Benutzerkonten: Pauschaler Passwortwechsel laut BSI keine zeitgemäße Schutzmaßnahme mehr

Wiederkehrende Änderungen des Passworts könnten dazu führen, dass Verbraucher eher vermehrt zu schwachen – etwa leicht vorhersehbaren – Passwörtern neigen

[datensicherheit.de, 04.02.2026] Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den diesjährigen „Ändere-dein-Passwort-Tag“ vom 1. Februar 2026 als Anlass zu einer Stellungnahme genommen. Dieser Tag soll daran erinnern, Passwörter regelmäßig zu erneuern – eben für den Fall, dass ein Passwort unbemerkt zur Kenntnis Unbefugter gelangt. Tatsächlich aber sei ein pauschaler Passwortwechsel jedoch keine zeitgemäße Schutzmaßnahme mehr – stattdessen führten wiederkehrende Änderungen des Passworts oftmals dazu, dass Verbraucher vermehrt zu schwachen – z.B. leicht vorhersehbaren – Passwörtern griffen.

Notwendig, aber noch nicht hinreichend: Das Passwort muss stark und einzigartig sein

Karin Wilhelm, BSI-Expertin für Verbraucherschutz, führt aus: „Die meisten Menschen haben zahlreiche Benutzerkonten – etwa in Onlineshops, Sozialen Netzwerken und bei E-Mail-Anbietern. Viele dieser Konten enthalten sensible Daten wie beispielsweise Klarnamen, Adressen oder Kreditkarteninformationen.“

• Daher gelte es, diese vor Fremdzugriffen zu schützen. Ein routinemäßiger Passwortwechsel aber erhöhe die Sicherheit nicht automatisch. „Wichtiger ist, dass ein Passwort stark und einzigartig ist. Außerdem sollte es durch einen zweiten Faktor ergänzt oder durch einen Passkey ersetzt werden!“, betont Wilhelm.

Einzigartigkeit bedeutet hier demnach, dass für jedes Benutzerkonto ein eigenes Passwort gewählt wird. „Gerät ein Passwort z.B. im Rahmen eines Datenlecks oder Phishing-Angriffs in fremde Hände, sind dann nicht gleich mehrere Benutzerkonten der jeweiligen Person betroffen.“

Passkeys als moderne Alternative zu klassischen Passwörtern

Passwortmanager könnten dabei helfen, den Überblick zu behalten. Selbst ein komplexes Passwort biete jedoch keinen hundertprozentigen Schutz. Deshalb empfiehlt das BSI, eine Zwei-Faktor-Authentisierung (2FA) zu aktivieren. Neben dem Passwort würden Nutzer dann auch beispielsweise einen Code eingeben, welcher beim Login über eine vorab installierte „Authenticator App“ an ihr Smartphone geschickt wird. Diese zusätzliche Sicherheitsebene erschwere es Angreifern erheblich, an Konten zu gelangen – „selbst wenn sie das Passwort kennen“.

• Eine moderne Alternative zu klassischen Passwörtern böten zudem Passkeys: Diese auf kryptographische Verfahren basierende Methode ermögliche eine sichere, oft biometrisch unterstützte Authentifizierung ohne Passwort. „Da letzteres hier obsolet wird, kann es auch nicht abgegriffen werden.“

So könnten Nutzer viele Risiken reduzieren, die mit traditionellen Kennwörtern verbunden sind. Anstelle eines pauschalen Passwortwechsels rät das BSI daher zu überprüfen, „bei welchen Benutzerkonten der Umstieg auf Passkeys bereits möglich ist und wo eine Zwei-Faktor-Authentisierung aktiviert werden kann“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Linkedin
Karin Wilhelm / Referatsleitung bei BSI Bundesamt für Sicherheit in der Informationstechnik

Bundesamt für Sicherheit in der Informationstechnik
Online-Account schützen: Sichere Passwörter und Zwei-Faktor-Authentisierung

heise online, Dirk Knop, 01.02.2024
„Ändere Dein Passwort“-Tag: Warum Ändern des Passworts kaum hilft / Alle Jahre wieder am 1. Februar sorgt der „Ändere Dein Passwort“-Tag für Grummeln in der Redaktion. Wir empfehlen: Besser alte Gewohnheiten ändern!

datensicherheit.de, 01.02.2026
Ändere Dein Passwort Tag 2026: Least Privilege und Zugangskontrolle gilt es flankierend zu beachten / Darren Guccione warnt, dass ein einziges kompromittiertes Passwort Cyberkriminellen Zugang und Zugriff verschaffen kann

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig