Der jährliche Ändere-dein-Passwort-Tag soll für mehr Sicherheit sorgen, doch nach Einschätzung des BSI greift der Ansatz zu kurz. Regelmäßige Passwortwechsel erhöhen die Sicherheit nicht automatisch. Stattdessen empfiehlt die Behörde moderne Authentifizierungsverfahren wie Passkeys und Zwei-Faktor-Authentisierung.
Der Ändere-dein-Passwort-Tag am 1. Februar soll Nutzerinnen und Nutzer daran erinnern, ihre Zugangsdaten regelmäßig zu ändern. Aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist diese pauschale Empfehlung jedoch nicht mehr zeitgemäß. Wiederkehrende Passwortänderungen führen in der Praxis häufig dazu, dass schwache oder leicht vorhersehbare Kennwörter verwendet werden – und damit genau das Gegenteil des gewünschten Effekts eintreten kann.
Starke und einzigartige Passwörter im Fokus
Nach Einschätzung des BSI verfügen viele Menschen heute über eine Vielzahl digitaler Benutzerkonten, etwa bei Onlinehändlern, sozialen Netzwerken oder E-Mail-Diensten. In diesen Konten sind oftmals sensible personenbezogene Daten hinterlegt, die es vor unbefugtem Zugriff zu schützen gilt.
Karin Wilhelm, Expertin für Verbraucherschutz beim BSI, erklärt: „Die meisten Menschen haben zahlreiche Benutzerkonten – etwa in Onlineshops, sozialen Netzwerken und bei E-Mail-Anbietern. Viele dieser Konten enthalten sensible Daten wie beispielsweise Klarnamen, Adressen oder Kreditkarteninformationen. Daher gilt es, sie vor Fremdzugriffen zu schützen. Ein routinemäßiger Passwortwechsel aber erhöht die Sicherheit nicht automatisch. Wichtiger ist, dass ein Passwort stark und einzigartig ist. Außerdem sollte es durch einen zweiten Faktor ergänzt oder durch einen Passkey ersetzt werden.“
Ein zentrales Sicherheitsprinzip ist dabei die Einzigartigkeit von Passwörtern. Für jedes Benutzerkonto sollte ein eigenes Kennwort verwendet werden, um zu verhindern, dass ein einzelnes kompromittiertes Passwort gleich mehrere Konten gefährdet. Passwortmanager können Nutzerinnen und Nutzer dabei unterstützen, komplexe und individuelle Passwörter zu erstellen und zu verwalten.
Zwei-Faktor-Authentisierung als zusätzliche Schutzebene
Auch starke Passwörter bieten keinen vollständigen Schutz vor Angriffen. Deshalb empfiehlt das BSI ergänzend die Aktivierung einer Zwei-Faktor-Authentisierung. Dabei wird neben dem Passwort ein weiterer Faktor abgefragt, beispielsweise ein zeitlich begrenzter Code aus einer Authenticator-App auf dem Smartphone. Diese zusätzliche Hürde erschwert es Angreifenden erheblich, auf Benutzerkonten zuzugreifen – selbst dann, wenn ihnen das Passwort bekannt ist.
Passkeys als moderne Alternative
Darüber hinaus verweist das BSI auf Passkeys als zeitgemäße Alternative zu klassischen Passwörtern. Diese basieren auf kryptografischen Verfahren und ermöglichen eine sichere Authentifizierung, häufig unterstützt durch biometrische Merkmale. Da Passwörter dabei vollständig entfallen, können sie weder ausgespäht noch weiterverwendet werden.
Statt den Ändere-dein-Passwort-Tag für einen pauschalen Passwortwechsel zu nutzen, rät das BSI daher, bestehende Konten zu überprüfen. Im Fokus sollte stehen, wo sich Passkeys bereits einsetzen lassen und bei welchen Diensten die Zwei-Faktor-Authentisierung aktiviert werden kann.
Hier finden Sie weitere Informationen zum BSI.