Am 1. Februar ist „Ändere-dein-Passwort-Tag“. Doch dieser Aktionstag sollte 2026 für etwas anderes stehen als bisher: nicht für das routinemäßige Ändern von Passwörtern, sondern für einen grundlegenden Wandel in der digitalen Sicherheit.
Passwörter sind zweifellos ein notwendiges Übel der Digitalisierung. Jahrelang galt die Regel: Ändere deine Passwörter regelmäßig. Doch wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun klarstellt, führen anlassunabhängige Passwortwechsel eher zu schwächeren Passwörtern. Die Menschen werden kreativ – aber leider in die falsche Richtung: Aus „Sommer2025!“ wird einfach „Winter2026!“, und schon ist die vermeintliche Sicherheit wiederhergestellt.
Wie problematisch die Passwortpraxis vieler Nutzer tatsächlich ist, zeigen aktuelle Analysen: Das weltweit am häufigsten verwendete Passwort ist nach wie vor „123456“, gefolgt von Varianten wie „123456789“ und „12345“. In Deutschland sieht es kaum besser aus. Hier führt „admin“ die Liste an, gefolgt von „123456“ und „lol123456“.
Besonders bemerkenswert: Während ältere Generationen häufiger Namen wie „maria“ in ihren Passwörtern verwenden, setzt die Gen Z auf Begriffe wie „skibidi“. Doch egal ob „Kasperle123“, „zwieback“ oder „Gesundheit“ – die Kreativität geht leider nicht mit Sicherheit einher.
Die Folgen sind dramatisch: Etwa ein Viertel aller analysierten Passwörter besteht ausschließlich aus Zahlen, und 38 Prozent enthalten die Zeichenfolge „123“. Solche Kombinationen lassen sich in Sekundenbruchteilen knacken.
Die gute Nachricht: Passwörter werden zunehmend überflüssig. Mit Fingerabdruck, Gesichtserkennung oder einer PIN auf dem Smartphone können Nutzer ein kryptografisches Verfahren in Gang setzen, bei dem kein Passwort mehr eingegeben werden muss. Diese sogenannten Passkeys können nicht abgegriffen, gestohlen oder erraten werden – ein fundamentaler Sicherheitsvorteil.
Wer noch nicht auf Passkeys umsteigen möchte, sollte zumindest die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Sie fungiert wie ein zweites Sicherheitsschloss: Selbst wenn Angreifer das Passwort kennen, benötigen sie einen zusätzlichen Code, der beispielsweise von einer Authentifizierungs-App erstellt wird.
Das BSI weist auf einen kritischen Punkt hin: Wer heute seinen Accountschutz überprüfen möchte, sollte beim E-Mail-Konto anfangen, da darüber oft die Anmeldeverfahren bei anderen Konten zurückgesetzt werden können. Ein kompromittiertes E-Mail-Konto öffnet Kriminellen oft Zugang zu weiteren Diensten.
Nutzen Sie den 1. Februar 2026 nicht für routinemäßige Passwortwechsel, sondern für sinnvolle Sicherheitsmaßnahmen: Aktivieren Sie die Zwei-Faktor-Authentifizierung, steigen Sie auf Passkeys um oder richten Sie einen Passwort-Manager ein. Nur bei konkretem Verdacht auf Kompromittierung – etwa durch verdächtige Aktivitäten oder Datenlecks – sollten Passwörter geändert werden. Unternehmen sollten generell ihr Enterprise Access Management überdenken und zusammen mit einer umfassenden Identity- und Access-Management-Lösung die Basis für die sichere Digitalisierung legen. Der vibrio Kunde Imprivata (und andere) bieten entsprechende Lösungen an, um passwortloses Single-Sign-On und Privileged Access Management in Unternehmen umzusetzen.
Privatpersonen prüfen mit dem Identity Leak Checker des Hasso-Plattner-Instituts oder „Have I Been Pwned„, ob Ihre E-Mail-Adresse in Datenlecks aufgetaucht ist. Falls ja, ändern Sie das betroffene Passwort sofort und aktivieren Sie 2FA. Ansonsten investieren Sie Ihre Zeit lieber in moderne Sicherheitsmethoden als in das altbackene Passwort-Karussell.
Viele nutzen den integrierten Passwortsafe ihres Browsers – eine praktische Lösung. Doch was ich lange auch nicht wusste: Dieser lässt sich selbst auch noch mit einem Master-Passwort schützen. Sonst kann jeder, der Zugriff auf Ihren Computer hat, alle gespeicherten Passwörter einsehen. Aktivieren Sie diese Schutzfunktion in den Einstellungen Ihres Browsers. Starten Sie den Browser immer gleich, wenn der Rechner hochgefahren ist und geben Sie das Passwort ein, und schließen Sie den Browser einfach nicht mehr, solange Sie arbeiten, dann macht diese zusätzliche Hürde gegen Cyberkriminelle keine weitere Mühe.
Die Zukunft der digitalen Sicherheit ist passwortlos – und sie hat bereits begonnen.
KI-Hinweis: Die Idee zu dem Text stammt von mir, die Quellen habe ich ausgewählt. Der erste redaktionelle Entwurf wurde mit Claude.ai erstellt. Die Prüfung des Textes und redaktionelle Ergänzungen und Überarbeitungen erfolgten durch mich.
Illustrationen von Unsplash: Titelbild von Vitaly Gariev, Bild im Text von George Prentzas
Wie steht es um die IT-Sicherheit in Deutschland? Diese Frage beantwortet die aktuelle und repräsentative Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit Statista und brand eins.
Mit 993 Ausstellern, fast 100 mehr als im letzten Jahr, hat die it-sa wieder einen neuen Rekord verzeichnet.
Apple weigert sich gegenüber dem FBI den Zugang zum Smartphone eines Terroristen zu ermöglichen. Mit dem Argument, dass die Sicherheit von Millarden von Smartphone-Usern und deren digitale Souveränität das wichtigere Gut seien, kämpftt der Konzern damit an der Spitze eines rechtsphilosophischen Streits, dessen Auswirkungen noch nicht abzusehen sind.
