Der Ändere-dein-Passwort-Tag feiert ein großes Missverständnis der IT-Sicherheit: Erzwungene Passwortwechsel sind nicht nur nutzlos – sie machen Systeme angreifbarer. Experten warnen, dass diese veraltete Praxis mehr schadet als nützt.
Immer wieder neue Passwörter? Ein fataler Fehler. Experten warnen: Wer ständig wechselt, wählt unsichere Muster. Stattdessen braucht es andere Schutzmaßnahmen.(Bild: kebox – Adobe Stock)
Anzeige
Wie ist bei Ihnen? Haben Sie in den letzten Wochen und Monaten auch eine Aufforderungen kommen, Ihr Passwort zu wechseln? Möglicherweise erst vor kurzem? Hintergrund ist, dass jedes Jahr am 1. Februar der sogenannte "Ändere-dein-Passwort"-Tag begangen wird. Diesen Aktionstag gibt es seit dem 1. Februar 2012. Angefangen hat er als amerikanischer "Change Your Password Day" (engl.: National Change Your Password Day - oft auch kurz: Change Your Password Day), den damals das amerikanischen Webportal Gizmondo ins Leben gerufen hat. Ursprünglich war er als Sicherheitsmaßnahme gedacht – allerdings gibt es immer mehr kritische Stimmen zu diesem Tag. Denn: Die Aufforderung, Passwörter regelmäßig zu ändern, ist nicht nur überholt, sondern kann unter Umständen die Sicherheit von Benutzerkonten sogar gefährden. Aber warum?
Warum regelmäßige Passwortwechsel problematisch sind
Anzeige
Die Praxis, Passwörter regelmäßig zu ändern, basierte auf der Annahme, dass beispielsweise durch Sicherheitslücken in Datenbanken kompromittierte Passwörter so durch neue ersetzt werden. Doch diese Logik weist gravierende Schwächen auf. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) führt ein solcher Zwang in der Regel dazu, dass Nutzer schwächere Passwörter wählen. Sie greifen dann häufig zu vorhersehbaren Mustern oder minimalen Änderungen, wie der Erhöhung einer Ziffer am Ende des Passworts. Jeder kann an dieser Stelle einmal in sich gehen, ob ihm dieses Szenario bekannt vorkommt.
Kompromittierung besteht. Zudem sollten Nutzer vorhersehbare Muster vermeiden. Beliebt sind etwa
Anzeige
„Passwort1“ statt „Passwort“
„Sommer2024“ → „Sommer2025“
minimale Ziffernänderungen am Ende
Karin Wilhelm, Expertin für Verbraucherschutz beim BSI, fasst das so zusammen: „Die meisten Menschen haben zahlreiche Benutzerkonten – etwa in Onlineshops, sozialen Netzwerken und bei E-Mail-Anbietern. Viele dieser Konten enthalten sensible Daten wie beispielsweise Klarnamen, Adressen oder Kreditkarteninformationen. Daher gilt es, sie vor Fremdzugriffen zu schützen. Ein routinemäßiger Passwortwechsel aber erhöht die Sicherheit nicht automatisch.
Neue Daten 2025: Die Passwortrealität in Deutschland bleibt erschreckend stabil
Top 20 Passwörter im Fußball-Bundesliga-Umfeld (2025)
Position
Passwort
1
[Verein]
2
bertolino
3
Fussball
4
Garmin21
5
jonas131
6
kartoffel1
7
QdlDiLik123
8
rakitic
9
tapete191170
10
Weltfrieden1
11
ballack
12
Rakitic!
13
Meister0809
14
effenberg1
15
arschloch
16
wolfsrudel
17
Aufstieg20!
18
Justin123
19
1234567890!
20
123456!
Anmerkung: Begriffe in eckigen Klammern wie [Password] oder [Verein] sind Platzhalter. Sie ersetzen im Whitepaper anonymisierte Passwörter mit erkennbarem Bezug zu Organisationen oder Orten.
Entwicklung 2025: Stealer-Logs verändern die Bedrohungslage
Die wichtigste neue Erkenntnis des Whitepapers betrifft jedoch eine Entwicklung, die klassische Passwortregeln zunehmend aushebelt: Stealer-Logs statt einzelner Datenpannen. Identeco beobachtet 2025 eine wachsende Verbreitung sogenannter „verwandter Passwörter“, also Varianten desselben Stammworts, zum Beispiel:„HelmuT!rulez“ und „HelmuT@Rulez“. Dieses Muster deutet auf einen neuen Ursprung vieler Leaks hin: Stealer-Malware. Diese Programme lesen lokal gespeicherte Zugangsdaten direkt aus Browsern oder Passwortmanagern aus und kompromittieren damit oft gleich sämtliche Accounts eines Nutzers. In anderen Worten: Selbst ein starkes Passwort schützt nicht mehr, sobald es öffentlich geworden ist.
