Ändere dein Passwort-Tag: Wann und warum Passwörter geändert werden sollten

Accounts clever schützen Passwörter ändern aus Prinzip ist die falsche Strategie

31.01.2025 Quelle: dpa 2 min Lesedauer

Anbieter zum Thema

netfiles GmbH

Hyland Software Germany GmbH

Cloudgermany.de GmbH

Am 1. Februar ist „Ändere dein Passwort“-Tag. Ein Gadget-Blog rief ihn 2012 ins Leben. Und er hält sich hartnäckig, obwohl periodisches Ändern längst überholt und das Passwort ein Auslaufmodell ist.

Passwörter sind wichtig, um Accounts zu schützen – für moderne Authentifzierungsverfahren braucht man sie aber nicht mehr. (Bild: THAWEERAT - stock.adobe.com) — Passwörter sind wichtig, um Accounts zu schützen – für moderne Authentifzierungsverfahren braucht man sie aber nicht mehr.
(Bild: THAWEERAT - stock.adobe.com)

Regelmäßig Passwörter ändern, ohne triftigen Grund? Da klingt nach einem Sicherheitsplus, ist es aber nicht. Ein gutes, starkes Passwort, das ausschließlich für eine einzige Anwendung genutzt wird, kann durchaus einige Jahre lang unverändert bleiben. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinem IT-Grundschutz-Kompendium schon länger keine Empfehlung mehr zum regelmäßigen Ändern von Passwörtern.

Passwort ändern am Anfang und bei Gefahr

Natürlich muss aber immer dann eine Änderung her, wenn Unbefugte Kenntnis von einem Passwort erlangt haben – oder der Verdacht besteht. Und: Voreingestellte Passwörter bei Diensten oder Geräten müssen stets erst einmal geändert werden.

Ansonsten führt ein Turnus häufiger Passwortwechsel eher dazu, dass Nutzende entnervt doch wieder einfache, schwache Passwörter wählen - oder schlicht überall auf dasselbe Passwort setzen. Das ist brandgefährlich. Denn im Ernstfall genügt dann ein Leak oder ein erfolgreicher Angriff bei einem Dienst, um ungehindert Zugang zu allen anderen Onlinekonten des Nutzers zu bekommen. Keinesfalls geschehen darf das beim E-Mail-Konto, das meist eine Schlüsselrolle zum Zurücksetzen von Passwörtern bei zahllosen anderen Diensten spielt.

Die Zukunft gehört aber den sogenannten Passkeys. Sie ermöglichen das passwortlose Anmelden, wenn der jeweilige Dienst dies unterstützt. Den Einsatz von Passkeys empfiehlt inzwischen auch das BSI, weil das Verfahren Passwörtern in vielerlei Hinsicht überlegen ist.

Immer noch eines der beliebtesten Passwörter: 123456. Sicherheitstechnisch natürlich ein No-Go! (Bild: Angela Rohde - stock.adobe.com)

So funktioniert das Passkey-Verfahren

Bei den Diensten, die Passkeys anbieten, ist das Verfahren zunächst nur eine Option für den Log-in. Auch normale Passwörter und Zweifaktorauthentifizierung (2FA) lassen sich erst einmal weiter nutzen.

Herzstück der passwortlosen Anmeldung via Passkeys ist ein Krypto-Schlüsselpaar (Public-Key-Kryptographie). Ein privater Schlüssel wird vom Nutzer oder der Nutzerin gespeichert. Der andere, öffentliche Schlüssel liegt beim Dienste-Anbieter. Möchten sich Nutzende bei einem Account einloggen, müssen sie nur das Auslesen ihres privaten Schlüssels durch den Anbieter des jeweiligen Dienstes freigeben – und zwar ganz einfach per Fingerabdruck, Gesichts-Scan oder PIN-Eingabe.

Teils sind Passkeys noch an ein bestimmtes Gerät beziehungsweise Betriebssystem gebunden. Doch inzwischen ist der Weg auch frei dafür, dass sich Passkeys einfach und durchgängig verschlüsselt zwischen verschiedenen Geräten übertragen und synchronisieren lassen.

Vor allem unterstützen inzwischen auch die meisten Passwortmanager Passkeys oder haben dies angekündigt. Für viele Nutzende bedeutet das einen relativ einfachen, fließenden Übergang zwischen den Verfahren.

Wer noch nicht auf das Passkey-Verfahren umsteigen kann, findet in der Bildergalerie noch mehr Methoden, seine Accounts zu schützen:

Bildergalerie

Starke Passwörter nutzen Grundsätzlich muss ein Passwort so komplex sein, dass es nicht leicht zu erraten ist. Gleichzeitig darf ein Passwort aber nicht zu kompliziert sein, damit User in der Lage sind, es mit vertretbarem Aufwand regelmäßig zu verwenden, erklärt das BSI. Als Eselsbrücke helfen etwa selbst ausgedachte Merksätze mit Zahlen und Sonderzeichen: Jeweils die ersten Buchstaben der Wörter ergeben dann beispielsweise das Passwort. (Bild: frei lizenziert ErikaWittlieb / Pixabay)

Passwort-Merkblatt nutzen Weil man sich aber auch nur eine begrenzte Zahl an Sätzen merken kann und ja jedes Passwort einzigartig sein soll, rät das BSI, etwa einfach zu Papier und Stift zu greifen und die sogenannte Passwort-Merkblatt-Strategie anzuwenden. Bei dieser besteht ein erster Teil für alle Passwörter aus immer demselben Merksatz, den man - der Name sagt es - auswendig lernt. Und ein zweiter Passwort-Teil, für jeden Account individuell, wird auf den Merkblatt-Zettel notiert. So kommt jemand Unbefugtes, der an den Zettel gelangt, trotzdem nicht an die Accounts heran. Noch leichter ist es aber, auf einen Passwortmanager zu setzen. (Bild: frei lizenziert Uschi / Pixabay)

Passwortmanager nutzen Passwortmanager leisten beim Erstellen, Speichern und Verwalten komplexer Passwörter wertvolle Dienste. Die meisten Manager lassen sich auf verschiedenen Geräten vom Smartphone bis zum Notebook nutzen und synchronisieren - sogar über Betriebssystem- und Plattformgrenzen hinweg. Das erleichtert es kolossal, durchgängig starke Passwörter und damit für jeden Dienst einzigartige Zugangsdaten zu nutzen. Kostenlos nutzbar ist etwa der Manager Bitwarden. (Bild: frei lizenziert Schluesseldienst / Pixabay)

2FA aktivieren Weil Passwörter durch Phishing und Hacker-Angriffe erbeutet oder durch Datenlecks in fremde Hände gelangen können, rät das BSI, bei Accounts die sogenannte Zweifaktor-Authentisierung (2FA) einzuschalten, wo immer dies möglich ist. Dann muss beim Log-in zusätzlich zum Passwort noch ein Code eingegeben werden. Selbst wer das Passwort erbeutet, gefunden oder erraten haben sollte, kommt dann an dieser Stelle nicht weiter. Erzeugt werden können die zusätzlichen Codes etwa per Smartphone-App. iPhones bringen die Möglichkeit, 2FA-Bestätigungscodes für Log-ins zu generieren, von Haus aus mit. Auf Android-Smartphones muss man eine Extra-App installieren, welche die, auch Einmalpasswörter genannten, Codes zum Einloggen erzeugen kann, etwa die kostenlose Open-Source-App Aegis. (Bild: janews094 - stock.adobe.com)

Bildergalerie mit 5 Bildern

Eine regelmäßige Kontrolle von Passwörtern sichert Zugänge zu Cloud-Diensten ab und geleakte Kennwörter können sofort geändert werden. (Bild: frei lizenziert Tom - Pixabay)

(ID:50304471)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.