Am 1. Februar steht erneut der „Ändere dein Passwort“-Tag im Kalender. Der Termin soll an Kontosicherheit erinnern. Früher passte das besser zu vielen Systemen. Damals schützten viele Dienste Zugänge nur mit Benutzername und Passwort. Regeln für Länge oder Komplexität fehlten oft. Heute ist der pauschale, zeitgesteuerte Passwortwechsel laut gängigen Sicherheitslinien nicht mehr das Ziel.
Inhaltsverzeichnis
- Historische passwortmodelle und ihre grenzen
- Mehrfaktorauthentifizierung mit authenticator und einmalcodes
- Passkeys und unterstützung durch google microsoft apple
- BSI-grundschutz ORP.4.A23 und NIST-regeln
- Wann ein wechsel tatsächlich nötig ist
Historische passwortmodelle und ihre grenzen
Früher war die Lage schlicht. Ein Kennwort genügte. Oft war es kurz. Es war manchmal ein einzelnes Wort. Viele Plattformen ließen einfache Kombinationen zu. Damit stieg das Risiko. Vor allem, wenn ein Passwort mehrfach verwendet wurde. Der jährliche Wechsel sollte als Routine helfen. Mit moderner Angriffstechnik und massenhaft wiederverwendeten Zugangsdaten verliert diese Routine jedoch ihren Nutzen. Hinweise auf aktuelle Bedrohungslagen finden sich auch im Kontext moderner Cyberangriffe.
- fehlende Mindestlängen
- kaum Vorgaben zu Zeichenarten
- seltene Sperren nach Fehlversuchen
- ein Passwort für mehrere Dienste
Mehrfaktorauthentifizierung mit authenticator und einmalcodes
Heute ist Mehrfaktorauthentifizierung verbreitet. Sie ergänzt das Passwort um einen zweiten Faktor. Der zweite Faktor belegt Besitz oder Zugriff. Häufig ist das ein Authenticator. Er liefert zeitbasierte Codes. Solche Apps generieren alle 30 Sekunden einen neuen Zugangscode. Das verringert das Risiko, wenn ein Passwort bekannt wird.
Es gibt weitere Varianten. Einmalcodes per E-Mail zählen dazu. SMS-Codes existieren ebenfalls. Sie gelten als schwächer. Vor SMS-basierten zeitbasierten Einmalpasswörtern warnt der Chaos Computer Club. Damit richtet sich der Blick auf Angriffe, die nicht direkt das Passwort knacken, sondern den Zustellweg ausnutzen. In diesem Zusammenhang spielt auch das Erkennen von Phishing-Mails eine Rolle.
- Authenticator-App mit laufend wechselndem Code
- Einmalcode per E-Mail
- Einmalcode per SMS mit erhöhtem Risiko
Passkeys und unterstützung durch google microsoft apple
Ein weiterer Schritt sind Passkeys. Sie basieren auf zertifikat- bzw. schlüsselgestützter Sicherheit. Nutzer können sich dabei komfortabel anmelden. Biometrie kann eine Rolle spielen. Passkeys ziehen in immer mehr Dienste und Angebote ein. Mehrere große Anbieter sind dabei. Genannt werden Google, Microsoft und Apple.
Auch Passwort-Manager unterstützen Passkeys. Dadurch verschiebt sich ihre Rolle. Sie verwalten nicht nur klassische Passwörter. Sie können Passkeys ebenfalls handhaben. Außerdem können sie diese von einem einzelnen Gerät lösen. So werden sie auf mehreren Geräten nutzbar. Genannt werden PC, Tablet und Smartphone. Weitere technische Einordnung bietet der Blick auf die passwortfreie Zukunft.
- schlüsselbasierte Anmeldung statt reinem Passwort
- häufige Kombination mit biometrischer Authentifizierung
- Nutzung auf mehreren Geräten möglich, auch via Passwort-Manager
BSI-grundschutz ORP.4.A23 und NIST-regeln
Ein erzwungener regelmäßiger Wechsel erreicht oft nicht das Ziel. Viele Betroffene wählen dann Schemata. Dadurch entstehen leicht erratbare Varianten. Ein Beispiel ist ein Grundwort plus Nummer. Genannt wird „Passwort999“. Statt mehr Sicherheit entstehen wiedererkennbare Muster.