Moderne Alternativen: Passkeys und Zwei-Faktor-Authentisierung
Anzeige
Statt sich ausschließlich auf Passwörter zu verlassen, empfiehlt das BSI den Einsatz modernerer Sicherheitsmaßnahmen wie Passkeys und der Zwei-Faktor-Authentisierung (2FA). Passkeys ersetzen Passwörter durch biometrische Merkmale oder kryptografische Verfahren und machen so Phishing und ähnliche Angriffe wirkungslos. Die Zwei-Faktor-Authentisierung fügt eine zusätzliche Schutzebene hinzu, indem sie beispielsweise einen Code aus einer Authentifizierungs-App erfordert.
Leitfaden für den Umgang mit Passwörtern
Tipps für sichere Passwörter:
Einzigartigkeit & Wiederverwendungsfreiheit
Verwenden Sie für jeden Dienst ein einzigartiges Passwort.
Wiederverwendung bereits genutzter Passwörter ist ein hohes Risiko.
Lange und komplexe Passwörter
Empfohlen werden mindestens 12–16 Zeichen.
Nutzen Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Keine einfachen oder vorhersehbaren Passwörter
Vermeiden Sie triviale Zahlenfolgen („123456“), einfache Wörter („password“), Tastaturmuster („qwertz“) oder häufige Begriffe (z. B. Fußballvereine).
Leetspeak-Varianten wie „P@ssw0rt“ sind nicht sicher, da sie bekannt und leicht zu knacken sind.
Passwortmanager verwenden
Speichert und generiert sichere Passwörter, sodass Sie sich keine merken müssen.
Multi-Faktor-Authentifizierung (MFA) aktivieren
Zusätzliche Absicherung durch eine PIN, einen Hardware-Token oder biometrische Merkmale.
Passwortwechsel nur bei Vorfällen
Kein regelmäßiger erzwungener Wechsel, sondern nur bei Verdacht auf Kompromittierung.
Keine dienstspezifischen Namen oder persönlichen Informationen
Vermeiden Sie Passwörter, die Namen der Organisation, Städte oder persönliche Daten enthalten.
Nutzung von modernen Technologien wie Passkeys erwägen
Passkeys sind eine sicherere Alternative zu klassischen Passwörtern und verringern das Risiko von Leaks.
Überprüfung auf geleakte Zugangsdaten
Nutzen Sie Dienste wie „Have I Been Pwned“, um zu prüfen, ob Ihre Zugangsdaten kompromittiert wurden.
Passwortmanager: Unterstützung für komplexe Passwörter
Ein weiterer Schritt zur Verbesserung der Sicherheit ist die Verwendung eines Passwortmanagers. Diese Tools erstellen und speichern komplexe Passwörter und reduzieren das Risiko durch Wiederverwendung oder Schwachstellen in der Passwortwahl erheblich. Wichtig ist jedoch, dass auch der Passwortmanager sicher konfiguriert ist, um Manipulationen oder Datenlecks zu verhindern.
Anzeige
Dazu Dr. Markus Bieletzki, von der Stiftung Warentest und Mitglied im Beirat Digitaler Verbraucherschutz des BSI: „Eine sichere Alternative zu Passwörtern stellen außerdem Passkeys dar: Statt ein Passwort einzugeben, nutzen Verbraucherinnen und Verbraucher dabei beispielsweise ihren Fingerabdruck, die Gesichtserkennung oder eine PIN auf ihrem Smartphone oder Computer, um ein kryptografisches Verfahren in Gang zu setzen. Da sie kein Passwort mehr eingeben müssen, können Kriminelle auch kein Passwort mehr z. B. bei einem Phishing-Angriff oder Datenleck abgreifen oder anderweitig knacken. Das Benutzerkonto bleibt also gut geschützt.“
Der 1. Februar als Tag für echte Sicherheitsverbesserungen
Der Ändere-dein-Passwort-Tag bietet eine hervorragende Gelegenheit, die eigene digitale Sicherheit zu überdenken. Wer diesen Tag nutzen möchte, um etwas für die Sicherheit zu tun, sollte bei seinen wichtigsten Konten beginnen – zum Beispiel beim E-Mail-Account. Dieser ist oft der Zugangspunkt für zahlreiche weitere Dienste und daher besonders schützenswert. Das BSI rät: „Wer bislang nur ein schwaches Passwort verwendet oder den Verdacht hat, ein Passwort sei nicht mehr geheim, kann den 1. Februar nutzen, um dies zu ändern – womöglich zum letzten Mal. Besteht kein begründeter Verdacht, können Verbraucherinnen und Verbraucher den Aktionstag besser nutzen, indem sie die Zwei-Faktor-Authentisierung aktivieren oder gleich auf Passkeys umsteigen.“
Anzeige
Der Autor: Dr. Martin Large
(Bild: Hüthig)
Aus dem Schoß einer Lehrerfamilie entsprungen (Vater, Großvater, Bruder und Onkel), war es Martin Large schon immer ein Anliegen, Wissen an andere aufzubereiten und zu vermitteln. Ob in der Schule oder im (Biologie)-Studium, er versuchte immer, seine Mitmenschen mitzunehmen und ihr Leben angenehmer zu gestalten. Diese Leidenschaft kann er nun als Redakteur ausleben. Zudem kümmert er sich um die Themen SEO und alles was dazu gehört bei all-electronics.de.
