Passwörter wechseln reicht nicht mehr
Zum Welt-Passwort-Tag am 7. Mai rückt eine unbequeme Wahrheit in den Fokus: Nicht jedes Passwortproblem lässt sich durch ein neues Passwort lösen. Entscheidend sind starke Schutzschichten für Konten, Geräte und Unternehmen.
Viele Internetnutzer reagieren auf Meldungen über Datenlecks reflexartig mit Passwortwechseln. Das ist verständlich, greift aber zu kurz. Denn gestohlene Zugangsdaten stammen häufig nicht aus dem eigenen Fehlverhalten, sondern aus großen Datenbank-Hacks bei Online-Diensten, Plattformen oder Dienstleistern.
Einmal veröffentlicht, landen solche Datensätze oft in Untergrundforen, werden weiterverkauft und später in Datenbanken für Sicherheitsforschung sichtbar.
Wie groß das Problem ist, zeigt der Dienst „Have I Been Pwned“: Dort sind aktuell 980 bekannte Datenlecks mit mehr als 17,55 Milliarden kompromittierten Konten erfasst. Nutzer können dort kostenlos prüfen, ob ihre E-Mail-Adresse in einem bekannten Datenleck auftaucht. Das Passwort selbst wird dabei nicht angezeigt.
Warum Passwortwechsel allein nicht schützen
Lange galt der regelmäßige Passwortwechsel als Grundregel der digitalen Sicherheit. Heute ist er nur noch eine Notmaßnahme, wenn ein konkreter Verdacht besteht. Wer ständig Passwörter ändert, aber schwache Schutzmechanismen nutzt, gewinnt wenig.
Angreifer setzen längst auf Phishing, Betrugs-E-Mails, Schadsoftware, gefälschte Login-Seiten und sogenannte Infostealer, die Zugangsdaten direkt vom Gerät abgreifen. Deshalb ist die wichtigere Frage nicht: Wie oft wird ein Passwort gewechselt? Sondern: Kann ein Angreifer mit diesem Passwort überhaupt noch etwas anfangen?
Die Antwort liefern zusätzliche Schutzschichten. Besonders wirksam sind Zwei-Faktor-Authentifizierung, Multi-Faktor-Authentifizierung, Passkeys und biometrische Verfahren. Wird ein Konto nur mit E-Mail-Adresse und Passwort geschützt, reicht ein Datenleck oft aus. Kommt ein zweiter Faktor hinzu, etwa ein Einmalcode, ein Passkey, ein Fingerabdruck oder Gesichtserkennung, verliert das gestohlene Passwort erheblich an Wert.
Neue Technik statt alte Gewohnheiten
Bei der Zwei-Faktor-Authentifizierung wird neben dem Passwort ein weiterer Nachweis verlangt. Das kann ein Code aus einer Authentifizierungs-App, eine Bestätigung auf dem Smartphone oder ein Sicherheitsschlüssel sein. Kurznachrichten sind besser als gar kein zweiter Faktor, aber anfälliger für Angriffe als App-Codes oder Passkeys.
Passkeys gehen noch einen Schritt weiter. Dabei wird kein klassisches Passwort mehr übertragen. Stattdessen erstellt das Gerät ein kryptografisches Schlüsselpaar. Ein Schlüssel bleibt sicher auf dem Smartphone, Computer oder Tablet, der andere liegt beim Online-Dienst. Die Anmeldung wird zusätzlich durch Fingerabdruck, Gesichtserkennung oder persönliche Identifikationsnummer freigegeben. Für Angreifer ist das deutlich schwerer zu missbrauchen, weil kein wiederverwendbares Passwort abgegriffen werden kann.
Auch biometrische Verfahren sind alltagstauglich geworden. Gesichtsscan und Fingerabdruck liegen verschlüsselt auf dem Gerät, meist in einem besonders geschützten Sicherheitsbereich, und werden nicht einfach an Unternehmen übertragen.
Was Privatnutzer und kleine Betriebe tun sollten
Für Privatnutzer gilt: Wichtige Konten sollten zuerst abgesichert werden. Dazu zählen E-Mail, Banking, Online-Shops, Cloud-Speicher, soziale Netzwerke und Konten bei Mobilfunk- oder Internetanbietern. Wo Passkeys angeboten werden, sollten sie aktiviert werden. Wo das nicht möglich ist, ist eine Authentifizierungs-App meist die bessere Wahl als ein Code per Kurznachricht.
Passwort-Manager bleiben trotzdem wichtig. Sie erzeugen lange, einzigartige Passwörter und speichern auch Notfallcodes. Kostenlose lokale Lösungen wie KeePass eignen sich für Privatnutzer und Selbständige, cloudbasierte Tresore wie Bitwarden sind für kleine Teams oft praktischer. Dort lassen sich Zugriffe zentral vergeben und wieder entziehen, ohne dass Mitarbeiter die eigentlichen Zugangsdaten kennen müssen.
Für kleine Unternehmen ist das entscheidend. Verlässt ein Mitarbeiter den Betrieb, darf nicht unklar sein, wer welche Passwörter kennt. Ein zentraler Passwort-Tresor, Multi-Faktor-Authentifizierung und Schutzsoftware auf allen Geräten sind deshalb keine Komfortfunktionen, sondern Basisvorsorge.
Der Welt-Passwort-Tag am 7. Mai erinnert damit an eine Verschiebung: Das Passwort ist nicht verschwunden, aber es darf nicht mehr allein die „Tür bewachen“. Wer Konten wirklich schützen will, setzt auf zusätzliche Faktoren, Passkeys, Passwort-Manager und saubere Geräte. Passwortwechsel sind dann nur noch Reparatur, nicht die Sicherheitsstrategie.
Eine gute Schutz-Software für mobile Geräte und PCs bleibt weiterhin unentbehrlich – hier geben die Überprüfungen von AV-TEST regelmäßig wertvolle Hinweise zur Schutzwirkung.
Am 7. Mai 2026 ist Welt-Passwort-Tag
Weitere Artikel zum Thema:
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
