Warum wir noch über Passwörter sprechen und längst viel weiter sind

Gestern war Welt-Passwort-Tag (WPD)*. Er erinnert uns jedes Jahr daran, wie wichtig sichere Zugangsdaten sind. Doch 2026 fühlt sich dieser Aktionstag fast an wie ein Relikt aus einer anderen Zeit. Wir sprechen zwar immer noch über Passwörter, aber im Hintergrund hat sich die Art, wie wir uns authentifizieren, tiefgreifend verändert. Passwörter sind zwar nicht verschwunden, aber sie spielen längst nicht mehr die Hauptrolle. Tokens, MFA-Mechanismen, passwortlose Verfahren und adaptive Authentifizierung bestimmen inzwischen den Alltag.

Die Herausforderung: Viele Nutzerinnen und Nutzer wissen zwar, das wohl „irgendwas mit MFA“ passiert, aber nicht, wie diese Mechanismen funktionieren oder warum sie entscheidend sind.

*Wer dahintersteckt und warum es den WPD gibt? Mehr dazu im Infokasten.

Passwörter sind in 2026 nicht weg, aber sie sind nicht mehr genug

Passwörter bleiben ein Einstiegspunkt, aber sie sind heute nur noch ein Faktor unter vielen. Die Realität zeigt ganz deutlich, wie sehr sich die Bedrohungslage verändert hat. Phishing Angriffe sind professioneller als je zuvor, KI‑gestützte Tools machen Brute‑Force‑Versuche immer effizienter und es gibt immer noch (viele) Menschen, die ihre Passwörter recyceln und mehrfach verwenden. All das zeigt: ein Passwort allein reicht nicht mehr! Wir brauchen zusätzliche Schutzschichten. Security Awareness bedeutet heute nicht mehr nur, ein starkes Passwort zu wählen, sondern vor allem zu verstehen, wie Identitätsschutz heute funktioniert und warum zusätzliche Sicherheitsfaktoren unverzichtbar geworden sind.

Das führt uns direkt zur nächsten Frage: Wie gehen wir 2026 eigentlich sinnvoll mit Passwörtern um, und welche Werkzeuge helfen uns dabei?

Smarte Passwortverwaltung mit einem Master-Passwort

Passwortmanager wie Bitwarden, 1Password oder KeePass unterstützen dabei, starke, einzigartige Passwörter zu generieren, sicher zu speichern und komfortabel zu nutzen. Die Passworte werden verschlüsselt abgelegt, und man kann sie sicher verwenden. Entweder durch manuelles kopieren, ohne dass es angezeigt wird, oder durch automatisches Ausfüllen, was allerdings wieder Risiken birgt. Autofill ist nicht grundsätzlich unsicher, sollte aber bewusst genutzt werden!

Am Ende bleibt nur ein einziges Passwort statt vieler, das man sich merken muss: das Master‑Passwort. Und das sollte besonders stark sein.

Identitätsverwaltung mit Single Sign‑On

Für Anwendungen und Systeme einer Organisation eignet sich besonders das Single‑Sign‑On‑Verfahren (SSO). Dabei meldet sich ein Nutzer nur einmal bei einem zentralen Identity Provider (IdP) an und erhält anschließend Zugriff auf alle freigegebenen Systeme. Das ist vor allem für Administratoren und Nutzer mit vielen verschiedenen Tools äußerst praktisch: Ohne SSO müssten sie zahlreiche Passwörter verwalten, mit SSO genügt ein einziger, stark abgesicherter Login.

Allerdings hat dieser Komfort auch eine Kehrseite. Wird das zentrale SSO-Konto kompromittiert, können Angreifer theoretisch auf alle angebundenen Dienste zugreifen. Deshalb sollte der zentrale Account durch Zwei‑Faktor‑Authentifizierung (2FA) geschützt werden, also durch ein starkes Passwort und zusätzlich einen weiteren Faktor, um das Risiko eines kompromittierten Passworts deutlich zu reduzieren.

Stärkung des Schutzes durch Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA)

Bei Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) sprechen wir von Anmeldeverfahren, die mehrere voneinander unabhängige Faktoren zur Identitätsprüfung einsetzen. Diese Faktoren lassen sich drei Kategorien zuordnen: Wissen (z. B. Passwörter oder Sicherheitsfragen), Besitz (z. B. ein Hardware-Token oder ein Smartphone mit Authenticator-App) und Inhärenz (biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung). Dadurch bleibt ein Konto selbst dann geschützt, wenn ein einzelner Faktor kompromittiert wird.

Unterschied zwischen 2FA und MFA

Der Hauptunterschied liegt in der Anzahl der Sicherheitsfaktoren. Während die Zwei-Faktor-Authentisierung (2FA) genau zwei Faktoren verwendet (z. B. Passwort + SMS-Code), kombiniert Multi-Faktor-Authentisierung (MFA) zwei oder mehr Faktoren (z. B. Passwort + Fingerabdruck + Sicherheitsschlüssel [Hardware-Token]).

