Alphanumerische Zeichen: Definition, kryptografische Anwendung, Sicherheit
Zweiundsechzig. Das ist die Gesamtzahl der verfügbaren Symbole, wenn man sagt: „Nur alphanumerische Zeichen verwenden.“ Sechsundzwanzig Großbuchstaben, sechsundzwanzig Kleinbuchstaben, zehn Ziffern. Lässt man die Groß-/Kleinschreibung außer Acht, reduziert sich die Anzahl auf sechsunddreißig. Beide Zahlen sind wichtig, denn nahezu jede digitale Kennung, die Sie jemals eingegeben haben – eine Wallet-Adresse, ein WLAN-Passwort, ein Transaktions-Hash, ein GitHub-Token – besteht aus einer ausgewählten Teilmenge dieser zweiundsechzig Symbole.
Die Wahl der richtigen Teilmenge und deren Begründung wird in den meisten Erklärungen ausgelassen. Dabei ist sie der entscheidende Faktor für die praktische Sicherheit Ihrer Krypto-Wallet. Dieser Artikel erläutert die Zählung, den zugrunde liegenden Standard, die Auswahl von Teilmengen in der modernen Kryptographie und die aktuellen Empfehlungen der US-amerikanischen Passwortbehörde. Einige dieser Empfehlungen wurden in einer Weise geändert, die in den meisten Sicherheitsratgebern noch nicht berücksichtigt wurde.
Was ist ein alphanumerisches Zeichen? Definition und Anzahl
Beginnen wir mit der Definition. Ein alphanumerisches Zeichen ist jeder Buchstabe von A bis Z (Groß- und Kleinschreibung egal) oder jede Dezimalziffer von 0 bis 9. Das ist alles. Die Rechnung ist dann ganz einfach: 26 Buchstaben pro Groß- und Kleinschreibung plus zehn Ziffern ergeben 62 verschiedene Zeichen mit Groß- und Kleinschreibung und 36 ohne. Alles andere ist „speziell“. Satzzeichen, Leerzeichen, mathematische Symbole, Akzentbuchstaben, Emojis – all das zählt nicht zu den alphanumerischen Zeichen.
Ingenieure erfüllen die Definition üblicherweise durch eine von zwei Kurzformen. POSIX-Tools wie grep, sed und awk erkennen `[:alnum:]`, was den oben genannten 62 Zeichen entspricht. Die meisten modernen Regex-Varianten – Python, JavaScript, Java, PCRE – verwenden stattdessen `\w`. Der Haken an `\w` ist, dass es den Unterstrich einfügt. Der Unterstrich ist formal kein alphanumerisches Zeichen. Die meisten Programmiersyntaxen behandeln ihn als Ehrenzeichen, weshalb die Stripe-Schlüsselpräfixe `sk_live_` und die AWS-Schlüsselpräfixe `AKIA` Unterstriche, Großbuchstaben und Ziffern mischen, ohne dass es jemandem auffällt.
Woher stammt der Begriff? Ausgerechnet von Lochkarten. IBM-Tabelliermaschinen der 1930er-Jahre benötigten ein einzelnes Wort für Codes, die Buchstaben und Zahlen mischten, und „alphanumerisch“ setzte sich durch. Mit der IBM 1401 Anfang der 1960er-Jahre gehörte der Begriff zum Standardvokabular der Geschäftsinformatik. Diese Unterscheidung hatte in der Praxis Gewicht: Ein als „alphanumerisch“ deklariertes Feld akzeptierte beliebige Buchstaben und Ziffern; ein rein numerisches Feld lehnte das Alphabet kategorisch ab. Von dort aus fand der Begriff Eingang in Kfz-Kennzeichen, IBAN-Bankcodes, Telefontastatur-Mnemoniken, Produkt-SKUs und unzählige andere Bereiche.
Die Unterscheidung zwischen Groß- und Kleinschreibung ist wichtiger als man denkt. Die Passwort-Entropie verdoppelt sich, wenn Großbuchstaben erlaubt sind. Bitcoin-Base58-Adressen berücksichtigen Groß- und Kleinschreibung bewusst. Bech32 hingegen ignoriert sie absichtlich. Jede dieser Entscheidungen ist ein Kompromiss zwischen Ausdrucksstärke und menschlichem Fehlerrisiko. Trifft man die falsche Wahl, verlieren Nutzer Geld durch Tippfehler.
Von ASCII zu Unicode: Eine kurze technische Geschichte
Das „Alphanumerische“ ist heute der Überlebende eines sechzig Jahre andauernden Normenkrieges. Die meisten Nutzer gerieten dabei irgendwo zwischen die Fronten und bemerkten es nie.
ASCII war zuerst da. Es wurde 1963 von der American Standards Association veröffentlicht und fünf Jahre später als ANSI X3.4-1968 formalisiert. Zwei Überarbeitungen folgten – eine 1977, die andere 1986. In der Version von 1968 lag der Wert des Großbuchstabens A bei 65, der des Kleinbuchstabens a bei 97 und die der Ziffern 0–9 bei 48 bis 57. Öffnen Sie jetzt Ihren Editor: Das Byte „A“ hat immer noch den Wert 65. In sechzig Jahren hat sich nichts geändert.
Rund vier Jahrzehnte lang war der ASCII-Zeichensatz der einzige alphanumerische Zeichensatz. Dann kam das Internet. Sieben Bits reichten nicht mehr aus. Die Folgen waren gravierend: Verstümmelte E-Mails, defekte Datenbanken und japanische Websites, die in Tokio einwandfrei funktionierten, auf einem US-Laptop aber wie eine Wand aus Fragezeichen aussahen. Unicode erschien 1991 mit einem ehrgeizigen Ziel: Jedem Zeichen in jeder jemals geschriebenen Schrift eine eindeutige Nummer zuzuweisen. UTF-8 folgte 1992 als die Kodierung, die Unicode tatsächlich durch herkömmliche Netzwerke transportierte. Ihr Clou war die Abwärtskompatibilität: Die ersten 128 Codepunkte von UTF-8 entsprechen exakt den ursprünglichen 1968 ASCII-Bytes. Englische Texte, die vor 1991 versendet wurden, funktionierten somit dauerhaft.
Der Durchbruch gelang im Dezember 2007. In diesem Monat zeigten öffentliche Web-Crawling-Statistiken, dass UTF-8 ASCII als gängigste Online-Kodierung abgelöst hatte. Von da an bezeichnete „alphanumerisch“ nicht mehr ausschließlich die 62 ASCII-Zeichen. Unicode katalogisiert nun alphanumerische Blöcke für Kyrillisch, Griechisch, Arabisch, Hebräisch und die CJK-Schriften. Jede Schrift verfügt über eigene Buchstaben und Ziffern.
In der Praxis verwendet Software, die grenzüberschreitend arbeiten muss, jedoch weiterhin standardmäßig den ursprünglichen ASCII-Zeichensatz: Lateinische Buchstaben A–Z, arabische Ziffern 0–9 – sonst nichts. Der Grund dafür ist einleuchtend: Jede Tastatur erzeugt ASCII-Zeichen. Jede Datenbank akzeptiert es. Jede Regex-Engine kennt es. Verlässt man diesen Bereich, riskiert man eine Vielzahl von Kodierungsfehlern, ähnlich aussehenden Zeichen und Phishing-Angriffen, auf die ich später noch eingehen werde.
| Klasse | Mitglieder | Zählen | Regex-Kurzform | Beispiel | |
|---|---|---|---|---|---|
| Alphabetisch | A–Z, a–z | 52 | `[A-Za-z]` | Einfaches englisches Wort | |
| Numerisch | 0–9 | 10 | `[0-9]` oder `\d` | Ein Jahr, eine Postleitzahl | |
| Alphanumerisch | A–Z, a–z, 0–9 | 62 | `[A-Za-z0-9]` oder `[:alnum:]` | API-Schlüssel, SKU | |
| Besonderes / symbolisches | `!@#$%^&*()_+-=[]{};:'"\ | ,.<>/?` | ~33 (ASCII) | `[^A-Za-z0-9]` | Passwortmodifikator |
Alphanumerische Zeichen in der Kryptographie: Adressen, Hashes, Seeds
Hier kommt der Punkt, den die meisten allgemeinen Erklärungen auslassen. Kryptowährungssysteme verwenden nie den vollständigen alphanumerischen Zeichensatz mit 62 Zeichen. Sie wählen sorgfältig ausgewählte Teilmengen . Jede einzelne ist ein dokumentierter technischer Kompromiss, keine willkürliche ästhetische Entscheidung.
