Ein Blick in die Frontkamera des Smartphones und zack ist der Nutzer bei einem Dienst angemeldet. Ohne ein Passwort einzugeben, geschweige denn, eins dafür zu erstellen und es sich merken zu müssen. Das Prinzip lässt sich auf die Anmeldung bei Online-Diensten übertragen: Die Rede ist hier von der passwortlosen Authentifizierung. Neue Technologien wie Passkeys machen die Absicherung von Online-Konten einfach und bequem. Doch gerade in der Desktop-Welt vertrauen immer noch viele auf die „guten“ alten Passwörter.

Und das, obwohl diese Anmeldedaten nach wie vor ein beliebtes Ziel für Betrüger sind. Aber Nutzer, die ihre Zugangscodes regelmäßig mit neuen Passwörtern ersetzen, sind doch sicherer, oder? Ist es also notwendig, diese Anmeldeinformationen immer wieder zu ändern, um Konten besser zu schützen? Wenn ja, wie oft sollte ein Passwortwechsel erfolgen? Antworten auf diese Fragen sind schwieriger als vielleicht vermutet.

Warum ein Passwortwechsel nicht immer sinnvoll ist

Bis vor nicht allzu langer Zeit wurde empfohlen, Passwörter regelmäßig zu ändern. So sollte es Hackern schwerer fallen, ein Passwort zu stehlen oder zu erraten. Gängige Ratgeber schlugen zwischen 30 und 90 Tagen vor.

Doch die Zeiten ändern sich. Untersuchungen legen nahe, dass häufige Passwortänderungen, vor allem nach einem festen Zeitplan, die Sicherheit von Konten nicht unbedingt verbessern. Mit anderen Worten: Es gibt keine allgemeingültige Antwort auf die Frage, wann Sie Ihre Passwörter ändern sollten. Hinzu kommt, dass die meisten von uns zu viele Online-Konten haben, dass es schwierig wird, den Überblick zu behalten, geschweige denn, sich alle paar Monate ein (starkes und eindeutiges) Passwort für jedes dieser Konten auszudenken.

Schätzungen gehen davon aus, dass jeder Nutzer ca. 78 Online-Konten besitzt. Aus diesem Grund haben sich Passwort-Manager durchgesetzt. Sie generieren sichere Passwörter und speichern sie direkt ab. Auch die Zwei-Faktor-Authentifizierung, also die Erweiterung der Kombination Benutzername/Passwort um einen weitere Sicherheitsebene, ist im Mainstream angekommen. Einige Passwort-Manager verfügen sogar über eine integrierte Dark-Web-Überwachung, die automatisch meldet, wenn Zugangsdaten missbraucht und auf Untergrundseiten in Umlauf gebracht wurden.

Nicht nur der wachsende Komfort in der IT-Sicherheit ist einer der Gründe, warum IT-Security-Experten Nutzern davon abraten, ihr Passwort in regelmäßigen Abständen zu wechseln. Es gibt noch weitere gute Argumente:

  • Benutzer neigen dazu, schwächere Kennwörter zu wählen, wenn sie wissen, dass sie sie in naher Zukunft ändern müssen.
  • Um sich ein Passwort besser merken zu können, ändern sie bei einem Wechsel nur Kleinigkeiten in einer bestehenden Zeichenkombination. Beispielsweise erhöhen sie eine Zahl im Passwort.
  • Diese Praxis vermittelt ein falsches Gefühl von Sicherheit, denn wenn ein früheres Passwort kompromittiert und es nicht durch ein starkes und einzigartiges Passwort ersetzt wurde, können es die Angreifer leicht wieder knacken.

Das heißt: Je häufiger Nutzer ihre Passwörter ändern sollen/müssen, desto nachlässiger werden sie und umso größer ist ihre Anfälligkeit gegenüber Angriffen. 

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät mittlerweile von regelmäßigen, erzwungenen Passwortwechseln ab.

Wann Sie Ihr Passwort ändern sollten

Das bedeutet im Umkehrschluss nicht, dass Nutzer ihre Kennwörter niemals ändern dürfen. Es gibt immer noch genauso gute Gründe für einen Passwortwechsel:

  • Ihr Kennwort ist bei einer Datenpanne in die Hände Unberechtigter gelangt. Dieser Fall tritt häufig ein, beispielsweise bei der „Mutter aller Datenlecks“ im Januar 2024, als Milliarden Passwörter aus verschiedenen Quellen im Netz gelandet sind. Dienstanbieter warnen ihre Kunden in solch einem Fall per E-Mail und empfehlen, betroffene Passwörter zu ändern. Zudem können Nutzer bei Diensten wie „HaveIbeenpwned“ überprüfen, ob ihre Zugangsdaten bereits kompromittiert wurden. Passwort-Manager wie der von ESET informieren ihre Nutzer, wenn ein Passwort im Darknet aufgetaucht ist.
  • Ihr Passwort ist schwach und leicht zu erraten oder zu knacken. Hacker verwenden Tools, um gängige Kennwörter für mehrere Konten auszuprobieren.
  • Sie verwenden ein Passwort für mehrere Konten. Wenn eines dieser Konten geknackt wird, könnten Cyberkriminelle automatisierte "Credential Stuffing" -Software verwenden, um auf andere Konten zuzugreifen.
  • Ihr Gerät wurde durch Malware kompromittiert.
  • Sie haben Ihr Passwort mit einer anderen Person geteilt.
  • Sie haben gerade Personen aus einem gemeinsamen Konto entfernt (z. B. ehemalige Mitbewohner).
  • Sie haben sich an einem öffentlichen Computer (z. B. in einer Bibliothek) oder auf dem Gerät/Computer einer anderen Person angemeldet.

Ratschläge für sichere Kennwörter

Beachten Sie die folgenden Punkte, um das Risiko einer Kontoübernahme zu minimieren:

Verwenden Sie immer starke und eindeutige Passwörter. Das BSI gibt dazu nützliche Tipps hierfür. Auch kürzere Passwörter (mit mindestens acht Zeichen) sind sicher, sofern sie komplex genug sind.

Speichern Sie Ihre Passwörter in einem Passwort-Manager, der über einen einzigen Master-Zugangscode verfügt und automatisch alle Ihre Zugangsdaten für sämtliche Websites oder Anwendungen abrufen kann.

Achten Sie auf Warnmeldungen über geleakte Passwörter und ergreifen Sie sofort entsprechende Maßnahmen, sobald Sie eine solche Warnung erhalten.

Nutzen Sie immer eine Zwei-Faktor-Authentifizierung, sofern verfügbar, um eine zusätzliche Sicherheitsebene für Ihr Konto zu schaffen.

Aktivieren Sie Passkeys, wenn diese angeboten werden, um einen nahtlosen, sicheren Zugang zu Ihren Konten über Ihr Telefon zu ermöglichen.

Überprüfen Sie die Passwörter all Ihrer Konten und stellen Sie sicher, dass sie nicht doppelt vergeben oder leicht zu erraten sind. Ändern Sie schwache oder mehrfach verwendete Passwörter.

Speichern Sie Ihre Kennwörter nicht im Browser. Sie sind ein beliebtes Ziel für Hacker, die mithilfe von Malware Ihre Passwörter abfangen könnten. Außerdem werden Ihre gespeicherten Kennwörter für alle anderen Benutzer Ihres Geräts/Computers sichtbar.