Wirksamer Schutz von Benutzerkonten: Der Ändere-dein-Passwort-Tag braucht ein Update
Der "Ändere-dein-Passwort-Tag" am 1. Februar soll daran erinnern, Passwörter regelmäßig zu erneuern - für den Fall, dass ein Passwort unbemerkt in die Hände von unbefugten Dritten gelangt ist. Tatsächlich ist ein pauschaler Passwortwechsel jedoch keine zeitgemäße Schutzmaßnahme mehr. Stattdessen führen wiederkehrende Änderungen des Passworts oftmals dazu, dass Verbraucherinnen und Verbraucher vermehrt zu schwachen, z. B. leicht vorhersehbaren Passwörtern greifen.
Karin Wilhelm, Expertin für Verbraucherschutz beim BSI: "Die meisten Menschen haben zahlreiche Benutzerkonten - etwa in Onlineshops, sozialen Netzwerken und bei E-Mail-Anbietern. Viele dieser Konten enthalten sensible Daten wie beispielsweise Klarnamen, Adressen oder Kreditkarteninformationen. Daher gilt es, sie vor Fremdzugriffen zu schützen. Ein routinemäßiger Passwortwechsel aber erhöht die Sicherheit nicht automatisch. Wichtiger ist, dass ein Passwort stark und einzigartig ist. Außerdem sollte es durch einen zweiten Faktor ergänzt oder durch einen Passkey ersetzt werden."
Einzigartigkeit bedeutet hier, dass für jedes Benutzerkonto ein eigenes Passwort gewählt wird. Gerät ein Passwort z. B. im Rahmen eines Datenlecks oder Phishing-Angriffs in fremde Hände, sind dann nicht gleich mehrere Benutzerkonten der jeweiligen Person betroffen. Passwortmanager helfen dabei, den Überblick zu behalten. Selbst ein komplexes Passwort bietet jedoch keinen hundertprozentigen Schutz. Deshalb empfiehlt das BSI, eine Zwei-Faktor-Authentisierung (2FA) zu aktivieren. Neben dem Passwort geben Nutzerinnen und Nutzer dann auch beispielsweise einen Code ein, der beim Login über eine vorab installierte Authenticator App an ihr Smartphone geschickt wird. Diese zusätzliche Sicherheitsebene erschwert es Angreifenden erheblich, an Konten zu gelangen - selbst wenn sie das Passwort kennen.
Eine moderne Alternative zu klassischen Passwörtern bieten zudem Passkeys. Die auf kryptografische Verfahren basierende Methode ermöglicht eine sichere, oft biometrisch unterstützte Authentifizierung ohne Passwort. Da letzteres hier obsolet wird, kann es auch nicht abgegriffen werden. So reduzieren Nutzerinnen und Nutzer viele Risiken, die mit traditionellen Kennwörtern verbunden sind. Anstelle eines pauschalen Passwortwechsels rät das BSI daher, den Tag zu nutzen, um zu überprüfen, bei welchen Benutzerkonten der Umstieg auf Passkeys bereits möglich ist und wo eine Zwei-Faktor-Authentisierung aktiviert werden kann.
Weitere Informationen und Empfehlungen zur Absicherung von Accounts finden Sie hier: