Hand aufs Herz: Bei wie vielen eurer Smart-Home-Konten nutzt ihr dasselbe Passwort? Falls ihr dafür kurz überlegen müsst, ist dieser Ratgeber genau für euch geschrieben. Denn euer Passwort entscheidet darüber, ob fremde Hände eure Kameras, Türschlösser und Heizungssteuerungen erreichen.
Wie ernst die Lage ist, zeigt eine einzige Zahl: Ein achtstelliges Passwort aus reinen Kleinbuchstaben halten zwölf Grafikkarten vom Typ RTX 5090 in rund drei Wochen, eine achtstellige PIN sogar in etwa 15 Minuten (Hive Systems, 2025 – The 2025 Hive Systems Password Table). Wer Lampen, Saugroboter und Überwachungskameras mit wiederverwendeten oder kurzen Zugangsdaten betreibt, öffnet Angreifern die Tür ins eigene Wohnzimmer.
Die gute Nachricht: Mit der richtigen Länge, einem Passwort-Manager und Zwei-Faktor-Authentifizierung kippt die Rechnung zu euren Gunsten. Ein zufällig erzeugtes Passwort aus 16 Zeichen mit allen Zeichentypen liegt selbst bei dieser Hardware im Bereich von Billionen Jahren (Hive Systems, 2025 – The 2025 Hive Systems Password Table). Wir zeigen euch in diesem Ratgeber, wie ihr eure Smart-Home-Konten so absichert, dass weder klassische Brute-Force-Angriffe noch KI-gestützte Rechencluster eine realistische Chance haben: Wir ordnen die aktuellen Knackzeiten ein, vergleichen die 2FA-Methoden und geben euch eine Schritt-für-Schritt-Liste an die Hand. Den größeren Rahmen rund um ein sicheres Zuhause liefert euch unser Leitfaden zur Smart-Home-Sicherheit.
Warum schwache Passwörter im Smart Home besonders gefährlich sind
Smart-Home-Geräte hängen permanent am Internet und sammeln sensible Daten: Bewegungsmuster, Videostreams, Anwesenheitszeiten. Die Europäische Agentur für Cybersicherheit (ENISA) nennt schwache, voreingestellte oder leere Passwörter als eines der zentralen Einfallstore und empfiehlt ausdrücklich, Standardpasswörter zu ändern, pro Gerät unterschiedliche Zugangsdaten zu nutzen und Zwei- oder Mehr-Faktor-Authentifizierung zu aktivieren (ENISA, 2020 – Security and Resilience of Smart Home Environments).
Ein einziges geknacktes Konto reicht oft aus. Wer die Zugangsdaten zur Hersteller-Cloud erbeutet, steuert eure Geräte aus der Ferne, liest Kamerabilder mit oder entriegelt das smarte Türschloss. Deshalb gilt für euch die wichtigste Grundregel vorweg: Jedes Konto braucht ein eigenes, langes und zufälliges Passwort.
Wie schnell knacken Angreifer heute ein Passwort?
Brute-Force bezeichnet das systematische Durchprobieren aller möglichen Zeichenkombinationen, bis das Passwort gefunden ist. Die Knackzeit hängt von Länge, Zeichenvielfalt, dem Hash-Verfahren und der Rechenleistung der Angreifer ab. Längere Passwörter mit gemischten Zeichentypen erhöhen den Aufwand um viele Größenordnungen.
Die aktuellen Consumer-Grafikkartengeneration arbeitet beim Passwortknacken bis zu doppelt so schnell wie die Vorgängerkarten (TechSpot, 2025 – GeForce RTX 5090 cracks passwords up to twice as fast as the RTX 4090). KI-Rechencluster mit Tausenden Spezial-GPUs liegen noch einmal um ein Vielfaches darüber (Hive Systems, 2025 – The 2025 Hive Systems Password Table).
| Passwort | Zusammensetzung | Maximale Knackzeit (12x RTX 5090, bcrypt 10) |
|---|---|---|
| 8 Zeichen | nur Kleinbuchstaben | ca. 3 Wochen |
| 8 Ziffern | reine PIN | ca. 15 Minuten |
| 8 Zeichen | alle Zeichentypen | ca. 164 Jahre |
| 16 Zeichen | alle Zeichentypen | im Bereich von Billionen Jahren |
Quelle aller Werte: Hive Systems, 2025 – The 2025 Hive Systems Password Table. Die Zahlen gelten für zufällig erzeugte Passwörter. Wörterbuchwörter, Tastaturmuster oder bereits geleakte Kombinationen fallen deutlich schneller, weil Angreifer diese zuerst durchprobieren.
Was bedeutet das für eure Passwortlänge?
