Stell dir vor, es ist mitten in der Nacht und plötzlich spielt dein Smart Speaker volle Lautstärke Musik ab. Die Lichter blinken wie verrückt, und deine Heizung dreht von selbst auf Maximum. Du denkst erst an einen technischen Fehler – doch dann merkst du: Jemand Fremdes hat die Kontrolle über dein Smart Home übernommen!

Zum Aktivieren des Videos musst Du auf das Bild klicken. Ich möchte Dich darauf hinweisen, dass durch die Aktivierung Daten an YouTube übermittelt werden.

Was nach einem Horrorszenario klingt, ist gar nicht mal so abwegig. Im Home Assistant Forum berichten Nutzer von ihren Erlebnissen:

• Ein Nutzer berichtet 2018, dass sein System unautorisiert das Licht steuert – er hatte Home Assistant mit offenem HTTP-Port und ohne Passwort laufen
• Ein anderer Fall von Januar 2025: Sofortige und massenhafte Login-Attacken direkt nach Öffnung des Standard-Ports 8123

Die erschreckende Realität: Nach aktuellen Studien sind über 80% aller erfolgreichen Cyberattacken auf schwache oder wiederverwendete Passwörter zurückzuführen (Quelle: World Economic Forum/LastPass, 2023). Über Dienste wie Shodan finden Angreifer offene Smart-Home-Instanzen in Sekunden. Das Ergebnis: Jemand verbindet sich mit deiner Home Assistant Installation und spielt dir (im besten Fall) nur solch einen Streich.

Deshalb ist ein sicheres Passwort für Home Assistant absolut entscheidend. Viele verwenden leider immer noch triviale Kennwörter, die sind zwar gut zu merken aber auch kinderleicht zu erraten. Und jetzt kommt das Besondere bei Home Assistant: Es gibt keine voreingestellte Passwort-Policy. Also keine Vorgabe wie lang oder komplex dein Passwort sein muss.

Grober Fehler? Im Gegenteil! Warum das richtig gut ist und warum das perfekte Home Assistant Passwort nicht für jeden gleich ist, das erkläre ich dir jetzt.

Was macht ein gutes Passwort aus?

Vielleicht hast du auch schon genervt mit den Augen gerollt, wenn wieder irgendwo „mindestens 8 Zeichen, ein Großbuchstabe, eine Zahl und noch ein Sonderzeichen" gefordert waren. Viele glauben, dass ein Passwort automatisch sicher ist, nur weil es kompliziert aussieht – aber das stimmt so nicht. Entscheidend ist die sogenannte Entropie – also wie unvorhersehbar und umfangreich die Zeichenkombination ist. Und da gilt: Länge schlägt Komplexität.

Ein langes Passwort mit 20 Zeichen ist z.B. in der Regel deutlich sicherer als ein kurzes mit 8 Zeichen, selbst wenn das kurze alle möglichen Sonderzeichen drin hat. Warum? Weil mit jedem zusätzlichen Zeichen an Länge die Zahl der möglichen Kombinationen exponentiell steigt – und das ist mehr wert als viele unterschiedliche Zeichen.

Beispiel aus der Praxis:

• Home123! erfüllt brav alle Komplexitätsregeln und wirkt auf den ersten Blick „sicher"
• In Wirklichkeit folgen viele genau diesem Muster – Wort mit Großbuchstaben am Anfang, Zahlenfolge 123 und ein Ausrufezeichen am Ende
• Solche Passwörter lassen sich sehr schnell knacken oder durch Wörterbuch-Angriffe erraten
• Für meinhomeasisstantistsuper brauchts Jahre, obwohl das nur Kleinbuchstaben sind

➡️ Teste es selbst: howseecureismypassword.net

Quellen:

• NIST SP 800‑63B (PDF) – Siehe Abschnitt 5.1.1.2: Keine regelmäßige Passwortänderung mehr + Fokus auf Länge statt Komplexität.
• NCSC: Problems forcing regular password expiry – Warnt vor zyklischen Passwortänderungen, da sie zu vorhersehbaren Mustern führen.
• The Guardian: Rejoice! The charade of having to change our passwords every few months is coming to an end – Berichtet über NIST- & NCSC-Richtlinien gegen häufige Passwortwechsel und für Passphrasen.

