Ort Bonn
Datum 31.01.2025

Am 1. Februar ist Ändere-dein-Passwort-Tag. Die Idee: Für den Fall, dass ein Passwort z.B. unbemerkt in einem Datenleck enthalten war, sollen Verbraucherinnen und Verbraucher ihre Passwörter vorsorglich ändern. Tatsächlich ist dieser Ratschlag jedoch überholt. Regelmäßige, anlassunabhängige Passwortwechsel führen erfahrungsgemäß dazu, dass zunehmend schwächere Passwörter genutzt werden. Sie sollten auch durch Dritte, etwa durch Arbeitgeberinnen und Arbeitgeber, nicht gefordert oder technisch erzwungen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt stattdessen, zusätzlich zu starken Passwörtern die Zwei-Faktor-Authentisierung zu aktivieren oder ganz auf Passkeys umzusteigen.

Passwörter können in falsche Hände geraten – etwa bei einem Datenleck oder einem erfolgreichen Phishing-Angriff. Auch ein starkes Passwort bietet daher allein keinen ausreichenden Schutz vor Fremdzugriffen auf das jeweilige Benutzerkonto. Hier kommt die Zwei-Faktor-Authentisierung ins Spiel: Sie fungiert wie ein zweites Sicherheitsschloss. Um auf ihr Benutzerkonto zugreifen zu können, müssen Nutzerinnen und Nutzer dann einen Code eingeben, der z.B. von einer vorab installierten Authentifizierungs-App auf ihrem Smartphone erstellt wird. So wird es für Angreifende deutlich schwieriger, auf ein Konto zuzugreifen – selbst wenn sie das Passwort kennen.

Dr. Markus Bieletzki, Experte bei der Stiftung Warentest und Mitglied im Beirat Digitaler Verbraucherschutz des BSI: „Eine sichere Alternative zu Passwörtern stellen außerdem Passkeys dar: Statt ein Passwort einzugeben, nutzen Verbraucherinnen und Verbraucher dabei beispielsweise ihren Fingerabdruck, die Gesichtserkennung oder eine PIN auf ihrem Smartphone oder Computer, um ein kryptografisches Verfahren in Gang zu setzen. Da sie kein Passwort mehr eingeben müssen, können Kriminelle auch kein Passwort mehr z.B. bei einem Phishing-Angriff oder Datenleck abgreifen oder anderweitig knacken. Das Benutzerkonto bleibt also gut geschützt.“

Wie Verbraucherinnen und Verbraucher Passkeys nutzen können, erklärt das BSI auf seiner Website. Bietet ein Dienst weder die Zwei-Faktor-Authentisierung noch Passkeys an, kann es sich lohnen, nach alternativen Diensten Ausschau zu halten, die einen besseren Schutz des Benutzerkontos ermöglichen. Alle, die lieber auf Passwörter in Kombination mit der Zwei-Faktor-Authentisierung statt auf Passkeys setzen, sollten dabei weiterhin möglichst starke Passwörter verwenden. Ein Passwortmanager hilft dabei, den Überblick über die Vielzahl von Passwörtern zu behalten.

Maximilian Berndt, Experte für Verbraucherschutz beim BSI: „Wer heute seinen Accountschutz überprüfen möchte, sollte bei seinem E-Mail-Konto anfangen. Darüber kann man oftmals die Anmeldeverfahren bei anderen Benutzerkonten, etwa Social-Media-Accounts, zurücksetzen. Wer unbefugten Zugriff auf das E-Mail-Konto erlangt, dem stehen daher mitunter auch weitere Konten offen. Zum anderen ist es per E-Mail möglich, vertrauenserweckend mit engen Kontakten der betroffenen Person zu kommunizieren: Das spielt Betrügerinnen und Betrügern in die Hände.“

Besteht der Verdacht, dass ein Passwort z.B. in einem Datenleck enthalten war, sollte der Nutzer das Passwort ändern. Mögliche Anzeichen für einen Fremdzugriff sind auch etwa, dass Einstellungen verändert oder E-Mails verschickt wurden, die der jeweilige E-Mail-Kontobesitzer nicht selbst versandt hat. Das weitere Vorgehen für einen solchen Ernstfall erklärt ein Notfallplan des BSI.

Wer bislang nur ein schwaches Passwort verwendet oder den Verdacht hat, ein Passwort sei nicht mehr geheim, kann den 1. Februar nutzen, um dies zu ändern – womöglich zum letzten Mal. Besteht kein begründeter Verdacht, können Verbraucherinnen und Verbraucher den Aktionstag besser nutzen, indem sie die Zwei-Faktor-Authentisierung aktivieren oder gleich auf Passkeys umsteigen.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de

BSI in Social Media