Unser Rat: Setzt auf Länge statt auf Komplexitätsregeln. Das US-amerikanische National Institute of Standards and Technology (NIST) empfiehlt in seiner Richtlinie SP 800-63B, Passwörter bis mindestens 64 Zeichen zuzulassen, auf erzwungene Sonderzeichen-Regeln und regelmäßige Zwangswechsel zu verzichten und Passwörter erst bei konkretem Verdacht auf Kompromittierung zu ändern (NIST, 2024 – SP 800-63B Digital Identity Guidelines). Eine lange Passphrase aus mehreren zufälligen Wörtern ist widerstandsfähiger gegen Brute-Force als ein kurzes, kryptisches Kürzel und bleibt dazu merkbar.
Passwort-Manager: das Fundament für sichere Zugangsdaten
Ein Passwort-Manager ist ein verschlüsselter Tresor, der für jedes Konto ein eigenes, langes Zufallspasswort erzeugt und speichert. Ihr merkt euch nur ein einziges Master-Passwort. Der Manager füllt Anmeldedaten automatisch aus und schützt so vor Wiederverwendung und Phishing.
Ohne Passwort-Manager landet ihr fast zwangsläufig bei wiederverwendeten oder zu kurzen Passwörtern. In unserer Redaktion führt deshalb an einem Passwort-Manager kein Weg vorbei. Drei etablierte Optionen decken die meisten Bedürfnisse ab:
- Bitwarden: quelloffen, mit kostenlosem Tarif und optionalem Self-Hosting.
- 1Password: komfortabel, mit guter Familienverwaltung und Wiederherstellungsoptionen.
- KeePassXC: vollständig lokal und ohne Cloud-Zwang, ideal für maximale Datenkontrolle.
Erzeugt damit für jedes Smart-Home-Konto ein zufälliges Passwort mit mindestens 16 Zeichen. Schützt das Master-Passwort selbst mit einer langen Passphrase und einem zweiten Faktor.
Zwei-Faktor-Authentifizierung: die zweite Verteidigungslinie
Selbst ein langes Passwort kann durch Phishing oder Datenlecks abhandenkommen. Zwei-Faktor-Authentifizierung (2FA) verlangt zusätzlich einen zweiten Nachweis und stoppt Angreifer, die nur das Passwort kennen. Die ENISA zählt Mehr-Faktor-Authentifizierung zu den Kernmaßnahmen für Smart-Home-Umgebungen (ENISA, 2020 – Security and Resilience of Smart Home Environments).
Authenticator-App statt SMS
Nutzt eine Authenticator-App wie Aegis, Google Authenticator oder Authy, die zeitbasierte Einmalcodes (TOTP) direkt auf eurem Gerät erzeugt. Codes per SMS sind die schwächste 2FA-Variante, weil sie sich per SIM-Swapping abgreifen lassen: Angreifer übernehmen über euren Mobilfunkanbieter eure Rufnummer und empfangen die Codes selbst (efani, 2024 – How SIM Swaps Bypass 2FA). Ein TOTP-Code verlässt euer Smartphone nicht und ist gegen diesen Angriff geschützt.
FIDO2-Hardware-Keys als stärkste Stufe
Den höchsten Schutz bieten FIDO2-Hardware-Keys, kleine USB- oder NFC-Sticks wie YubiKey oder Nitrokey. Sie bestätigen die Anmeldung kryptografisch und prüfen dabei die echte Domain. Damit sind sie phishing-resistent und lassen sich weder per SIM-Swapping noch per gefälschter Login-Seite umleiten (WWPass, 2024 – Cyber Essentials MFA: Replace Weak 2FA with Phishing-Resistant Authentication). Sichert damit zumindest eure wichtigsten Konten ab: die Hersteller-Cloud eures Smart-Home-Hubs, euer E-Mail-Konto und den Passwort-Manager.
Schutzmaßnahmen in der richtigen Reihenfolge
- Ändert sofort alle Standardpasswörter eurer Smart-Home-Geräte und Apps (ENISA, 2020 – Security and Resilience of Smart Home Environments).
- Installiert einen Passwort-Manager (Bitwarden, 1Password oder KeePassXC) und sichert ihn mit einer langen Master-Passphrase.
- Erzeugt für jedes Konto ein eigenes Zufallspasswort mit mindestens 16 Zeichen.
- Aktiviert 2FA überall, wo es angeboten wird, und bevorzugt eine Authenticator-App gegenüber SMS.
- Schützt eure wichtigsten Konten zusätzlich mit einem FIDO2-Hardware-Key.
- Prüft regelmäßig über einen Dienst wie Have I Been Pwned, ob eure Zugangsdaten in einem Datenleck aufgetaucht sind, und tauscht betroffene Passwörter aus.
- Trennt eure IoT-Geräte über ein eigenes WLAN oder VLAN vom restlichen Heimnetz (ENISA, 2020 – Security and Resilience of Smart Home Environments).
