Jeder kennt die Aufforderung: „Ihr Passwort läuft in 5 Tagen ab. Bitte wählen Sie ein neues.“ Meistens folgt darauf ein genervtes Seufzen und die Änderung von Urlaub!2025 zu Urlaub!2026. Doch genau diese Praxis, die jahrelang als Sicherheitsstandard galt, ist heute überholt. Moderne Sicherheitsvorgaben, unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI), setzen auf eine neue Strategie: Qualität durch Länge statt Quantität durch Wechsel.
Der Abschied vom 90-Tage-Rhythmus
Lange Zeit war die Empfehlung klar: Passwörter sollten mindestens 8 Zeichen lang sein und alle 90 Tage geändert werden. Die Theorie dahinter war logisch: Sollte ein Passwort gestohlen werden, wäre es durch den baldigen Wechsel nur kurz für Angreifer nutzbar.
In der Praxis hat dieser regelmäßige Zwang jedoch das Gegenteil bewirkt. Nutzer neigen bei häufigen Wechseln zu vorhersagbaren Mustern – sie zählen Zahlen hoch, hängen Sonderzeichen nach einem festen Schema an oder nutzen Begriffe, die leicht zu erraten sind. Für Hacker sind diese Muster ein gefundenes Fressen. Das BSI hat daher seine Leitlinien angepasst: Ein Wechsel ist heute nur noch dann zwingend erforderlich, wenn der Verdacht besteht, dass ein Passwort kompromittiert wurde – vorausgesetzt, das Passwort ist von Beginn an stark genug.
Übrigens: Auf Wunsch prüfen wir die Domains unserer Kunden und informieren sie, sobald entsprechende Konto-/Kennwortkombinationen im Internet veröffentlicht werden. Damit es aber nicht soweit kommt, führen wir regelmäßige Phishingtests durch und schulen die Mitarbeiter unserer Kunden im Umgang mit gefälschten Anmeldeseiten.
Die Mathematik der Sicherheit: 8 vs. 14 Zeichen
Der entscheidende Faktor für die Sicherheit ist die sogenannte Entropie – die Unvorhersehbarkeit eines Passworts. Hier spielt die Länge die Hauptrolle. Schaut man sich die Zeit an, die ein moderner Hochleistungsrechner für einen „Brute-Force-Angriff“ (das automatisierte Durchprobieren aller Kombinationen) benötigt, wird der Unterschied deutlich:
- 8 Zeichen (Mix aus Buchstaben, Zahlen, Sonderzeichen): Ein heutiger Passwort-Knacker benötigt oft nur wenige Stunden bis einige Tage, um alle Möglichkeiten zu prüfen.
- 14 Zeichen (gleicher Mix): Durch die zusätzliche Länge steigt die Anzahl der Kombinationen so massiv an, dass die Rechenzeit auf viele Millionen Jahre anwächst.
Ein 14-stelliges Passwort bietet somit einen mathematischen Schutzwall, der einen regelmäßigen Wechsel (etwa alle 90 Tage) faktisch überflüssig macht. Ein Intervall von beispielsweise 270 Tagen oder gar der Verzicht auf einen Turnus ist bei dieser Länge absolut vertretbar.
Die „Todsünden“ der Passworterstellung
Länge allein ist jedoch kein Allheilmittel, wenn der Inhalt vorhersehbar ist. Sicherheitssexperten raten dringend dazu, folgende Elemente in Passwörtern zu vermeiden:
- Persönliche Daten: Namen von Familienmitgliedern, Haustieren oder der eigene Name sind leicht zu recherchieren.
- Identifikation mit dem Umfeld: Der Name des Arbeitgebers oder der Wohnort haben in einem sicheren Kennwort nichts zu suchen.
- Jahreszahlen: Kombinationen wie „2025“ oder Geburtsjahre sind die ersten Muster, die automatisierte Hacker-Tools prüfen.
