone an sich ist durch eine PIN oder Gesichtserkennung vor Zugriff geschützt. Je nach Anwendung kann es noch zu einer InApp-Authentication kommen. Das Unternehmen oder ein entsprechender externer Anbieter stellt die Infrastruktur bereit und muss für die Sicherheit Sorge tragen. Der Anwender nutzt nur das in einer App hinterlegte Endprodukt.

Der größte Unterschied ist hier, dass wir mit einem privaten und einem öffentlichen Schlüssel arbeiten und anstelle des Kennworts, das jedes Mal zum Server übertragen werden muss, der private Schlüssel niemals das Gerät verlässt. Der wichtigste Geheimnisanteil bleibt auf dem Device und wird nicht übertragen. Die Identifizierung findet anhand der erstellten Signatur statt, die sich nur mit dem privaten Schlüssel erzeugen lässt.

In der Realität bleiben wir in der nächsten Zeit im Passwortkosmos gefangen. Wir müssen deshalb zu Hilfsmitteln greifen, die uns den guten Umgang mit Kennwwörtern erlauben. Unerlässliches Werkzeug hierzu: ein Passwortmanager. Dabei handelt es sich um eine Software, die es ermöglicht, für jede beliebige Webseite und jeden Zugang ein individuelles Kennwort zu erzeugen. Dieses wandert dann in eine Datenbank, die wir mit einem Master-Passwort absichern und die verschlüsselt ist. Bei der Auswahl des geeigneten Passwortmanagers gibt es einige wichtige Punkte:

- Die Datenbank befindet sich on-premises oder in der eigenen Cloud. Sie sollte auf keinen Fall bei einem Anbieter hinter einem Zugangsportal liegen, das Sie nicht unter Kontrolle haben.

- Wenn es doch ein Cloudanbieter ist, dann darf er keinerlei Möglichkeit zum Restore der Daten bei Verlust des Zugangs anbieten. Das Backup und das Restore sollten also in der eigenen Hand liegen. Es darf keinen Zugriff von Administratoren geben, die nicht im eigenen Unternehmen arbeiten. Denn in diesem Fall wäre das Konstrukt attackierbar und nicht mehr vertrauenswürdig.

- Der Zugang zur Datenbank, sofern dieser über das Web möglich ist, ist auf jeden Fall durch 2FA/MFA oder Passkey abgesichert.

- Open Source ist wünschenswert. Die Hoffnung, dass Personen ohne finanziellen Anspruch einen Blick auf den Code haben und ihn besser machen, kann zwar ein Trugschluss sein. Aber es ist realistischer, als wenn ein kommerzieller Anbieter proprietären und nicht einsehbaren Code betreibt.

- Der Passwortmanager kann Passphrasen erzeugen: Ein 60 Zeichen umfassender Buchstabensalat ist sehr sicher, an einem Device ohne 105-Tasten-Tastatur aber nur schwer einzutippen. Einige Sonderzeichen sind am Mobilgerät kaum zu erreichen oder gar nicht erst verfügbar.

- Die Benutzerfreundlichkeit und damit die Oberfläche der Software sollte einem modernen Ansatz folgen und bei Bereitstellung einer Webseite responsiv sein.

Das Open-Source-basierte KeePassXC [5] ist eines der bekanntesten Werkzeuge in der Kategorie der Passwortmanager. Es bietet alles, was sich der private Anwender wünscht – das ist leider auch direkt das K.o.-Kriterium für den Firmeneinsatz. Denn es handelt sich dabei um eine persönliche Datenbank ohne die Möglichkeit zum Sharing von Zugängen. Im Firmenumfeld gibt es aber Webseiten von Lieferanten, Webshops oder anderen Diensten, die mehreren Personen zur Verfügung stehen müssen. An dieser Stelle bietet KeePassXC out-of-the-box keine Lösung.

Für den privaten Einsatz findet sich das Tool aber auf Platz eins unserer Empfehlungen. KeePassXC fühlt sich auf allen Betriebssystemen zuhause und liefert eine Datenbank und die Verschlüsselung der darin abgelegten Informationen. Eine durchdachte Benutzeroberfläche erleichtert die Bedienung. Sie ist modern und bietet denselben Look auf allen Plattformen. Zudem existiert ein Plug-in für Chrome und Firefox, das direkt mit der Datenbank kommuniziert. Die Software steht als Installation, aber auch als portable Edition zur Verfügung und unterstützt winget, den Windows Package Manager und chocolatey. Als Standalone-Werkzeug für jeden, der nur die eigenen Kennwörter verwalten möchte, ist KeePassXC eine überzeugende Lösung mit ausgereiftem Funktionsumfang.

