Wie oft sollte man Passwörter ändern?

Kurze Antwort

Passwörter für wichtige Konten (E-Mail, Banking, soziale Medien) alle 3 bis 6 Monate ändern. Sofort ändern, wenn ein Dienst eine Datenpanne meldet. Noch wichtiger: Einen Passwort-Manager mit einzigartigen, starken Passwörtern für jedes Konto verwenden – Passwörter wiederzuverwenden ist viel gefährlicher als sie nicht oft genug zu ändern.

Passwörter sind die Schlüssel zum gesamten digitalen Leben – Bankkonten, E-Mail, Krankenunterlagen, soziale Medien, alles. Wenn Hacker ein Unternehmen knacken (und das passiert ständig), erhalten sie Millionen von Passwörtern auf einmal. Wenn man dasselbe Passwort auf mehreren Seiten verwendet, übergeben sie einem den Schlüssel für alles. Die Kosten gehackt zu werden sind nicht nur Geld – sondern Monate Aufräumarbeit, gesperrter Kredit und gestohlene Identität.

Detaillierte Analyse

Die moderne Passwort-Strategie

Der alte Rat lautete "Passwörter alle 30 Tage ändern." Sicherheitsexperten sagen jetzt, dass das kontraproduktiv ist – erzwungene häufige Änderungen veranlassen Menschen, schwächere Passwörter zu verwenden (Passwort1, Passwort2, Passwort3...) oder sie auf Haftnotizen zu schreiben.

Die moderne Strategie lautet:

  1. Einen Passwort-Manager verwenden (1Password, Bitwarden, Dashlane), um einzigartige, komplexe Passwörter für jedes Konto zu generieren und zu speichern.
  2. Jedes Passwort einzigartig machen – Niemals Passwörter siteübergreifend wiederverwenden.
  3. Planmäßig ändern – Alle 3-6 Monate für wichtige Konten.
  4. Sofort nach einer Datenpanne ändern.
  5. Zwei-Faktor-Authentifizierung (2FA) überall aktivieren, wo es möglich ist.

Stufe 1: Alle 3 Monate ändern

Diese Konten kontrollieren den Zugang zu allem anderen oder halten sensible Finanzdaten:

  • Primäre E-Mail – Wenn jemand in die E-Mail kommt, kann er jedes andere Passwort zurücksetzen.
  • Bank- und Finanzkonten – Direkter Zugang zu Geld.
  • Passwort-Manager Master-Passwort – Der Schlüssel zu allen Schlüsseln.
  • Geschäfts-/Unternehmenskonten – Besonders bei Administratorzugang.

Stufe 2: Alle 6 Monate ändern

Wichtige Konten, die Schaden anrichten könnten, aber weniger direkt angegriffen werden:

  • Soziale Medien – Facebook, Instagram, Twitter/X, LinkedIn.
  • Cloud-Speicher – Google Drive, Dropbox, iCloud.
  • Shopping-Konten – Amazon, eBay (besonders mit gespeicherten Zahlungsdaten).
  • Streaming-Dienste – Netflix, Spotify (oft geteilt und kompromittiert).

Stufe 3: Jährlich oder nach Datenpannen ändern

Risikoärmere Konten ohne sensible persönliche oder finanzielle Daten:

  • Foren und Community-Seiten
  • Newsletter-Abonnements
  • Gaming-Konten
  • Apps ohne Zahlungsdaten

Was ein starkes Passwort ausmacht

Bei Verwendung eines Passwort-Managers (und das sollte man) lässt man ihn Passwörter generieren. Für die wenigen Passwörter, die man auswendig kennen muss (Master-Passwort, Gerät entsperren), diese Regeln befolgen:

  • Mindestens 16 Zeichen – Länge schlägt Komplexität.
  • Passphrase-Methode – 4-5 zufällige Wörter aneinanderreihen: "Korrekte Pferd Batterie Heftklammer" ist sowohl stark als auch merkbar.
  • Keine persönlichen Infos – Keine Geburtstage, Haustiernamen, Adressen oder etwas, das aus sozialen Medien erraten werden kann.
  • Keine Muster – Keine Tastaturläufe (qwerty), keine Sequenzen (123456), keine wiederholten Zeichen.

Zwei-Faktor-Authentifizierung (2FA)

Passwörter zu ändern ist wichtig, aber 2FA ist der eigentliche Gamechanger. Selbst wenn jemand das Passwort kennt, kann er sich ohne den zweiten Faktor nicht einloggen.

2FA-Methoden von best bis schlechtesten:

  1. Hardware-Sicherheitsschlüssel (YubiKey) – Phishing-sicher
  2. Authentifizierungs-App (Google Authenticator, Authy) – Stark und praktisch
  3. SMS-Codes – Besser als nichts, aber anfällig für SIM-Swapping
  4. E-Mail-Codes – Am schwächsten, da E-Mail kompromittiert werden kann

2FA auf jedem Konto aktivieren, das es unterstützt, besonders Stufe-1-Konten.

Nach einer Datenpanne

Wenn man die gefürchtete "Wir haben einen Sicherheitsvorfall erlebt"-E-Mail erhält:

  1. Sofort das Passwort auf diesem Dienst ändern.
  2. Das Passwort auf jedem anderen Dienst ändern, wo dasselbe Passwort verwendet wurde. (Deshalb sind einzigartige Passwörter wichtig.)
  3. 2FA aktivieren, falls noch nicht geschehen.
  4. Konten auf ungewöhnliche Aktivitäten überwachen.
  5. haveibeenpwned.com prüfen – E-Mail eingeben, um zu sehen, in welchen Datenpannen man involviert war.

Passwort-Manager einrichten

Wer noch keinen Passwort-Manager hat: Die Einrichtung dauert etwa eine Stunde und ist die eine beste Sache für die Sicherheit:

  1. Einen Passwort-Manager wählen (Bitwarden ist kostenlos und hervorragend; 1Password kostet ca. 3€/Monat).
  2. Ein starkes Master-Passwort erstellen, das man auswendig kennt.
  3. Browser-Erweiterung und mobile App installieren.
  4. Bei jeder Website-Anmeldung die Zugangsdaten im Manager speichern.
  5. Im Laufe des nächsten Monats durch die Konten gehen und wiederverwendete Passwörter durch einzigartig generierte ersetzen.

Zeichen, dass es Zeit ist

  • Man hat eine Datenpannen-Benachrichtigung von einem Dienst erhalten
  • Man kann sich nicht erinnern, wann die wichtigsten Passwörter zuletzt geändert wurden
  • Man verwendet dasselbe Passwort auf mehreren Seiten
  • Man hat keine 2FA für E-Mail oder Banking aktiviert
  • Man hat ein Passwort mit jemandem geteilt und die Beziehung hat sich verändert
  • Man hat sich auf einem öffentlichen oder gemeinsamen Computer eingeloggt
  • Man sieht unbekannte Anmeldeaktivitäten in den Kontoeinstellungen
  • Es sind mehr als 3 Monate seit der letzten Passwortrotation vergangen

Übersichtstabelle

| Kontotyp | Änderungshäufigkeit | 2FA-Priorität | |----------|--------------------|--------------| | Primäre E-Mail | Alle 3 Monate | Kritisch – Authentifizierungs-App verwenden | | Banking/Finanzen | Alle 3 Monate | Kritisch – Authentifizierungs-App verwenden | | Passwort-Manager | Alle 3 Monate | Kritisch – Sicherheitsschlüssel verwenden | | Soziale Medien | Alle 6 Monate | Hoch | | Cloud-Speicher | Alle 6 Monate | Hoch | | Shopping (gespeicherte Karten) | Alle 6 Monate | Hoch | | Streaming-Dienste | Alle 6 Monate | Mittel | | Foren/Communities | Jährlich | Niedrig | | Nach einer Datenpanne | Sofort | Aktivieren falls noch nicht |

Tracke das, damit du es dir nicht merken musst

🔐 Passwörter ändern3 months

Jetzt kostenlos tracken

Verwandte Ratgeber

Die Erwachsenen-Checkliste: Alles, was man als Erwachsener im Blick behalten sollteWie oft sollte man den Computer sichern?Wie oft sollte man die Kreditwürdigkeit prüfen?Wie oft sollte man das Budget überprüfen?