„123456“ ist immer noch eines der meistgenutzten Passwörter weltweit. Laut einer Analyse von NordPass (2023) steht es weltweit auf Platz 1 der am häufigsten verwendeten Passwörter1. Warum? Weil viele Menschen glauben, es gehe vor allem um Merkfreundlichkeit. In Unternehmen kann dieser Irrtum zum Sicherheitsrisiko werden. Doch nicht nur schwache Passwörter sind das Problem.
Mythos 1: Ein komplexes Passwort reicht aus
Großbuchstaben, Zahlen, Sonderzeichen – viele Nutzer glauben, ein starkes Passwort sei automatisch sicher. Dabei vergessen sie, dass auch komplexe Passwörter in Datenlecks auftauchen können. Die Länge und Einmaligkeit sind entscheidend. Laut Verizon Data Breach Investigations Report 2023 sind gestohlene oder schwache Zugangsdaten in 49 % aller Sicherheitsvorfälle involviert2.
Mythos 2: Passwörter müssen regelmäßig geändert werden
Die alte Empfehlung zur Passwortänderung alle 90 Tage führt oft dazu, dass neue Passwörter vorhersehbar oder schwächer werden. Besser ist es, Passwörter nur bei begründetem Verdacht zu ändern und stattdessen auf technische Schutzmechanismen zu setzen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von zu häufigem Passwortwechsel ohne Anlass ab.
Mythos 3: Passwort-Manager sind unsicher
Viele scheuen Passwort-Manager, weil sie ein zentrales Angriffsziel darstellen. Fakt ist: Ein gut gesicherter Manager ist deutlich sicherer als Zettel, Excel-Listen oder Wiederverwendung. Die Marktforscher von Gartner empfehlen Passwort-Manager ausdrücklich für Unternehmen mit hoher Tool- und Accountvielfalt.
Mythos 4: Zwei-Faktor-Authentifizierung ist optional
Zwei-Faktor-Authentifizierung (MFA) wird häufig als „extra Aufwand“ empfunden. Doch genau dieser zweite Schritt verhindert viele Angriffe. Selbst wenn ein Passwort geleakt wird, bleibt der Zugang geschützt. Laut Microsoft können 99,9 % aller automatisierten Account-Angriffe durch MFA verhindert werden3.
Aus der Praxis: Was IT-Teams wirklich hilft
Ein IT-Leiter aus einem mittelständischen Bauzulieferer erzählt: „Früher haben wir quartalsweise neue Passwörter vorgegeben. Die Kollegen hingen irgendwann mit Post-its am Bildschirm. Seitdem wir MFA einsetzen und Passwort-Manager bereitstellen, haben wir weniger Tickets – und deutlich weniger Sicherheitsvorfälle.“
Exkurs: Wie erkenne ich schwache Passwortgewohnheiten?
- ✉️ Wiederverwendung desselben Passworts für mehrere Tools
- 📣 Zu kurze oder einfache Passwörter
- ⚠️ Notizzettel am Bildschirm oder im Portemonnaie
- ⌚ Hinweise wie „Name123“ oder „Firma2023“
Best Practices für Passwortsicherheit
- Länge vor Komplexität: Mindestens 12 Zeichen
- Einzigartigkeit pro System
- Passwort-Manager nutzen
- MFA aktivieren, wo immer möglich
- Keine Weitergabe von Passwörtern, auch nicht intern
Was bleibt hängen?
- Komplex ist nicht gleich sicher
- Regeländern bringt wenig ohne Kontext
- MFA ist kein Extra, sondern Pflicht
- Passwort-Manager sparen Zeit und Nerven
- Sicherheit beginnt mit Bewusstsein
Zeit für ein Umdenken
Passwörter sind oft die erste Verteidigungslinie. Wer sie stärkt, schützt nicht nur Daten, sondern auch das Vertrauen ins eigene System. Vielleicht ist genau heute der richtige Moment, um die eigenen Passwort-Gewohnheiten zu hinterfragen.