Die Lösung für den Alltag: Passphrasen und Manager
Wer soll sich 14-stellige Kryptik für dutzende Accounts merken? Die Antwort liegt in zwei Werkzeugen:
1. Die Passphrase
Statt wirrer Zeichenfolgen wie X9!q$Lp2 nutzt man ganze Sätze. Ein Beispiel:
Ich-esse-lieber-Pizza-als-Pasta-im-Sommer!
Dieser Satz ist über 40 Zeichen lang, mathematisch extrem sicher und dennoch für einen Menschen leicht zu merken und zu tippen.
2. Passwort-Manager: Das digitale Gedächtnis
Der Einsatz eines Passwort-Managers (wie Bitwarden, 1Password oder KeePass) ist heute der wichtigste Schritt zu echter digitaler Sicherheit.
- Komplexität ohne Mühe: Der Manager generiert für jeden Dienst ein absolut zufälliges, langes Passwort.
- Einzigartigkeit: Man verwendet nie dasselbe Passwort zweimal. Wenn ein Dienst gehackt wird, bleiben alle anderen Accounts sicher.
- Nur ein Master-Key: Man muss sich nur noch ein einziges, sehr starkes Master-Passwort merken. Den Rest erledigt die Software per Knopfdruck oder Auto-Fill.
Die Best-Practice-Lösung
So wichtig lange, einzigartige Passwörter und ein Passwort-Manager sind: Passwörter können trotzdem abgegriffen werden – zum Beispiel über täuschend echte Loginseiten, die Anmeldedaten in Echtzeit an Angreifer weiterleiten. Genau deshalb ist die Best-Practice heute nicht „nur besseres Passwort“, sondern ein zusätzlicher Schutzmechanismus beim Login.
Die beste Option ist phishing-resistente Multifaktor-Authentifizierung – also Verfahren, die technisch verhindern, dass eine Anmeldung auf einer gefälschten Seite „weiterverwendet“ werden kann. Dazu zählen vor allem FIDO2/WebAuthn-Tokens (Security Keys) und Passkeys (gerätegebundene bzw. kryptografische Schlüssel). Diese Verfahren sind so konzipiert, dass sie an den echten Dienst bzw. die echte Domain gebunden sind und damit typischen Phishing-Angriffen deutlich besser standhalten.
Wenn das (noch) nicht überall möglich ist, gilt mindestens:
MFA aktivieren – also zusätzlich zum Kennwort einen zweiten Faktor nutzen (z. B. Authenticator-App per TOTP oder Push). Das erhöht die Sicherheit im Vergleich zu „nur Benutzername + Passwort“ erheblich und sollte nicht leichtfertig deaktiviert werden.
Praxis-Empfehlung für Unternehmen (einfaches Zielbild):
Priorität 1 (Admin-/Privilegierte Konten, Remote-Zugänge, Cloud-Logins): Phishing-resistente MFA (Passkeys/FIDO2-Security-Key).
Priorität 2 (breite Masse, wenn Passkeys noch nicht flächig gehen): MFA mit App (TOTP/Push) + saubere Recovery-Prozesse, klare Regeln für Gerätewechsel etc.
Ergänzend: Auch den Passwort-Manager selbst mit einem zweiten Faktor schützen (sonst wird er zum „Single Point of Failure“).
Fazit
Sicherheit bedeutet heute nicht mehr, sich alle drei Monate eine neue Eselsbrücke für ein kurzes Passwort zu bauen. Wer auf Länge, Einzigartigkeit und einen Passwort-Manager setzt, reduziert bereits massiv das Risiko durch erratbare oder wiederverwendete Kennwörter. Der nächste logische Schritt zur Best-Practice ist jedoch, den Login selbst zusätzlich abzusichern: phishing-resistentes MFA (Passkeys/FIDO2) wo immer möglich – und wenn das nicht flächendeckend umsetzbar ist, dann mindestens MFA mit einem zweiten Faktor.
Und der Passwortwechsel? Der bleibt sinnvoll – aber gezielt: Wenn es Hinweise auf kompromittierte Zugangsdaten gibt, wird sofort gewechselt. Der starre Turnus allein macht dagegen selten sicherer, sondern produziert oft nur neue Muster.