Von „Sesam, öffne dich“ zum digitalen Masterpasswort

Jeden ersten Donnerstag im Mai erinnert der Welt-Passwort-Tag daran, die eigene Passwort-Hygiene zu überprüfen. Doch die Idee dahinter ist alles andere als neu. „Sesam, öffne dich", der Zauberspruch aus Tausendundeiner Nacht, mit dem Ali Baba die Höhle der vierzig Räuber öffnet, ist wohl das bekannteste fiktive Passwort der Weltliteratur. Es illustriert ein Prinzip, das die Menschheit seit Jahrtausenden beschäftigt: Zugang nur für den, der das richtige Wort kennt.

Bereits im antiken Rom setzten Militäreinheiten auf geheime Losungswörter. Wachen an Stadttoren und Lagerausgängen kontrollierten mithilfe täglich wechselnder Wörter, wer als Verbündeter passieren durfte. Der griechische Geschichtsschreiber Polybios beschrieb dieses System im 2. Jahrhundert v. Chr. als festen Bestandteil römischer Militärorganisation. Das Grundprinzip ist verblüffend modern: Wer das Wort nicht kannte, kam nicht durch.

Knapp 2.100 Jahre später, im Jahr 1961, zog das Passwort in die Computertechnik ein. Fernando Corbató entwickelte am Massachusetts Institute of Technology (MIT) das Compatible Time-Sharing System (CTSS), das erste System, das mehreren Nutzenden privaten Dateizugriff auf einem gemeinsam genutzten Großrechner ermöglichte.

Die Passwörter waren dabei als einfache Textdatei abgelegt. Bereits 1962 nutzte ein Doktorand diese Schwäche aus und druckte die gesamte Passwortliste aus, um mehr Rechenzeit für seine eigene Forschung abzuzweigen. Der erste Passwort-Hack der Computergeschichte, und er ist symptomatisch für alles, was danach kommen sollte.

Heute verwaltet eine Person mit aktivem digitalem Leben im Durchschnitt rund 100 Passwörter. Das menschliche Gedächtnis ist dafür schlicht nicht gebaut – was direkt zur nächsten Frage führt.

Die Bedrohungslage hat sich in den vergangenen Jahren grundlegend verändert. Angreifer setzen heute auf sogenanntes Credential Stuffing (automatisiertes Ausprobieren gestohlener Zugangsdaten aus Datenlecks auf möglichst vielen Plattformen) und das in industriellem Maßstab. Wer dasselbe Passwort bei mehreren Diensten verwendet, setzt sich damit einem erheblichen Risiko aus.

Die wirtschaftlichen Folgen sind messbar: Laut dem IBM Cost of a Data Breach Report 2024 belaufen sich die durchschnittlichen Kosten nur einer Datenschutzverletzung weltweit auf 4,88 Millionen US-Dollar . Auch wenn dieser Wert vor allem Unternehmen betrifft: Das Einfallstor sind häufig schwache oder mehrfach verwendete Passwörter einzelner Mitarbeitender.

Eine Statista-Erhebung aus dem Jahr 2024 zeigt, dass rund 57 Prozent der befragten deutschen Internetnutzenden angeben, teilweise dasselbe Passwort für unterschiedliche Online-Dienste zu verwenden. Nur 33 Prozent nutzen konsequent individuelle Zugangsdaten.

Was man tun sollte

• Für jeden Dienst ein eigenes Passwort verwenden. 
  Wird ein Dienst gehackt, sind alle anderen Konten trotzdem sicher.
• Passwörter lang und komplex gestalten.
  Mindestens 12 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Das BSI empfiehlt für besonders sensible Zugänge sogar 20 Zeichen oder mehr.
• Zwei-Faktor-Authentifizierung (2FA) aktivieren. 
  Dabei wird neben dem Passwort ein zweiter Nachweis verlangt – zum Beispiel ein Code per App oder SMS. Selbst wenn ein Passwort gestohlen wird, reicht es allein nicht aus.