Das Bundesamt für Sicherheit in der Informationstechnik ordnet das klar ein. Es verweist darauf, dass Passwortwechsel ein Thema der Vergangenheit sind. Das zeigt sich in den BSI-Grundschutz-Richtlinien. Dort steht unter ORP.4.A23 wörtlich:
„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“
Auch das US-amerikanische National Institute of Standards and Technology setzt auf Anlass statt Routine. Wörtlich heißt es:
„Verifiers (die die Authentifizierung durchführen) und Credential Service Provider (CSPs) DÜRFEN von Abonnenten NICHT verlangen, Passwörter regelmäßig zu ändern. Verifiers MÜSSEN jedoch eine Änderung erzwingen, wenn es Anzeichen dafür gibt, dass die Authentifizierung kompromittiert wurde“.
- Wechsel nur bei validem Grund
- keine reine Zeitsteuerung
- erzwungene Änderung bei kompromittierter Authentifizierung
Wann ein wechsel tatsächlich nötig ist
Die Frage nach dem richtigen Zeitpunkt wird eindeutig beantwortet. Ein Passwort sollte geändert werden, wenn der Verdacht besteht, dass ein Zugang kompromittiert wurde. Dann könnte das Passwort in falsche Hände geraten sein. Der zweite Faktor kann zwar noch schützen. Trotzdem wird ein schneller Wechsel empfohlen. Der Wechsel ist dann dringend anzuraten, wenn ein kompromittierter Zugang wahrscheinlich ist.
In diesem Zusammenhang bleibt der Aktionstag umstritten. Die Hinweise wiederholen sich seit Jahren. Genannt werden Beiträge aus den Jahren 2022 bis 2025. Zum Schluss bleibt eine organisatorische Frage offen. Einen Gedenktag einzuführen ist leicht. Ihn zu beenden, wenn das Thema überholt ist, ist ungeklärt. Der 1. Februar 2026 zeigt, wie stark sich Zugangssicherheit von Passwort-Routinen hin zu Mehrfaktorlösungen und Passkeys verschoben hat.
FAQ
Was ist der „Ändere dein Passwort“-Tag?
Der „Ändere dein Passwort“-Tag findet jedes Jahr am 1. Februar statt und soll auf die Sicherheit von Benutzerkonten und Zugangsdaten aufmerksam machen.
Warum gilt der regelmäßige Passwortwechsel heute als überholt?
Regelmäßige, zeitgesteuerte Passwortwechsel führen laut aktuellen Sicherheitsrichtlinien häufig zu vorhersehbaren Mustern und erhöhen nicht automatisch die Sicherheit.
Welche Rolle spielt die Mehrfaktorauthentifizierung?
Die Mehrfaktorauthentifizierung ergänzt das Passwort um einen zweiten Faktor und reduziert das Risiko unbefugter Zugriffe deutlich.
Warum warnt der Chaos Computer Club vor SMS-Codes?
Der Chaos Computer Club weist darauf hin, dass SMS-basierte Einmalcodes anfällig für Angriffe auf Mobilfunknetze sind.
Was sind Passkeys?
Passkeys sind zertifikats- und schlüsselbasierte Anmeldeverfahren, die häufig mit biometrischer Authentifizierung kombiniert werden.
Welche Unternehmen unterstützen Passkeys?
Große Anbieter wie Google, Microsoft und Apple haben Passkeys in ihre Dienste integriert.
Was empfiehlt das Bundesamt für Sicherheit in der Informationstechnik?
Das BSI empfiehlt Passwortwechsel nur bei einem validen Anlass und rät von rein zeitgesteuerten Wechseln ab.
Wann ist ein Passwortwechsel zwingend erforderlich?
Ein Passwortwechsel ist erforderlich, wenn Anzeichen dafür bestehen, dass ein Zugang kompromittiert wurde oder Zugangsdaten in falsche Hände gelangt sind.
Quelle: HEISE ONLINE