Regelmäßig Passwörter ändern, ohne triftigen Grund? Da klingt nach einem Sicherheitsplus, ist es aber nicht. Ein gutes, starkes Passwort, das ausschließlich für eine einzige Anwendung genutzt wird, kann durchaus einige Jahre lang unverändert bleiben.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinem IT-Grundschutz-Kompendium schon länger keine Empfehlung mehr zum regelmäßigen Ändern von Passwörtern.

Passwort ändern am Anfang und bei Gefahr

Natürlich muss aber immer dann eine Änderung her, wenn Unbefugte Kenntnis von einem Passwort erlangt haben - oder der Verdacht besteht. Und: Voreingestellte Passwörter bei Diensten oder Geräten müssen stets erst einmal geändert werden.

Ansonsten führt ein Turnus häufiger Passwortwechsel eher dazu, dass Nutzende entnervt doch wieder einfache, schwache Passwörter wählen - oder schlicht überall auf dasselbe Passwort setzen. Das ist brandgefährlich. Denn im Ernstfall genügt dann ein Leak oder ein erfolgreicher Angriff bei einem Dienst, um ungehindert Zugang zu allen anderen Onlinekonten des Nutzers zu bekommen. Keinesfalls geschehen darf das beim E-Mail-Konto, das meist eine Schlüsselrolle zum Zurücksetzen von Passwörtern bei zahllosen anderen Diensten spielt.

Deshalb sollte man Folgendes tun, um seine Accounts bestmöglich zu schützen:

Starke Passwörter nutzen

Grundsätzlich muss ein Passwort so komplex sein, dass es nicht leicht zu erraten ist. Gleichzeitig darf ein Passwort aber nicht zu kompliziert sein, damit User in der Lage sind, es mit vertretbarem Aufwand regelmäßig zu verwenden, erklärt das BSI.

Als Eselsbrücke helfen etwa selbst ausgedachte Merksätze mit Zahlen und Sonderzeichen: Jeweils die ersten Buchstaben der Wörter ergeben dann beispielsweise das Passwort.

Passwort-Merkblatt nutzen

Weil man sich aber auch nur eine begrenzte Zahl an Sätzen merken kann und ja jedes Passwort einzigartig sein soll, rät das BSI, etwa einfach zu Papier und Stift zu greifen und die sogenannte Passwort-Merkblatt-Strategie anzuwenden. Bei dieser besteht ein erster Teil für alle Passwörter aus immer demselben Merksatz, den man - der Name sagt es - auswendig lernt.

Und ein zweiter Passwort-Teil, für jeden Account individuell, wird auf den Merkblatt-Zettel notiert. So kommt jemand Unbefugtes, der an den Zettel gelangt, trotzdem nicht an die Accounts heran. Noch leichter ist es aber, auf einen Passwortmanager zu setzen.

Passwortmanager nutzen

Passwortmanager leisten beim Erstellen, Speichern und Verwalten komplexer Passwörter wertvolle Dienste. Die meisten Manager lassen sich auf verschiedenen Geräten vom Smartphone bis zum Notebook nutzen und synchronisieren - sogar über Betriebssystem- und Plattformgrenzen hinweg.

Das erleichtert es kolossal, durchgängig starke Passwörter und damit für jeden Dienst einzigartige Zugangsdaten zu nutzen. Kostenlos nutzbar ist etwa der Manager Bitwarden.

2FA aktivieren

Weil Passwörter durch Phishing und Hacker-Angriffe erbeutet oder durch Datenlecks in fremde Hände gelangen können, rät das BSI, bei Accounts die sogenannte Zweifaktor-Authentisierung (2FA) einzuschalten, wo immer dies möglich ist. Dann muss beim Log-in zusätzlich zum Passwort noch ein Code eingegeben werden. Selbst wer das Passwort erbeutet, gefunden oder erraten haben sollte, kommt dann an dieser Stelle nicht weiter.

Erzeugt werden können die zusätzlichen Codes etwa per Smartphone-App. iPhones bringen die Möglichkeit, 2FA-Bestätigungscodes für Log-ins zu generieren, von Haus aus mit. Auf Android-Smartphones muss man eine Extra-App installieren, welche die, auch Einmalpasswörter genannten, Codes zum Einloggen erzeugen kann, etwa die kostenlose Open-Source-App Aegis.

Leak-Datenbanken checken

Hin und wieder sollte man prüfen, ob Zugangsdaten wie E-Mail-Adressen und zugehörige Passwörter vielleicht gehackt oder geleakt worden sind und geändert werden müssen.

Dazu unterhalten Sicherheitsforschende Datenbanken, die ganz einfach abgefragt werden können, etwa «Have I been pwned?» oder den Identity Leak Checker.

Passwortloses Anmelden mit Passkeys nutzen

Die Zukunft gehört den sogenannten Passkeys. Sie ermöglichen das passwortlose Anmelden, wenn der jeweilige Dienst dies unterstützt. Den Einsatz von Passkeys empfiehlt inzwischen auch das BSI, weil das Verfahren Passwörtern in vielerlei Hinsicht überlegen ist.

Bei den Diensten, die Passkeys anbieten, ist das Verfahren zunächst nur eine Option für den Log-in. Auch normale Passwörter und 2FA lassen sich erst einmal weiter nutzen.

So funktioniert das Passkeys-Verfahren

Herzstück der passwortlosen Anmeldung via Passkeys ist ein Krypto-Schlüsselpaar (Public-Key-Kryptographie). Ein privater Schlüssel wird vom Nutzer oder der Nutzerin gespeichert. Der andere, öffentliche Schlüssel liegt beim Dienste-Anbieter.

Möchten sich Nutzende bei einem Account einloggen, müssen sie nur das Auslesen ihres privaten Schlüssels durch den Anbieter des jeweiligen Dienstes freigeben - und zwar ganz einfach per Fingerabdruck, Gesichts-Scan oder PIN-Eingabe.

Viele Passwortmanager unterstützen Passkeys schon

Teils sind Passkeys noch an ein bestimmtes Gerät beziehungsweise Betriebssystem gebunden. Doch inzwischen ist der Weg auch frei dafür, dass sich Passkeys einfach und durchgängig verschlüsselt zwischen verschiedenen Geräten übertragen und synchronisieren lassen.

Vor allem unterstützen inzwischen auch die meisten Passwortmanager Passkeys oder haben dies angekündigt. Für viele Nutzende bedeutet das einen relativ einfachen, fließenden Übergang zwischen den Verfahren. (dpa)