Kriterien für ein sicheres Smart-Home-Passwort
| Kriterium | Worauf achten | Warum wichtig |
|---|---|---|
| Länge | mindestens 16 Zeichen | jedes zusätzliche Zeichen vervielfacht die Knackzeit |
| Einzigartigkeit | pro Konto ein eigenes Passwort | ein Datenleck kompromittiert dann nur ein Konto |
| Zufälligkeit | per Passwort-Manager erzeugt | verhindert vorhersehbare Muster und Wörterbuchtreffer |
| Zweiter Faktor | App-TOTP oder FIDO2-Key | schützt selbst bei geleaktem Passwort |
Kurzempfehlung
- Nutzt einen Passwort-Manager und erzeugt pro Konto ein Zufallspasswort mit 16 Zeichen oder mehr.
- Ändert alle Standardpasswörter eurer Geräte direkt nach der Einrichtung.
- Aktiviert 2FA per Authenticator-App und verzichtet auf SMS-Codes.
- Sichert E-Mail, Passwort-Manager und Smart-Home-Cloud mit einem FIDO2-Hardware-Key.
- Prüft eure Konten regelmäßig auf Datenlecks und tauscht betroffene Passwörter aus.
FAQ
Wie lang sollte ein sicheres Passwort im Smart Home sein? Setzt auf mindestens 16 zufällige Zeichen mit allen Zeichentypen. Ein solches Passwort liegt bei aktueller Consumer-Hardware im Bereich von Billionen Jahren Knackzeit, während acht Kleinbuchstaben in etwa drei Wochen fallen (Hive Systems, 2025 – The 2025 Hive Systems Password Table).
Kann künstliche Intelligenz mein Passwort knacken? KI-Rechencluster mit Tausenden Spezial-GPUs beschleunigen das Durchprobieren von Kombinationen um ein Vielfaches gegenüber Consumer-Grafikkarten. Gegen ein langes, zufälliges Passwort mit 16 Zeichen bleibt der Aufwand dennoch praktisch unüberwindbar (Hive Systems, 2025 – The 2025 Hive Systems Password Table).
Welche 2FA-Methode ist am sichersten? FIDO2-Hardware-Keys bieten den stärksten Schutz, weil sie phishing-resistent sind und sich nicht umleiten lassen. Authenticator-Apps mit TOTP folgen dahinter. SMS-Codes gelten als schwächste Variante, da sie für SIM-Swapping anfällig sind (WWPass, 2024 – Cyber Essentials MFA).
Was ist SIM-Swapping? Beim SIM-Swapping bringen Angreifer euren Mobilfunkanbieter dazu, eure Rufnummer auf eine eigene SIM-Karte zu übertragen. Danach empfangen sie alle SMS-Codes und umgehen so die SMS-basierte 2FA (efani, 2024 – How SIM Swaps Bypass 2FA).
Muss ich meine Passwörter regelmäßig ändern? Nein. Das NIST rät von erzwungenen periodischen Wechseln ab, weil diese zu schwächeren, vorhersehbaren Passwörtern führen. Ändert ein Passwort nur, wenn es Hinweise auf eine Kompromittierung gibt (NIST, 2024 – SP 800-63B Digital Identity Guidelines).
Welcher Passwort-Manager ist empfehlenswert? Bewährt haben sich Bitwarden, 1Password und KeePassXC. Bitwarden ist quelloffen und kostenlos nutzbar, 1Password punktet mit Komfort, KeePassXC arbeitet vollständig lokal. Wichtig ist ein langes Master-Passwort kombiniert mit einem zweiten Faktor.
Reicht ein starkes Passwort ohne 2FA aus? Nein. Ein langes Passwort schützt gegen Brute-Force, aber nicht gegen Phishing oder Datenlecks. Die ENISA empfiehlt deshalb ausdrücklich zusätzlich Zwei- oder Mehr-Faktor-Authentifizierung für Smart-Home-Umgebungen (ENISA, 2020 – Security and Resilience of Smart Home Environments).
Fazit
Sichere Zugangsdaten sind die Grundlage jeder Smart-Home-Sicherheit. Richtet jetzt einen Passwort-Manager ein, vergebt für jedes Konto ein zufälliges Passwort mit mindestens 16 Zeichen und aktiviert 2FA per App oder FIDO2-Key. Beginnt mit euren kritischen Konten und arbeitet euch Gerät für Gerät durch eure Smart-Home-Landschaft. Wer das einmal eingerichtet hat, schläft mit Blick auf seine vernetzten Geräte deutlich ruhiger.
Smart Home Testberichte, denen du vertrauen kannst und Deals, die sich wirklich lohnen – kostenlos in dein Postfach:
