Schluss mit Passwortwechsel-Wahnsinn. Warum regelmäßige Wechsel schon längst nicht mehr zeitgemäß sind.
Am 01.02. war mal wieder Ändere-Dein-Passwort-Tag. Jahrelang galt es als felsenfeste Regel der IT-Sicherheit, seine Passwörter regelmäßig zu ändern. Wer das nicht tut, würde fahrlässig handeln. So zumindest die weit verbreitete Annahme. Doch diese Empfehlung gilt schon lange nicht mehr und war rückblickend auch Teil der Sicherheitslücken.
Regelmäßige Passwortwechsel sind zwar gut gemeint, aber schlecht gemacht. AUch das Bundesamt für Sicherheit und INformationstechnik (BSI) hat seine Empfehlung angepasst und rät von regelmäßigen und präventiven Passwortwechseln ab. Solche Wechsel sollen nicht automatisch die Sicherheit erhöhen. Ganz im Gegenteil. Regelmäßige Wechsel laden viel mehr zu unsicheren Verhaltensweisen ein.
Typische Folgen sind wiederkehrende Muster, minimale Abwandlung vom vorherigen Passwort und Notizzettel oder Listen mit Zugangsdaten. Ein Passwort wie “Hier-starkes-Passwort-26!Amazon” mag auf den ersten Blick komplex wirken, ist aber vorhersehbar, vor allem, wenn das selbe Muster für verschiedene Dienste verwendet wird.
Viel mehr sollten Passwörter anlassbezogen geändert werden und nicht regelmäßig. Wir ein neues Gerät in Betrieb genommen? Ändert das Standardpasswort. Besteht der Verdacht, dass das Passwort kompromittiert wurde? Ändere das Passwort. Gab es einen bekannten Sicherheitsvorfall? Ändere das Passwort.
Jetzt sieht die Realität aber so aus, dass wir zu viele Accounts haben, für die wir Passwörter brauchen. Für die meisten sind das nicht nur 10 oder 20 Accounts, sondern 50 oder sogar 100. Genau hier beginnt das Problem. Wie soll man sich so viele Passwörter merken können?
Eine Umfrage des LKQ NRW zeigt, dass rund 26% ein einziges Passwort für mehrere Accounts nutzen. 28% nutzen keine Zwei-Faktor-Authentifizierung. In der breiten Masse sind die Zahlen wahrscheinlich noch viel höher.
Wer Passwort-faul ist und ein Passwort für mehrere Accounts benutzt, sorgt für Kettenreaktionen. Ein gehacktes Passwort, alle Konten gefährdet. Angreifer probieren geleakte Zugangsdaten systematisch bei anderen Plattformen aus und das völlig automatisiert. Das sogenannte Credential Stuffing ist einer der häufigsten Angriffswege überhaupt.
Die Lösung gibt es allerdings bereits. Die Einstiegshürde ist gering und der Komfort hoch. Passwortmanager generieren für jeden Dienst ein eigenes, starkes Passwort, speichern diese verschlüsselt und füllen Login-Felder automatisch aus. Viel Sicherheit und wenig Aufwand. Kein Ausdenken und Merken von Passwörtern mehr.
Wer sich zusätzlich weiter absichern will, führt einen weiteren Faktor ein. Eine Zwei-Faktor-Authentifizierung (2FA) bietet zusätzlichen Schutz, selbst wenn Passwörter kompromittiert werden, denn ohne den zweiten Faktor, bleibt das Konto gesperrt.
So genannte Passkeys gehen noch einen Schritt weiter. Man braucht kein Passwort mehr, kein Tippen und ist gegen Phishing geschützt. Die Anmeldung erfolgt über Gerätebindung und biometrische Merkmale. Dadurch sind Passkeys um einiges sicherer und nutzerfreundlicher und werden nach und nach von mehr großen Plattformen unterstützt.
Der Ändere-dein-Passwort-Tag mag gut gemeint sein, greift aber zu kurz. Sicherheit entsteht nicht durch häufige Passwortwechsel, sondern durch einzigartige Passwörter, technische Unterstützung und zusätzliche Schutzmechanismen. Wer heute noch auf Merklisten, wiederverwendete Passwörter oder regelmäßige Zwangswechsel setzt, handelt nicht vorsichtig, sondern riskiert unnötige Sicherheitslücken.