Was man vermeiden sollte

• Dasselbe Passwort mehrfach verwenden. 
  Klingt banal, ist aber laut Statista die häufigste Schwachstelle. Leakt die Kombination aus Benutzernamen und Passwort können Angreifer diese bereits auf Verdacht bei vielen anderen häufig genutzten Diensten ausprobieren und sind damit auch noch erfolgreich.
• Persönliche Informationen nutzen. 
  Geburtsdaten, Haustiernamen oder Straßenadressen lassen sich über soziale Netzwerke leicht recherchieren und sind deshalb für Angreifer die erste Wahl.
• Passwörter ungesichert aufbewahren. 
  Klartext-Dateien auf dem Desktop, unverschlüsselte Cloud-Notizen oder Zettel am Monitor sind leichte Beute. Ein gut verwahrtes physisches Notizbuch, etwa im Safe zuhause, ist hingegen eine legitime Option für Privatpersonen, denn ein gezielter Einbruch mit dem Ziel, Passwörter zu stehlen, ist ein deutlich unwahrscheinlicheres Szenario als ein automatisierter digitaler Angriff.

• Merksatz-Methode
  Man bildet einen persönlichen Satz und verwendet nur die Anfangsbuchstaben der einzelnen Wörter, ergänzt um Zahlen und Sonderzeichen. Aus „Mein Hund Bello läuft jeden Tag 3 Runden um den Park!“ wird: MHBljT3RudP! – 12 Zeichen, einprägsam, aber für Außenstehende nicht zu erraten.
• Passphrase-Methode
  Vier bis fünf zufällig kombinierte, alltagsnahe Wörter ergeben ein langes und dennoch merkbares Passwort, zum Beispiel Zitrone-Fahrrad-Nebel-Klaviatur. Die Länge kompensiert die fehlende Zeichenkomplexität.

Angesichts von durchschnittlich 100 Passwörtern pro Person liegt der Gedanke nahe, alle Zugangsdaten in einer einzigen verschlüsselten Anwendung zu verwalten, dem Passwortmanager. Doch ist das wirklich sicher?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im ersten Halbjahr 2025 gemeinsam mit dem FZI Forschungszentrum Informatik zehn gängige Passwortmanager technisch untersucht. Das Ergebnis: Es gibt Qualitätsunterschiede, aber keine grundsätzlichen Einwände gegen den Einsatz. Im Gegenteil, das BSI spricht eine klare Empfehlung aus.

Drei Argumente pro Passwortmanager
 

• Passwortmanager ermöglichen für jeden Dienst ein individuelles, starkes Passwort – ohne Gedächtnisleistung.
• Sie reduzieren das Risiko schwacher oder wiederverwendeter Zugangsdaten deutlich.
• Viele bieten integrierte Passwortgeneratoren und Warnfunktionen bei bekannten Datenlecks.

Drei Argumente contra Passwortmanager

• Drei der zehn vom BSI getesteten Produkte speicherten Passwörter so, dass Hersteller theoretisch Zugriff auf die gespeicherten Daten hätten. Wer einen cloudbasierten Manager wählt, sollte auf eine sogenannte Zero-Knowledge-Architektur achten, bei der selbst der Hersteller keinen Zugang zu den gespeicherten Daten hat.
• Der Fall LastPass (2022) zeigt, dass kein System hundertprozentig sicher ist: Bei einem mehrstufigen Hackerangriff wurden Kundendaten wie Namen, Rechnungsadressen und E-Mail-Adressen gestohlen – sowie verschlüsselte Passwort-Tresore inklusive unverschlüsselter Website-URLs. Passwortmanager sind ein starkes Werkzeug, aber kein Freifahrtschein.
• Das Masterpasswort: der einzige Schlüssel zur gesamten Sammlung muss besonders lang und einzigartig sein. Wer es vergisst oder verliert, verliert im schlimmsten Fall den Zugang zu allen Konten.

Das Fazit des BSI bringt es auf den Punkt: „Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen kann zu erhöhten Phishing-Anfälligkeiten führen, sodass die Risiken, keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte.“  Wer einen Manager mit Ende-zu-Ende-Verschlüsselung und regelmäßigen Sicherheitsaudits wählt und ihn mit einem starken Masterpasswort sowie 2FA absichert, ist deutlich besser aufgestellt als ohne.

Passwörter begleiten die Menschheit seit Jahrtausenden. Was sich verändert hat, ist das Tempo und der Umfang der Bedrohung. Der Welt-Passwort-Tag am 7. Mai ist kein Marketingereignis, sondern eine konkrete Einladung: Wie lange wurde das Passwort zum E-Mail-Konto nicht geändert? Gibt es noch Dienste, bei denen dasselbe Passwort wie anderswo im Einsatz ist? Ist überall 2FA aktiviert?

Wer diese Fragen heute mit einem kritischen Blick beantwortet, schließt eines der häufigsten und vermeidbaren Einfallstore für Angreifer. Das braucht keine Expertise, nur ein paar Minuten und die richtigen Werkzeuge.