Das Problem mit Passwort-Richtlinien

Genau diese scheinbar „komplizierten" Passwörter können am Ende unsicher sein, weil sie vorhersehbaren Mustern folgen. Solche “strengen” Passwort-Richtlinien führen dabei sogar oft in die Irre und verleiten Nutzer dazu, Passwörter mehrfach zu verwenden. Hand aufs Herz: Wenn du dich irgendwo durch eine nervige Passwort-Policy quälen musstest, hast du da nicht vielleicht auch einfach dein Standard-Passwort genommen, das alle Kriterien erfüllt?

Du bist nicht allein – die Zahlen sind erschreckend eindeutig:

• 89% wissen, dass Passwort-Wiederverwendung riskant ist, aber nur 12% nutzen für jedes Konto ein einzigartiges Passwort (Quelle: Spacelift, 2025)
• 62% der US-Nutzer geben an, häufig oder immer Passwörter wiederzuverwenden (Quelle: NordPass, April 2025)
• Besonders krass bei Gen Z: 72% wiederholen Passwörter, obwohl 79% das Risiko kennen (Quelle: Bitwarden World Password Day, 2025)
• Selbst nach Datenleaks recyceln 59% der Gen Z ihre Passwörter (Quelle: HelpNetSecurity, Mai 2025)

Das ist eine echte innere Zwickmühle: Wir wissen, was richtig ist, handeln aber aus Bequemlichkeit oder Gewohnheit anders. Fachleute sprechen von einem mentalen Zwiespalt zwischen Wissen und Handeln.

Die bessere Alternative: Passphrases

Die aktuellen Empfehlungen sind eindeutig: Komplexitätszwang ade, es zählt vor allem die Länge und Einzigartigkeit des Passworts.

Heißt im Klartext: Lieber eine lange Passphrase verwenden, die man sich gut merken kann, statt eines kryptischen achtstelligen Kauderwelschs. Vielleicht kennst du den berühmten xkcd-Comic dazu – vier einfache Wörter wie „correct horse battery staple" ergeben zusammen ein nahezu unknackbares Passwort, das man sich trotzdem recht gut merken kann.

Worauf es ankommt:

• Länge
• Zufälligkeit
• Einzigartigkeit

Jede zusätzliche Stelle macht dein Passwort exponentiell stärker. Und natürlich darf es kein bekanntes Wort oder Schema sein – „Passwort123!" ist lang und komplex wirkend, aber trotzdem schnell erraten.

Besonderheiten bei Home Assistant

Kommen wir konkret zu Home Assistant: Welche Rolle spielen Passwörter hier genau? Home Assistant ist deine selbst gehostete Smart-Home-Zentrale. Du richtest Benutzerkonten ein und vergibst Passwörter für den Login ins Web-Frontend und damit den Vollzugriff auf deine mit Home Assistant verbundenen Geräte.

Wichtig: Home Assistant schreibt dir nicht vor, wie diese Passwörter auszusehen haben. Es gibt keine Mindestlänge, keine Sonderzeichen-Pflicht, nichts dergleichen. Und das ist Absicht. Früher gab es mal eine Warnung, wenn das Passwort zu kurz war. Heute gibt es diese Warnmeldungen nicht mehr, die Entwickler haben gemerkt, dass das nicht zielführend ist. Warum?

