Ändere dein Passwort-Tag: Nutzloser Wiedergänger

Es ist wieder „Ändere dein Passwort“-Tag am heutigen 1. Februar 2026! Haben Sie Ihre Passwörter schon alle geändert? Nein? Das geht auch in Ordnung!

Ursprünglich hatte die Idee, wenigstens ein Mal im Jahr an die Passwort-Sicherheit zu erinnern und deren Änderung zu bewerben, noch ihren Charme. Damals war es üblich, Zugänge lediglich mit Benutzernamen und Passwort zu schützen. Zudem gab es meist keine Vorgaben bezüglich einer Länge und Komplexität. Das hat sich seitdem jedoch – glücklicherweise! – maßgeblich geändert.

Inzwischen ist Mehrfaktorauthentifizierung zum Standard geworden. Etwa mittels Authenticator, der alle 30 Sekunden einen neuen Zugangscode generiert, müssen Anmeldewillige den Besitz eines zweiten Faktors als Identitätsbeleg angeben. Schlechtere Optionen sind beim Anmeldeversuch mittels E-Mail zugesandte Einmalcodes oder möglicherweise sogar schlimmer, solche mit SMS geschickten zeitbasierten Einmalpasswörter. Vor letzterer Option warnt auch der Chaos Computer Club (CCC).

Passwort-Zukunft Passkeys

Zertifikat-basierte Sicherheit, die zudem für Nutzer komfortabel mit biometrischer Authentifizierung arbeitet, bieten Passkeys. Die ziehen in immer mehr Dienste und Angebote ein, alle großen Player im Markt sind längst dabei – etwa Google, Microsoft und Apple. Inzwischen können Passwort-Manager damit ebenfalls umgehen, die sind also nicht mehr nur für die Verwaltung von althergebrachten passwortgeschützten Zugängen nützlich. Dabei können diese die Passkeys auch von Geräten loslösen und sie auf mehreren Geräten, etwa PC, Tablet und Smartphone, nutzbar machen.

Mit Blick in die Vergangenheit bleibt zu ergänzen, dass etwa erzwungene regelmäßige Passwortwechsel nicht den erwünschten Effekt der verbesserten Sicherheit haben. Ganz im Gegenteil: Betroffene denken sich oftmals einfache Schemata aus, mit denen leicht erratbare Passwörter entstehen, etwa basierend aus einem Grundwort und fortlaufender Nummer, etwa „Passwort999“.

Auch die für Deutschland maßgebliche Instanz, das Bundesamt für Sicherheit in der Informationstechnik (BSI), weist darauf hin, dass Passwortwechsel ein Ding der Vergangenheit sind. Das schlägt sich etwa in BSI-Grundschutz-Richtlinien nieder, unter Punkt ORP.4.A23: „IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ Das US-amerikanische National Institute of Standards and Technology (NIST) stößt ins gleiche Horn: „Verifiers (die die Authentifizierung durchführen) und Credential Service Provider (CSPs) DÜRFEN von Abonnenten NICHT verlangen, Passwörter regelmäßig zu ändern. Verifiers MÜSSEN jedoch eine Änderung erzwingen, wenn es Anzeichen dafür gibt, dass die Authentifizierung kompromittiert wurde“.

Wann man ein Passwort ändern sollte, ist somit einfach zu beantworten. Das ist dann nötig, wenn der Verdacht besteht, dass ein Zugang kompromittiert wurde und das Passwort wahrscheinlich in falsche Hände gelangt ist. Dann sollte zwar der zweite Faktor noch greifen, dennoch ist ein zügiger Wechsel in solch einer Situation dringend anzuraten.

Inzwischen ist der Passwort-Gedenktag daher nicht mehr zeitgemäß. Die Hinweise wiederholen sich seit Jahren lediglich. Hier eine Sammlung:

Die Frage, die am Ende bleibt: Einen solchen Gedenktag ins Leben zu rufen, das klappt offensichtlich einfach. Wenn sich das Thema jedoch überholt hat, wie beendet man das wieder? Das werden wir uns vermutlich die nächsten Jahre weiterhin fragen müssen.

(dmk)