Sollten Passwörter zum Schutz sensibler Daten regelmäßig ausgetauscht werden? Nicht, wenn es nach dem Bundesamt für Sicherheit geht. Die Gründe hierfür.

Bonn – In Zeiten von Cyberkriminalität und Online-Betrügern, die auf sensible Daten aus sind, stellt sich für viele Menschen folgende Frage: Wie häufig muss ich mein Passwort wechseln, um gut geschützt zu sein? Zwingend erfolgen muss das laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht. Doch wie wird das begründet?

Bundesamt mit deutlicher Warnung: Warum Sie Passwörter nicht dauerhaft ändern sollten

Der Ratschlag an Verbraucher, Passwörter regelmäßig zu ändern, ist im Grunde überholt. Laut dem Amt für Sicherheit würden permanente, anlassunabhängige Wechsel der Passwörter nur dazu führen, dass zunehmend schwächere Passwörter genutzt werden. Solche Wechsel sollten auch nicht durch Dritte, beispielsweise den Arbeitgeber, gefordert oder technisch erzwungen werden.

+

Stattdessen hat das BSI für alle Betroffenen eine andere Empfehlung parat: Zusätzlich zu starken Passwörtern sollten Nutzer die Zwei-Faktor-Authentisierung aktivieren. Oder aber komplett auf Passkeys umsteigen, also einfache, sichere Alternativen zu Passwörtern. Das Anmelden, beispielsweise beim Google-Konto, kann über den Fingerabdruck, das Gesicht oder einen zuvor festgelegten PIN erfolgen.

„Wie ein zweites Sicherheitsschloss“: Was für die Zwei-Faktor-Authentisierung spricht

Generell weist das Bundesamt für Sicherheit in der Informationstechnik darauf hin, dass auch ein starkes Passwort keinen allumfassenden und ausreichenden Schutz vor Fremdzugriffen auf das jeweilige Benutzerkonto bietet. In diesem Fall wird explizit auf die Zwei-Faktor-Authentisierung hingewiesen:

„Sie fungiert wie ein zweites Sicherheitsschloss. Um auf ihr Benutzerkonto zugreifen zu können, müssen Nutzerinnen und Nutzer dann einen Code eingeben, der z.B. von einer vorab installierten Authentifizierungs-App auf ihrem Smartphone erstellt wird“, heißt es auf der Homepage der Behörde. Dann sei es für Angreifer erheblich schwerer, aufs Konto zuzugreifen. Auch, wenn sie das Passwort kennen.

Passkeys zum Datenschutz: Wie das Benutzerkonto mit dieser Methode „gut geschützt“ wird

Eine besondere Rolle kommt beim Thema Datenschutz auch Passkeys zu. „Statt ein Passwort einzugeben, nutzen Verbraucherinnen und Verbraucher dabei beispielsweise ihren Fingerabdruck, die Gesichtserkennung oder eine PIN auf ihrem Smartphone oder Computer, um ein kryptografisches Verfahren in Gang zu setzen“, sagt Markus Bieletzki, Experte bei der Stiftung Warentest und Mitglied im Beirat Digitaler Verbraucherschutz des BSI.

Logischerweise muss in diesem Szenario kein Passwort mehr eingegeben werden – und Kriminelle können auch kein Passwort mehr via Phishing-Angriff oder Datenleck abgreifen. Auf diesem Wege bleibt das Benutzerkonto „also gut geschützt“, so Bieletzki. Wie genau Passkeys genutzt werden können, informiert das BSI auf seiner Website.

Accountschutz wichtiger denn je: Nutzer sollten schon beim E-Mail-Konto anfangen

„Wer heute seinen Accountschutz überprüfen möchte, sollte bei seinem E-Mail-Konto anfangen. Darüber kann man oftmals die Anmeldeverfahren bei anderen Benutzerkonten, etwa Social-Media-Accounts, zurücksetzen“, empfiehlt derweil Maximilian Berndt, Experte für Verbraucherschutz beim BSI. Denn: „Wer unbefugten Zugriff auf das E-Mail-Konto erlangt, dem stehen daher mitunter auch weitere Konten offen“.

Sobald der Verdacht besteht, dass ein Passwort beispielsweise Teil eines Datenlecks war, sollte der betroffene Nutzer das Passwort ändern. Ein Fremdzugriff kann sich darin äußern, dass Einstellungen verändert oder auch E-Mails verschickt wurden, die der E-Mail-Kontobesitzer eben nicht selbst versandt hat. Vorsicht ist in jedem Fall geboten. (han)

Rubriklistenbild: © Udo Herrmann/imago/Symbolbild