Bitcoin zuerst. Eine herkömmliche Bitcoin-Adresse (die mit 1 oder 3 beginnt) ist in Base58 kodiert. Das Alphabet wurde von Satoshi Nakamoto per Hand entworfen. Rezept: Man nehme die 62 Zeichen des alphanumerischen Zeichensatzes und streiche vier davon. Wegfallen sind die Ziffer Null, das große O, das große I und das kleine l. Warum gerade diese vier? Schreiben Sie sie in unleserlicher Handschrift auf einen Post-it-Zettel. Gehen Sie weg. Kommen Sie in fünf Minuten wieder. Versuchen Sie, sie zu unterscheiden. Sie werden es nicht schaffen. Genau dieses Problem sollte Base58 lösen. Es bleiben 58 Zeichen übrig. Eine typische herkömmliche Adresse ist 26 bis 35 Zeichen lang – kurz genug, um sie notfalls per Hand abzuschreiben.
SegWit wurde im August 2017 aktiviert. Damit einher ging ein zweites Bitcoin-Adressformat: Bech32, definiert in BIP-173. Bech32 geht andere Wege. Die Groß-/Kleinschreibung wird nicht mehr beachtet – alle Adressen sind kleingeschrieben. Vier Zeichen werden weggelassen: die Ziffer 1 sowie b, i und o. Die verbleibenden 32 Buchstaben und Ziffern enthalten eine integrierte Prüfsumme. Diese Prüfsumme erkennt fast jeden einzelnen Tippfehler automatisch. Taproot, seit November 2021 aktiv, verfeinerte das Format zu Bech32m (BIP-350), nachdem Forscher einen seltenen Fehler in der ursprünglichen Berechnung entdeckt hatten.
Ethereum wählte einen dritten Weg: die Verwendung von Hexadezimalcode. Eine Ethereum-Adresse besteht aus `0x` gefolgt von genau vierzig Hexadezimalzeichen; insgesamt also zweiundvierzig Zeichen. Hexadezimalcode reduziert die alphanumerischen Zeichen auf sechzehn Elemente: die Ziffern 0–9 und die Buchstaben a–f. Diese Wahl erschien 2015 elegant. Doch nach Jahren, in denen Nutzer in MetaMask mühsam die unleserlichen Hexadezimalcodes entziffern mussten, wirkt das Ganze unübersichtlich. EIP-55 brachte die Lösung: Bestimmte Buchstaben werden nach einem Muster, das aus einem Keccak-256-Hash der kleingeschriebenen Adresse abgeleitet wird, in Großbuchstaben umgewandelt. Das Ergebnis ist eine automatische Tippfehlererkennung. EIP-55 erkennt Tippfehler mit einer Zuverlässigkeit von rund 99,975 Prozent. Die Fehlerrate liegt bei etwa 0,0247 Prozent. Gering. Aber nicht null.
Hashes sind der einfachste Fall. Ein SHA-256-Hashwert ist 256 Bit lang und wird als 64 Hexadezimalzeichen dargestellt. Der Keccak-256-Hashwert von Ethereum ist identisch lang. Eine Bitcoin-Transaktions-ID (txid) ist der SHA-256-Hashwert der Transaktion selbst und besteht daher ebenfalls aus 64 alphanumerischen Hexadezimalzeichen. Auf einem Block-Explorer wirken sie kompliziert. Sie sind jedoch rein alphanumerisch.
Seed-Phrasen durchbrechen dieses Muster. Die Wallet-Wiederherstellung nach BIP-39 ist der einzige Bereich, in dem Kryptowährungen die alphanumerische Ebene verlassen und wieder rein alphabetisch arbeiten. Der Standard kodiert 128 oder 256 Bit Entropie als zwölf oder vierundzwanzig englische Wörter aus einer festen Liste von 2.048 Wörtern. Jedes Wort besteht ausschließlich aus Kleinbuchstaben – keine Ziffern, keine gemischte Groß- und Kleinschreibung. Warum? Weil die Zielgruppe eine Person ist, die nachts um 3 Uhr Wörter auf Papier schreibt, nachdem ihr Handy ausgegangen ist, und Ziffern eine Mehrdeutigkeit erzeugen, die Buchstaben nicht aufweisen.
| Kennung | Zeichensatz | Länge | Beispiel (gekürzt) |
|---|---|---|---|
| Bitcoin-Legacy-Adresse | Base58 (58 Zeichen, keine 0/O/I/l) | 26–35 | `1A1zP1eP5QGefi2…` |
| Bitcoin Bech32 (SegWit) | 32 Kleinbuchstaben, kein 1/b/i/o | ~42 | `bc1qar0srrr7xfk…` |
| Ethereum-Adresse | hex (0–9, a–f) + `0x` | 42 | `0xde0B295669a91…` |
| SHA-256 / txid | verhexen | 64 | `e3b0c44298fc1c1…` |
| BIP-39 Wort | nur a–z | 3–8 pro Wort | `Aufgabefähigkeit in der Lage…` |
Jede Teilmenge ist ein Stück nutzerzentriertes Design, das sich in einem hochtechnischen System verbirgt.
Alphanumerische Passwörter: Was das NIST im Jahr 2024 tatsächlich sagt
Die meisten Passworttipps im Internet sind mehrere Jahre alt. Groß- und Kleinschreibung, Zahlen, mindestens ein Sonderzeichen, alle 90 Tage ändern – diese Regeln galten zwei Jahrzehnte lang. Das US-amerikanische Nationale Institut für Standards und Technologie (NIST) hat sich offiziell davon distanziert.
Die NIST-Sonderveröffentlichung 800-63B, die maßgebliche Richtlinie der US-Bundesregierung für digitale Identität, wurde im September 2024 in ihrer vierten Fassung veröffentlicht. Die neue Richtlinie zeichnet sich durch zahlreiche Änderungen aus. Die empfohlene Mindestlänge für Passwörter zur Ein-Faktor-Authentifizierung wurde auf 15 Zeichen erhöht. Die Vorgabe zu den Regeln für die Zeichenzusammensetzung lautet nun: Dienste dürfen keine spezifischen Zeichenklassen mehr vorschreiben. Auch die unbeliebte periodische Passwortablaufregel von 90 Tagen wurde abgeschafft. Stattdessen verpflichtet das NIST Dienste nun dazu, übermittelte Passwörter anhand einer Sperrliste bekanntermaßen kompromittierter Zugangsdaten zu überprüfen.
Diese Verschiebung lässt sich mathematisch durch die Entropie rechtfertigen. Ein alphanumerischer Zeichenpool von 62 Zeichen erzeugt etwa 5,95 Bit pro Zeichen. Der vollständige druckbare ASCII-Zeichenpool von 95 Zeichen – alphanumerische Zeichen plus Sonderzeichen – erzeugt 6,57 Bit. Durch Hinzufügen aller Sonderzeichen werden 0,62 Bit pro Zeichen gewonnen. Ein weiteres Zeichen der Länge n bringt die vollen 5,95 Bit. Die Länge dominiert die Komplexität um eine Größenordnung.
Laut dem Verizon-Bericht zu Datenpannen 2025 sind Zugangsdaten in 22 Prozent aller bestätigten Fälle von Datenlecks die Ursache. Credential Stuffing – die automatisierte Wiederverwendung geleakter Passwortlisten – macht im Median 19 Prozent aller Authentifizierungsversuche aus, mit Spitzenwerten von 44 Prozent. 49 Prozent der Nutzer verwenden Passwörter für verschiedene Dienste. Die Einführung der Großschreibung löst keines dieser Probleme.
Ein längeres alphanumerisches Passwort ohne Sonderzeichen ist schwerer zu knacken als ein kurzes, das lediglich eine Komplexitätsliste erfüllt. Wenn Ihre Bank Sie weiterhin dazu zwingt, ein zwölfstelliges Passwort mit einem Großbuchstaben, einer Ziffer und einem Sonderzeichen zu erstellen, entspricht diese Vorgehensweise nun nicht mehr dem US-amerikanischen Bundesstandard.