Die Anforderungen an das Passwort hängen stark vom konkreten Einsatzzweck ab:

• Wenn ich Videos für diesen Kanal mache, bin ich jedes Mal froh, dass ich kein komplexes Passwort vergeben muss für Home Assistant Test-Instanzen
• Jemand, der sein Smart Home niemals im Internet exponiert und auch keine Gäste im Heimnetz hat, kann geringere Anforderungen an das Passwort stellen
• Bei einer Home Assistant Installation, die frei im Internet erreichbar ist, gelten ganz andere Maßstäbe

Bei Home Assistant bist du der Administrator und musst selbst Verantwortung übernehmen. Wenn du dir das nicht zutraust, ist vielleicht ein Passwortmanager die beste Wahl für dich.

In dem Moment, wo dein System online ist, wird es zum potenziellen Ziel für automatisierte Angriffe. Und dann hört der Spaß wirklich auf. Home Assistant hat zwar eine eingebaute Brute-Force-Abwehr (Wikipedia-Artikel): Nach einer gewissen Anzahl falscher Login-Versuche wird die IP-Adresse des Nutzers temporär gesperrt. Das ist hilfreich, aber kein Allheilmittel:

• Viele Angreifer verteilen ihre Versuche einfach auf viele verschiedene IP-Adressen
• Ein schwaches Passwort ist oft schon nach wenigen Versuchen erraten
• Die IP-Sperre schützt dich also nur begrenzt

Zusätzliche Risiken: Selbst bei Home Assistant mit Nabu Casa gab es schon kritische Sicherheitslücken – 2023 wurde eine Schwachstelle (CVE-2023-27482) mit dem höchsten Schweregrad 10/10 bekannt, die einen Authentifizierungs-Bypass ermöglichte.

➡️ Mehr zur Absicherung: Home Assistant absichern: 5 Tipps für mehr Sicherheit

➡️ Warum Portfreigaben problematisch sind: Portfreigaben vermeiden: So geht sicherer Fernzugriff

Fazit

Das perfekte Home Assistant Passwort gibt es nicht – es hängt von deinem Einsatzszenario ab. Aber die Zahlen sprechen eine klare Sprache: Über 80% aller Cyberattacken gelingen durch schwache oder wiederverwendete Passwörter. Gleichzeitig wissen 89% der Menschen um das Risiko, aber nur 12% handeln konsequent.

Wichtig ist:

1. Länge vor Komplexität: Ein langes Passwort ist besser als ein kurzes komplexes
2. Einzigartigkeit: Jedes System bekommt ein eigenes Passwort – keine Ausnahmen!
3. Angemessenheit: Die Sicherheitsanforderungen an dein Setup anpassen
4. Zusatzmaßnahmen: Bei Internet-Zugriff 2FA und sichere Verbindungen nutzen
5. Passwortmanager nutzen: So durchbrichst du den Teufelskreis der Passwort-Wiederverwendung

Die Lösung ist einfach: Eine lange Passphrase oder ein Passwortmanager. Damit gehörst du zu den 12%, die es richtig machen – anstatt zu den 62%, die aus Bequemlichkeit Sicherheitsrisiken eingehen.

Home Assistant macht es richtig, indem es dir die Verantwortung überlässt. Nutze diese Freiheit weise!

Ein Blick in die Zukunft: Die nächste Generation der Authentifizierung sind Passkeys – eine passwortlose Technologie, die auf kryptographischen Schlüsseln basiert und deutlich sicherer als herkömmliche Passwörter ist. Leider unterstützt Home Assistant bislang noch keine Passkeys, aber die Zukunft des Passworts könnte möglicherweise in diese Richtung gehen. Bis dahin bleiben starke, einzigartige Passwörter und 2FA unsere beste Verteidigung.

Hinweis: Die mit bezahlter Link markierten Links sind Affiliate-Links. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Das bedeutet, dass ich eine kleine Provision erhalte, wenn ihr über diese Links einkauft. Für euch entstehen dabei keine zusätzlichen Kosten. Die Einnahmen helfen mir, diesen Blog und meinen YouTube-Kanal zu betreiben und auch in Zukunft Inhalte für euch zu erstellen. Vielen Dank für eure Unterstützung!

― Joachim