Sobald der Wunsch nach einer Teamfunktion aufkommt und der Unternehmenseinsatz im Vordergrund steht, fällt die Argumentation für ein kostenloses Open-Source-Werkzeug oft nicht leicht. Organisationen scheuen sich nicht selten, ein Werkzeug einzusetzen, für das sie offiziell keinen Support einkaufen können. Trotzdem möchten wir zwei Produkte stellvertretend nennen, die diesen Bedarf adressieren: Es gibt freie Community-Ableger, aber auch offiziell gehostet und unterstützte Produkte der entsprechenden Anbieter.

Bitwarden [6] hat sich in den letzten Jahren zu einer weit verbreiteten Software emporgearbeitet. Das Tool bietet eine kostenlose Plattform für Privatpersonen und hat einen überschaubaren Kostenrahmen für Familien. Unternehmen können sich für die Cloud- oder Self-Hosted-Variante entscheiden. Neben der Bezahlversion gibt es mit Vaultwarden [7] einen Open-Source-Ableger auf GitHub, der alle Enterprise-Funktionen von Bitwarden selbst gehostet als Docker-Container bereitstellt.

Eines der interessanten Features von Bitwarden für Admins ist neben der Funktionalität als unternehmenstauglicher Passwortmanager die Steuerungsmöglichkeit für das Deployment über Richtlinien [8]. Die Endpunkte beziehungsweise die Servernamen einer lokalen Umgebung lassen sich per Registry-Eintrag oder per JSON verteilen. Bitwarden kann sich ferner mit dem Active Directory, aber auch Entra ID, Google und Okta synchronisieren, um deren Benutzer auszulesen.

Auch liefert Bitwarden ein Browser-Plug-in, das sich bei Webformularen anbietet und direkt auf die Datenbank zugreifen kann. Bei einem passenden Eintrag, der anhand der URL identifiziert wird, kann der User die gespeicherte Information direkt voreintragen. Es gibt jedoch aus Sicherheitsgründen kein vollständiges "Auto Formfill" – die Auswahl und die Übergabe des Kennworts sollte immer eine benutzerkontrollierte Aktion darstellen. Denn allzu leicht landen Daten sonst aus Versehen im falschen Formular und die sensiblen Informationen sind verloren.

Wer mit einer freien Software Bauchschmerzen hat und lieber ein Produkt bevorzugt, die sich seriöser anfühlt, der sollte sich Passbolt [9] einmal genauer anschauen. Das Tool spielt praktisch in derselben Liga wie Bitwarden. Die Community-Edition wird unter demselben Namen vertrieben, ihr fehlen aber ein paar Funktionen, etwa eine LDAP-Synchronisation.

Die Entscheidung, welches das bessere Werkzeug für die eigenen Bedürfnisse ist, muss jedes Unternehmen selbst treffen. KeePassXC scheidet in dem Moment aus, wo Passwort-Sharing und Gruppenfunktionalität gefragt sind. Die Entscheidung zwischen den beiden kostenlosen Varianten von Vaultwarden und Passbolt fällt am Ende wahrscheinlich anhand der GUI oder des Desktopclients. Wir können einen Test und eine Evaluation beider Systeme empfehlen. Die Anleitungen zur Installation der Docker-basierten Variante sind sehr leicht zu verstehen, Sie benötigen nur minimales Linux-Wissen.

Zum sicheren Betrieb eines Passwortservers gehört natürlich auch das Beherrschen der grundsätzlichen Funktionalität – hier können Sie zur Not Dienstleister unterstützen. Für den ersten Probelauf ließe sich im Rahmen einer Bastelei auf einem Raspberry Pi ein Passwortserver einrichten. Anschließend und nach einem Testlauf können Sie das Systeme dann auf stabile Füße stellen und in einer sicheren Umgebung inklusive Backup und Restore bereitstellen.

Das Thema Passwörter wird uns noch eine sehr lange Zeit begleiten. Je schneller aktuelle Grafikkarten rechnen, desto wichtiger wird die Länge des Kennworts. Hier haben die letzten Jahre rasante Wachstumsraten gezeigt, wenn es um das reine Brute Force geht. Die Länge des Kennworts ist der einzige Faktor, den der Anwender beziehungsweise das Unternehmen selbst kontrollieren kann. Zusätzliche Absicherungen, wie die genannte Zwei- oder Multifaktor-Authentifizierung oder gar eine komplette Änderung hin zu Passkeys liegen in der Hand der IT-Abteilung, werden aber noch immer nicht von allen Diensteanbietern unterstützt. Organisationen sollten deshalb Sicherheitsmängel als solche benennen und selbstbewusst deren Beseitigung einfordern.