Wirksamer Schutz von Benutzerkonten: Der Ändere-dein-Passwort-Tag braucht ein Update

Ort Bonn
Datum 30.01.2026

Der "Ändere-dein-Passwort-Tag" am 1. Februar soll daran erinnern, Passwörter regelmäßig zu erneuern - für den Fall, dass ein Passwort unbemerkt in die Hände von unbefugten Dritten gelangt ist. Tatsächlich ist ein pauschaler Passwortwechsel jedoch keine zeitgemäße Schutzmaßnahme mehr. Stattdessen führen wiederkehrende Änderungen des Passworts oftmals dazu, dass Verbraucherinnen und Verbraucher vermehrt zu schwachen, z. B. leicht vorhersehbaren Passwörtern greifen.

Karin Wilhelm, Expertin für Verbraucherschutz beim BSI: "Die meisten Menschen haben zahlreiche Benutzerkonten - etwa in Onlineshops, sozialen Netzwerken und bei E-Mail-Anbietern. Viele dieser Konten enthalten sensible Daten wie beispielsweise Klarnamen, Adressen oder Kreditkarteninformationen. Daher gilt es, sie vor Fremdzugriffen zu schützen. Ein routinemäßiger Passwortwechsel aber erhöht die Sicherheit nicht automatisch. Wichtiger ist, dass ein Passwort stark und einzigartig ist. Außerdem sollte es durch einen zweiten Faktor ergänzt oder durch einen Passkey ersetzt werden."

Einzigartigkeit bedeutet hier, dass für jedes Benutzerkonto ein eigenes Passwort gewählt wird. Gerät ein Passwort z. B. im Rahmen eines Datenlecks oder Phishing-Angriffs in fremde Hände, sind dann nicht gleich mehrere Benutzerkonten der jeweiligen Person betroffen. Passwortmanager helfen dabei, den Überblick zu behalten. Selbst ein komplexes Passwort bietet jedoch keinen hundertprozentigen Schutz. Deshalb empfiehlt das BSI, eine Zwei-Faktor-Authentisierung (2FA) zu aktivieren. Neben dem Passwort geben Nutzerinnen und Nutzer dann auch beispielsweise einen Codeein, der beim Loginüber eine vorabinstallierte Authenticator App an ihr Smartphonegeschickt wird. Diese zusätzliche Sicherheitsebene erschwert es Angreifenden erheblich, an Konten zu gelangen - selbst wenn sie das Passwort kennen.

Eine moderne Alternative zu klassischen Passwörtern bieten zudem Passkeys. Die auf kryptografische Verfahren basierende Methode ermöglicht eine sichere, oft biometrisch unterstützte Authentifizierung ohne Passwort. Da letzteres hier obsolet wird, kann es auch nicht abgegriffen werden. So reduzieren Nutzerinnen und Nutzer viele Risiken, die mit traditionellen Kennwörtern verbunden sind. Anstelle eines pauschalen Passwortwechsels rät das BSI daher, den Tag zu nutzen, um zu überprüfen, bei welchen Benutzerkonten der Umstieg auf Passkeysbereits möglich ist und wo eine Zwei-Faktor-Authentisierung aktiviert werden kann.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: [email protected]
Internet: www.bsi.bund.de

BSI in Social Media