2. Februar 2026
Jedes Jahr am 1. Februar findet der „Ändere dein Passwort“-Tag statt. Der Tipp ist jedoch ausgelutscht und kontraproduktiv.
Es ist wieder „Ändere dein Passwort“-Tag am heutigen 1. Februar 2026! Haben Sie Ihre Passwörter schon alle geändert? Nein? Das geht auch in Ordnung! Denn regelmässige Passwortänderungen sind nicht mehr zeitgemäss.
Ursprünglich hatte die Idee, wenigstens ein Mal im Jahr an die Passwort-Sicherheit zu erinnern und deren Änderung zu bewerben, noch ihren Charme. Damals war es üblich, Zugänge lediglich mit Benutzernamen und Passwort zu schützen. Zudem gab es meist keine Vorgaben bezüglich einer Länge und Komplexität. Das hat sich seitdem jedoch – glücklicherweise! – massgeblich geändert.
Inzwischen ist Mehrfaktorauthentifizierung zum Standard geworden. Etwa mittels Authenticator, der alle 30 Sekunden einen neuen Zugangscode generiert, müssen Anmeldewillige den Besitz eines zweiten Faktors als Identitätsbeleg angeben. Schlechtere Optionen sind beim Anmeldeversuch mittels E-Mail zugesandte Einmalcodes oder möglicherweise sogar schlimmer, solche mit SMS geschickten zeitbasierten Einmalpasswörter. Vor letzterer Option warnt auch der Chaos Computer Club (CCC).
Passwort-Zukunft Passkeys
Zertifikat-basierte Sicherheit, die zudem für Nutzer komfortabel mit biometrischer Authentifizierung arbeitet, bieten Passkeys. Die ziehen in immer mehr Dienste und Angebote ein, alle grossen Player im Markt sind längst dabei – etwa Google, Microsoft und Apple. Inzwischen können Passwort-Manager damit ebenfalls umgehen, die sind also nicht mehr nur für die Verwaltung von althergebrachten passwortgeschützten Zugängen nützlich. Dabei können diese die Passkeys auch von Geräten loslösen und sie auf mehreren Geräten, etwa PC, Tablet und Smartphone, nutzbar machen.
Mit Blick in die Vergangenheit bleibt zu ergänzen, dass etwa erzwungene regelmässige Passwortwechsel nicht den erwünschten Effekt der verbesserten Sicherheit haben. Ganz im Gegenteil: Betroffene denken sich oftmals einfache Schemata aus, mit denen leicht erratbare Passwörter entstehen, etwa basierend aus einem Grundwort und fortlaufender Nummer, etwa „Passwort999“.
Auch die für Deutschland massgebliche Instanz, das Bundesamt für Sicherheit in der Informationstechnik (BSI), weist darauf hin, dass Passwortwechsel ein Ding der Vergangenheit sind. Das schlägt sich etwa in BSI-Grundschutz-Richtlinien nieder, unter Punkt ORP.4.A23: „IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ Das US-amerikanische National Institute of Standards and Technology (NIST) stösst ins gleiche Horn: „Verifiers (die die Authentifizierung durchführen) und Credential Service Provider (CSPs) DÜRFEN von Abonnenten NICHT verlangen, Passwörter regelmässig zu ändern. Verifiers MÜSSEN jedoch eine Änderung erzwingen, wenn es Anzeichen dafür gibt, dass die Authentifizierung kompromittiert wurde“.
Wann man ein Passwort ändern sollte, ist somit einfach zu beantworten. Das ist dann nötig, wenn der Verdacht besteht, dass ein Zugang kompromittiert wurde und das Passwort wahrscheinlich in falsche Hände gelangt ist. Dann sollte zwar der zweite Faktor noch greifen, dennoch ist ein zügiger Wechsel in solch einer Situation dringend anzuraten.
Inzwischen ist der Passwort-Gedenktag daher nicht mehr zeitgemäss. Die Hinweise wiederholen sich seit Jahren lediglich. Hier eine Sammlung:
- Ändere dein Passwort-Tag 2025: „Ändere dein Passwort-Tag: Kontraproduktiver Tipp“
- Ändere dein Passwort-Tag 2024: „”Ändere Dein Passwort”-Tag: Warum Ändern des Passworts kaum hilft“
- Ändere dein Passwort-Tag 2023: „Ändere-dein-Passwort-Tag: Ausnahmsweise ja, bitte!“
- Ändere dein Passwort-Tag 2022: „”Ändere dein Passwort”-Tag? Besser: “Aktiviere 2FA”!“
Die Frage, die am Ende bleibt: Einen solchen Gedenktag ins Leben zu rufen, das klappt offensichtlich einfach. Wenn sich das Thema jedoch überholt hat, wie beendet man das wieder? Das werden wir uns vermutlich die nächsten Jahre weiterhin fragen müssen.
Quelle: Heise Security