Wo sonst alphanumerische Zeichen erscheinen
Abseits der Kryptographie tauchen Passwörter und alphanumerische Zeichenketten immer noch überall dort auf, wo ein System eine Kennung benötigt, die Menschen eingeben und Computer ohne Mehrdeutigkeit analysieren können.
Bankleitzahlen sind ein einfaches Beispiel. Eine IBAN kann bis zu 34 alphanumerische Zeichen lang sein und beginnt immer mit einem zweistelligen ISO-Ländercode. SWIFT/BIC-Codes bestehen aus acht oder elf Zeichen. Kfz-Kennzeichen unterscheiden sich je nach Land – ein britisches Kennzeichen ist ganz anders als ein deutsches –, aber beide sind alphanumerische Untergruppen desselben 62-stelligen Zeichenpools. Fahrzeugidentifikationsnummern (FIN) haben weltweit genau 17 Zeichen, und die Buchstaben I, O und Q werden bewusst ausgeschlossen, um sie optisch von den Ziffern zu unterscheiden.
API-Schlüssel sind alltägliche Beispiele, die den meisten Nutzern nie Beachtung schenken. Ein Stripe-Live-Schlüssel öffnet sich mit `sk_live_` und einem alphanumerischen Token. Ein AWS-Zugriffsschlüssel öffnet sich mit `AKIA` und sechzehn alphanumerischen Zeichen. Ein GitHub-Zugriffstoken, das nach 2021 ausgestellt wurde, öffnet sich mit `ghp_`. Diese Präfixe sind selbst alphanumerisch und wurden so gewählt, damit Anbieter öffentliche Repositories und Protokolle nach durchgesickerten Schlüsseln durchsuchen können. In vielen Fällen entdeckt diese Suche einen Fehler, bevor ein Angreifer ihn bemerkt.
QR-Codes verdienen eine kurze Erwähnung. Der ISO/IEC-18004-Standard definiert einen speziellen „alphanumerischen Modus“, der einen bestimmten Zeichensatz von 45 Zeichen – Großbuchstaben, Ziffern, Leerzeichen und einige wenige Satzzeichen – effizienter kodiert als der allgemeine Byte-Modus. Ein QR-Code, der ausschließlich alphanumerische Zeichen in Großbuchstaben enthält, speichert etwa 1,6-mal mehr Daten pro Quadrat als derselbe Inhalt, der als Rohbytes kodiert ist.
Base32, Base58, Base64: Wenn Krypto eine Teilmenge auswählt
Es existieren einige Kodierungsstandards, die speziell für die Abbildung von Binärdaten auf eine alphanumerische Teilmenge dienen. Als Referenz dient RFC 4648, veröffentlicht von der IETF im Jahr 2006. Darin werden drei Kodierungen definiert.
Hexadezimal ist die einfachste Form der Datenkodierung. Offiziell Base16. Sechzehn Zeichen: 0–9, a–f. Wird für Ethereum-Adressen, kryptografische Hashes und nahezu jede Low-Level-Fehlerbehebung verwendet, bei der Rohdaten gelesen werden müssen. Base32 ist die interessantere Variante. Das 32-stellige Alphabet wurde gewählt, um Groß- und Kleinschreibung zu ignorieren und in einigen Varianten die optisch leicht zu verwechselnden Ziffern 0, 1, 8 und 9 wegzulassen. Jeder, der die Zwei-Faktor-Authentifizierung eingerichtet und ein Geheimnis in Google Authenticator eingegeben hat, hat Base32 verwendet – meist unbewusst.
Base64 ist der Standard. Er besteht aus 62 alphanumerischen Zeichen und den beiden Symbolen `+` und `/`. Eine URL-sichere Variante verwendet stattdessen `-` und `_`. Base64 wird für E-Mail-Anhänge, die Kodierung von Daten-URLs in HTML und die Verpackung von JSON Web Tokens für OAuth verwendet.
Bitcoins Base58 liegt außerhalb von RFC 4648. Satoshi Nakamoto entwickelte es unabhängig. Das Ziel war ein anderes: Menschen sollten Adressen eintippen können, nicht die Effizienz der Byte-pro-Zeichen-Speicherung. Das Ergebnis war ein eigenes Alphabet, das sonst niemand verwendet. Base85, manchmal auch ASCII85 genannt, funktioniert genau umgekehrt. Es komprimiert vier Bytes auf fünf Zeichen und findet sich in PDF- und PostScript-Dateien, wo die höhere Speicherdichte den Lesbarkeitsverlust rechtfertigt.
Häufige Fehlerquellen: Visuelle Verwechslungen und Doppelgänger
Aus denselben Gründen, aus denen Kryptographen Teilmengen alphanumerischer Zeichen auswählen, passieren auch im Alltag Fehler. Eine Handvoll Zeichenpaare verursacht die meisten Probleme.
Die klassischen Verwechslungsgefahr: Null und Großbuchstabe O. Ziffer Eins, Kleinbuchstabe l, Großbuchstabe I. Kleinbuchstabe l und Großbuchstabe I. Bitcoin Base58 lässt alle vier deshalb weg. Andere Systeme verwenden andere Schutzmechanismen – Fahrzeugidentifikationsnummern (FIN) lassen I, O und Q weg, manche Finanzcodes lassen O komplett weg, und es gibt nationale Kfz-Kennzeichenvorschriften, die den Buchstaben verbieten, der in der jeweiligen Landesschrift einer Null am ähnlichsten sieht.
Ein kniffligeres und neueres Problem sind Unicode-Homographenangriffe. Die Idee wurde 2001 in einer Veröffentlichung von Evgeniy Gabrilovich und Alex Gontmakher dokumentiert. Ein Homograph tauscht ein optisch identisches Zeichen aus einer anderen Schrift aus – beispielsweise das kyrillische „а“ (U+0430) anstelle des lateinischen „a“ (U+0061). Registriert man eine Domain mit dieser Ersetzung, kann man eine Phishing-Seite hosten, die von der echten Bankseite nicht zu unterscheiden ist. Moderne Browser zeigen die rohe Punycode-Darstellung an – etwa `xn--80akhbyknj4f` –, sobald eine Domain verschiedene Schriftsysteme mischt. Dieser Schutz fängt die meisten Angriffe ab. Aber nicht alle.
Wie man ein sicheres alphanumerisches Passwort in 2026 erstellt
Drei Regeln. Alle drei sind direkt aus den mathematischen Berechnungen des NIST abgeleitet.
Erstens: Die Länge ist wichtiger als die Zeichenklasse. Streben Sie mindestens sechzehn Zeichen an. Diese Regel gilt unabhängig davon, ob das System nur Buchstaben und Ziffern oder den gesamten druckbaren ASCII-Zeichensatz akzeptiert.
Zweitens: Wenn Sie sich das Passwort merken müssen, verwenden Sie eine Passphrase. Vier zufällige Wörter aus einer großen Liste – die Diceware-Liste ist hierfür die beste Wahl – sind deutlich sicherer als fast jedes kurze Passwort, das sich ein Mensch ausdenkt.
Drittens: Verwenden Sie für alles andere einen Passwortmanager. Lassen Sie den Manager lange alphanumerische Zeichenketten generieren, die Sie nie wieder manuell lesen oder eintippen müssen. Sobald ein Manager die Ausgabe verarbeitet, spielt die Lesbarkeit der Ausgabe keine Rolle mehr.
Kurzübersicht: Alphanumerische Zählungen und Beispiele
62 Zeichen mit Groß-/Kleinschreibung. 36 ohne. ASCII-Codes 48–57 für Ziffern, 65–90 für Großbuchstaben und 97–122 für Kleinbuchstaben. Der gesamte Zeichensatz lässt sich mit dem regulären Ausdruck `[A-Za-z0-9]` oder der POSIX-Klasse `[:alnum:]` abgleichen. Dieser Pool von 62 Zeichen bildet die Grundlage für nahezu alle digitalen Kennungen, mit denen Sie diese Woche arbeiten werden. Passwörter. API-Schlüssel. IBANs. Kfz-Kennzeichen. Transaktions-IDs. Jede Wallet-Adresse, die Sie generieren.
