Angesichts der vielen Konten, die die meisten Menschen haben, ist es nicht sinnvoll, die Passwörter häufig zu ändern.
IT-Sicherheit Warum der „Ändere-dein-Passwort-Tag“ nicht mehr zeitgemäß ist
Aus Forschungssicht ist die häufige Passwortänderung ein Relikt und nicht mehr praktikabel angesichts der Vielzahl von Konten, die man hat. Was Fachleute aktuell empfehlen.
Jedes Jahr am 1. Februar rufen zahlreiche Medien und soziale Netzwerke im Rahmen des „Ändere-dein-Passwort-Tages“ dazu auf, Passwörter zu ändern. Doch aus Sicht der modernen Cybersicherheitsforschung ist dieser Ratschlag längst überholt. Bereits seit 2020 empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), den Fokus auf starke Passwörter, Zwei-Faktor-Authentifizierung (2FA) und Passkeys zu legen.
Prof. Dr. Angela Sasse, Sprecherin des Exzellenzclusters CASA und Lehrstuhlinhaberin für Human-Centered Security (Fakultät für Informatik) an der Ruhr-Universität Bochum, ist eine der führenden Stimmen hinter diesem Paradigmenwechsel. Sie erklärt: „Das regelmäßige Ändern von Passwörtern ist ein Relikt aus der Frühzeit der Cybersicherheit und heute nicht mehr praktikabel. Die meisten Menschen verwalten Dutzende Konten. Wenn dabei ein Passwort mehrfach verwendet wird und Angreifer durch Datenlecks oder Phishing darauf zugreifen, entstehen massive Risiken.“
Empirische Studien sprechen gegen den regelmäßigen Passwortwechsel
Aus empirischen Studien weiß die Forscherin: Wenn Menschen regelmäßig ihre Passwörter ändern sollen, tendieren sie dazu, nur minimale Anpassungen vorzunehmen oder Passwörter erneut zu verwenden. „Das wirkt sich nicht positiv auf die Sicherheit aus“, warnt Angela Sasse. Stattdessen sei es sinnvoll, Passwörter nur bei Verdacht auf Missbrauch zu ändern.
Langsame Umsetzung in der Praxis
Warum halten sich Ratschläge wie die am „Ändere-dein-Passwort-Tag“ trotz dieser Forschungslage so hartnäckig? Angela Sasse sieht die Ursache in einer Kluft zwischen Forschung und Praxis: „Die Forschung hat bereits zahlreiche Lösungen entwickelt, um IT-Sicherheit einfacher und effektiver zu gestalten – etwa durch Passkeys, Passwort-Manager oder biometrische Verfahren. Doch diese Erkenntnisse werden oft nur zögerlich umgesetzt.“ An den Gründen dafür wird aktuell an ihrem Lehrstuhl geforscht. „Erste Ergebnisse zeigen, dass die meisten Unternehmen nach dem Motto „If it ain’t broke, don’t fix it“ handeln – sie investieren nur in neue, brauchbare Lösungen nach einem Sicherheitsvorfall oder wenn ihnen Kunden abspringen“, so Sasse.
Was man dennoch tun kann
Auch wenn der heutige Tag nicht unbedingt zum Passwortwechsel genutzt werden sollte, gibt es sinnvolle Alternativen: Die Umstellung auf Passkeys beispielsweise bietet nicht nur eine benutzerfreundliche, sondern auch sichere Anmeldemöglichkeit.
Passkeys sind sicher, da sie auf asymmetrischer Verschlüsselung basieren: Der private Schlüssel bleibt auf dem Gerät, während nur der öffentliche Schlüssel mit dem Dienst geteilt wird. Selbst wenn ein Passwort oder eine PIN kompromittiert wird, bleibt der Passkey durch biometrische Authentifizierung und Hardware-Schutz (zum Beispiel Secure Enclave) geschützt. Da der private Schlüssel das Gerät nie verlässt, sind Passkeys sehr sicher gegen Phishing und Fernangriffe.
