Aktuelle Nachrichten
29. April 2026 | Sonstiges
Zum Welt-Passwort-Tag: Zugänge sichern statt Passwörter wechseln
Die meisten gestohlenen Account-Daten stammen aus großen Datenbank-Hacks, die oft durch Schwachstellen möglich waren. Daher sind Milliarden von Zugangsdaten im Netz zu finden. Nun könnten Sie besorgt alle Passwörter wechseln – oder einfach Ihre Zugänge mit neuester Technik perfekt absichern. Hier sind die besten AV-TEST Expertentipps für Endanwender, Selbständige und Kleinunternehmen.
Welt-Passwort-Tag
am 7. Mai 2026
Die Datenpakete aus großen Datenbank-Hacks landen am Ende immer im Darknet. Danach greifen Sicherheitsforscher die Daten auf und katalogisieren die Zugangsdaten in Forschungsdatenbanken. „Eine der bekanntesten Breach-Datenbanken und öffentliche Ressource ist der Service von „Have I Been Pwned“. Derzeit sind dort Zugangsdaten von 17,5 Milliarden kompromittierten Konten aus 972 Databreach-Quellen vereint. Nutzer können mit Hilfe ihrer E-Mail-Adresse kostenlos abfragen, ob sie in der Datenbank auftauchen und bei welchem Breach das war. Das Passwort wird natürlich nicht genannt, nur der Hinweis, ob es ebenfalls bekannt ist“, so Erik Heyland, Head of Testing Labs bei AV-TEST.
Passwörter wechseln ist meist sinnlos
In der Vergangenheit rieten Experten dazu, vergebene Passwörter immer wieder zu ändern. Aber das ist angesichts vielfältiger Angriffstechniken und Malware wie Infostealer keine sichere Lösung. Denn Cyberangreifer versuchen, sich permanent mit neuen Zugängen zu versorgen. Eine gute Schutz-Software kann das erfolgreich verhindern, wie etwa die regelmäßigen ATP-Test von AV-TEST belegen. Dass es noch viele andere Wege gibt, wie Bedrohungen auf Ihrem Gerät landen, zeigt ein schneller Blick auf das Echtzeit-Portal AV-ATLAS: Phishing, Betrug-E-Mails, Downloads, verseuchte Anhänge und vieles mehr.
Die besseren Lösungswege zum Schutz von Accounts und Passwörtern sind Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA), Passkeys und biometrische Schutzmaßnahmen. Ein Beispiel für Endanwender: Wird bei einem Zugang zu einem Shopping-Anbieter nur eine E-Mail-Adresse und ein einfaches Passwort genutzt, wäre dieser Account leicht zu knacken. Wird aber 2FA verwendet, ist der Zugang durch die zusätzliche Eingabe eines SMS-Codes, eines Passkeys oder durch Gesichtserkennung geschützt. Ohne diesen zweiten Faktor, auf den Cyberangreifer keinen Zugriff haben, sind E-Mail und Passwort nichts wert.
Das steckt hinter den Schutztechniken
2FA & MFA: Ein mobiles Gerät ist neben dem Passwort der zweite Faktor der Authentifizierung. Loggt sich ein Nutzer am PC ein, dann wird etwa ein SMS-Code am Gerät angezeigt, der beim Einloggen einzugeben ist. Der Code kann aber auch von der Google Authentifizierungs-App (für Android oder iOS) stammen. Bei MFA ist der Unterschied, dass mindestens zwei weitere Faktoren zur Authentifizierung genutzt werden. Also nach dem Passwort werden Nutzer aufgefordert, etwa einen Code einzugeben oder eine biometrische Bestätigung per Fingerabdruck vorzunehmen. Nachdem ein Gerät authentifiziert ist, muss man es meist nur noch alle paar Monate erneut authentifizieren.
Passkey: Viele Internet-Services setzen bereits auf Passkeys. Dabei wird bei der Anmeldung bei einem Anbieter ein kryptografisches Schlüsselpaar erzeugt. Ein Schlüssel verbleibt sicher auf dem Gerät des Nutzers, der zweite Schlüssel wird beim Dienst des Anbieters hinterlegt. Als weitere Sicherung dient dann z. B. noch ein Fingerabdruck, Gesichtserkennung oder ein PIN. Der Passkeys wird automatisch in einem Account von Microsoft, Google oder Apple mit anderen Geräten synchronisiert.
Biometrie: Wie bereits erwähnt, wird für das biometrische Verfahren auf einem Gerät ein Gesichtsscan oder Fingerabdruck für den Zugang hinterlegt. Das geht sehr einfach bei mobilen Geräten mit iOS oder Android, ist aber auch unter Windows und MacOS möglich. Die Daten liegen dann verschlüsselt auf einem Sicherheitschip des Geräts und nicht bei einem Unternehmen.
Das Passwort ist alte Technik – nutzen Sie neue!
Die hier vorgestellten Techniken zum erweiterten Schutz von Accounts mit Ihren E-Mail-Daten und Passwörtern sind sehr leicht umzusetzen. In der Regel bietet jeder Service-Anbieter eine Variante oder Kombination an. Bei mobilen Geräten wird meist Biometrie genutzt, bei PCs werden oft Passkeys und PIN eingesetzt. Wenn Sie einen dieser Services einrichten, übergeben Ihnen die Anbieter meist noch Notfallcodes. Damit kommen Sie bei Problemen immer an Ihren Account.
Aber auch hier sollten Sie nicht mit ausgedruckten Zetteln arbeiten. Legen Sie die Codes in einem Passwort-Manager mit Datenbank ab. Das kostenlose KeePass für Windows ist dabei eine Empfehlung oder etwa der Cloud-Service von Bitwarden, der systemunabhängig funktioniert. Lokale Passwort-Manager sind ratsam für Endanwender und Selbstständige. Die Passwortdatei lässt sich auch ganz einfach an einem anderen Speicherort sichern. Bei kleinen Unternehmen empfiehlt sich die Nutzung eines cloudbasierten Passwort-Tresors, wie zum Beispiel von Bitwarden. Dort gibt es für kleine Teams die Möglichkeit sich mit Hilfe des Tools einzuloggen, obwohl sie die Zugangsdaten nicht kennen und sie auf diese Weise auch nicht erfahren. Verlässt ein Mitarbeiter das Unternehmen, reicht der Entzug des Zugriffs auf das Passwort-Tool.
Vorsorge ist besser als alle Passwörter und Services zu ändern: Nutzen Sie auf alle Fälle eine gute Schutz-Software für Ihre mobilen Geräte oder PCs. Das Team von AV-TEST überprüft regelmäßig Security-Produkte für Windows, MacOS oder Android auf ihre Schutzwirkung – schauen Sie rein!