© pexels / yan krukau

Digital Life

Die 5 schlechtesten Passwort-Ratschläge

Florian Christof

Den heutigen Welt-Passwort-Tag sollte man zum Anlass nehmen, sich von diesen unsinnigen Empfehlungen zu verabschieden.

Jährlich am ersten Donnerstag im Mai ist der Welt-Passwort-Tag. Er soll dazu dienen, die Bedeutung eines sicheren Umgangs mit Passwörtern und Sicherheit ins Bewusstsein zu rufen.

Wir nehmen diesen Tag zum Anlass, um mit weitverbreiteten, aber mittlerweile nicht mehr gültigen Passwort-Mythen aufzuräumen. Hier sind die 5 schlechtesten Passwort-Ratschläge:

Schlechter Ratschlag 1

"Du musst dein Passwort regelmäßig ändern"

Beim regelmäßigen Ändern des Passworts muss man sich nämlich immer neue Passwörter überlegen, die man sich gleichzeitig auch merken kann. Es hat sich herausgestellt, dass die meisten Personen dabei nach einem fortlaufenden Schema vorgehen, was der Sicherheit nicht zugutekommt.

Verwendet man ein starkes Passwort, braucht man es nicht regelmäßig ändern. Es gibt aber eine große Ausnahme: Hat ein Dienst ein Sicherheitsproblem oder es gab einen Datendiebstahl, bei dem auch Login-Informationen abgegriffen wurden, sollte man das Passwort beim betroffenen Dienst schnellstmöglich ändern.

Mit den vertrauenswürdigen Diensten "Have I Been Pwned" und dem "HPI Identity Leak Checker" lässt sich herausfinden, ob Login-Daten zu den eigenen Online-Accounts in gestohlenen Datenbanken auftauchen. Wenn dies der Fall ist, sollte man das Passwort bei den jeweiligen Diensten ändern.

Schlechter Ratschlag 2

"Wer soll sich schon für mich interessieren, mich hackt schon niemand."

Das ist wohl der größte Blödsinn, den man in Sachen Passwort-Sicherheit von sich geben kann. Bei den allermeisten Angriffen - viele davon laufen etwa vollautomatisiert ab - interessiert sich ja tatsächlich kaum jemand für die Person. Vielmehr liegen aber deren Online-Konten im Visier, und mit denen kann man allerhand Schaden anrichten.

Mit einem kompromittierten E-Mail-Konto können sich Kriminelle beispielsweise Zugriff zu einer Reihe anderer Konten verschaffen. Selbiges gilt für zentrale Accounts wie Google, Facebook, iCloud, Dropbox, WhatsApp usw.

Außerdem können gekaperte Online-Konten den Ausgangspunkt für Phishing-Attacken darstellen, bei denen Bekannte und Freunde ins Fadenkreuz von Cyberkriminellen gelangen.

Schlechter Ratschlag 3

"2-Faktor-Authentifizierung ist zu kompliziert, das verwirrt dich nur"

2-Faktor-Authentifizierung klingt tatsächlich ziemlich kompliziert. Wer aber Online-Banking nutzt und in der Vergangenheit schon einmal einen TAN-Code für eine Überweisung eingegeben hat oder in diesem Zusammenhang eine Identity-App genutzt hat, hat bereits mit dieser 2-Faktor-Authentifizierung Bekanntschaft gemacht.

Bei all jenen Diensten, die eine solche Login-Methode anbieten, sollte sie auch genutzt werden. Theoretisch wird dadurch das Passwort - sollte es in fremde Hände gelangen - mehr oder weniger wertlos, weil man ja den 2. Faktor benötigt, um sich einzuloggen.

Leider bieten nicht alle Online-Dienste eine 2-Faktor-Authentifizierung an. Manchmal gibt es aber auch die Möglichkeit, sich per Mail benachrichtigen zu lassen, wenn es einen Login gab. Das hilft zwar nicht gegen unberechtigten Zugriff, man kann aber damit zumindest feststellen, dass es einen Login oder einen Login-Versuch gab. Sollte dies der Fall sein, dann gilt: Schnellstmöglich das Passwort ändern.

Schlechter Ratschlag 4

"Passwortmanager sind auch nicht sicher"

Zugegeben, diese Aussage ist nicht ganz unkorrekt und bringt uns zu einer weiteren schwülstigen Weisheit aus der IT-Security, die da lautet: "100-prozentige Sicherheit kann es nie geben." Also was gilt nun?

Auch wenn Passwortmanager in der Vergangenheit durch Hacks nicht immer positiv aufgefallen sind, sind diese Dienste immer noch deutlich sicherer als selbst ausgedachte Passwörter, die man dann vielleicht bei mehreren Diensten gleichzeitig verwendet.

Mit Passwort-Manager-Diensten kann man für jede Website ein einzigartiges, ausreichend langes und starkes Passwort nutzen und muss sich nicht alle Passwörter merken. Merken muss man sich nur das Master-Passwort, mit dem man Zugriff auf die weiteren Passwörter erhält. Und hier sollte man dann auf jeden Fall auch die 2-Faktor-Authentifizierung aktivieren.

Wer sich nicht durch verschiedene Dienste quälen möchte, könnte bei Google oder Apple fündig werden. Die beiden Unternehmen bieten ihre eigenen Passwortmanager, die zum Teil im Betriebssystem integriert sind. Für viele ist dies wohl die einfachste Art und Weise, einen sicheren Passwort-Manager zu nutzen.

Schlechter Ratschlag 5

"Dieses passwortfreie Einloggen ist noch in ferner Zukunft"

Stimmt nicht! Im Apple- und Google-Ökosystem gibt es bereits die Funktion namens "Passkey". Bei dieser Methode wird auf ein Passwort verzichtet. Stattdessen nutzt man ein Gerät zur Authentifizierung, wie etwa das eigene Smartphone, das in der Regel ja auch durch Biometrie (Fingerabdruck oder Gesichtsscan) oder einen Passcode geschützt ist.

Will man sich etwa auf seinem Rechner bei einem Online-Dienst einloggen, gibt man lediglich seinen Benutzernamen ein. Anschließend entsperrt man das Handy per Fingerabdruck, Gesichtsscan oder Passcode und erlaubt darüber den Zugriff. Am Rechner ist man dann eingeloggt. Wie "Passkeys" funktionieren, haben wir in diesem Artikel detailliert zusammengefasst.
Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 07.05.2026, 16:53 Uhr

Florian Christof

Großteils bin ich mit Produkttests beschäftigt - Smartphones, Elektroautos, Kopfhörer und alles was mit Strom betrieben wird.

mehr lesen

Mehr zum Thema

Digital Life

Google: So wird die Zukunft passwortfrei

Digital Life

LastPass-Hack: Wie sicher sind meine Passwörter?

Produkte

Netflix droht mit Sperre bei Passwort-Sharing