Regulatorische Anforderungen nach NIS‑2

2FA ist heute weit verbreitet und wird von zahlreichen Standards vorgeschrieben. Für NIS-2-regulierte Unternehmen verlangt § 30 Abs. 2 Satz 2 BSI-Gesetz mindestens den Einsatz von Lösungen zur Multi‑Faktor‑Authentifizierung innerhalb der Einrichtung.

Verbleibende Schwachstellen bei 2FA bzw. MFA

Die Sicherheit von 2FA bzw. MFA hängt jedoch entscheidend von der Auswahl der Faktoren ab. Erlangt ein Angreifer beispielsweise Zugriff auf den Computer, über den die Anmeldung erfolgt, kann er unter Umständen sowohl das Passwort als auch einen per E‑Mail versandten Code abfangen. Oder auch eine „Authenticator-App“ auf dem Gerät, auf dem die Authentisierung erfolgt, kann gekapert werden.

Mehr Sicherheit durch Kombination verschiedener Faktoren

Die 2FA bzw. MFA bietet, wie jede andere Sicherheitsmaßnahme auf der Welt zwar keine absolute Sicherheit. Sie stellt auf jeden Fall eine signifikante Verbesserung gegenüber einer „normalen“ passwortgestützten Anmeldung dar. Man muss aber auch sie korrekt nutzen.

Zertifikate und kryptographische Authentifizierung. Eine echte Alternative zu Passwörtern?

Zertifikatsbasierte und kryptographische Authentifizierungen sind eine echte und in vielen Fällen überlegene Alternative zu Passwörtern. Sie sind resistenter gegen Phishing da digitale Zertifikate auf asymmetrischer Kryptografie basieren. Meist werden sie als Software-Datei gespeichert, oder auf Chipkarten oder Token bereitgestellt. Die gelten also, im Gegensatz zu einem Passwort, nicht als Fakor „Wissen“, sondern „Besitz“.

Das PKI-Prinzip und wie es funktioniert

Ein privater Schlüssel (private key) bleibt sicher beim Nutzer (z. B. auf Smartcards, USB-Token, TPM) und dient zum Entschlüsseln oder Signieren. Der öffentliche Schlüssel (public key) wird in einem Zertifikat gespeichert, das von einer Certificate Authority (CA) signiert. Dadurch entsteht ein Identitätsnachweis, der nicht erraten, gestohlen oder abgephished werden kann, weil der private Schlüssel nie übertragen wird.

Passkeys als benutzerfreundliche PKI-Variante

Passkeys (FIDO2) basiert ebenfalls auf einer Public Key Infrastructure (PKI), sind allerdings benutzerfreundlicher als die „klassische“ Zertifikatslösung. Sind aber nicht für alle Szenarien einsetzbar: Sie sind in der Regel für Authentisierung im Web möglich. Anmeldungen an lokalen Anwendungen können eher nicht abgedeckt werden.

Passkeys funktionieren, indem ein kryptografisches Schlüsselpaar erzeugt wird und der private Schlüssel das Gerät des Nutzers (z. B. Smartphone oder Laptop) niemals verlässt. Es wird durch Biometrie (z. B. Fingerabdruck) oder PIN geschützt. Der öffentliche Schlüssel wird an den Dienst (z. B. Microsoft, PayPal) gesendet, um die Identität bei der Anmeldung zu verifizieren.

Allerdings ist ein Passkey ist nur so sicher die das Gerät, auf dem er gespeichert ist. Deshalb ist der Geräteschutz absolut entscheidend. Ab besten durch starke lokale Entsperrung (z. B. Fingerabdruck, Face ID und starke Geräte-PIN).

Viele Organisationen steigen aktiv auf PKI-basierte Verfahren um, weil Passwörter den heutigen Bedrohungen nicht mehr standhalten. Wer wissen möchte, welche Dienste bereits mit Passkeys arbeiten können, kann im passkeys.directory nachschauen.

Wirksamkeit von Sicherheitsmethoden realistisch bewerten

Doch der Einsatz moderner Sicherheitsmethoden garantiert allein noch keine wirksame Unternehmenssicherheit. Welche Verfahren sinnvoll sind, hängt immer vom konkreten Einsatzgebiet, dem benötigten Schutzniveau sowie den finanziellen und technischen Möglichkeiten eines Unternehmens ab. Passen die gewählten Konzepte nicht zu den Arbeitsabläufen oder zur Organisation, entstehen unnötige Kosten, zusätzlicher Aufwand und im schlimmsten Fall Sicherheitslücken, weil Mitarbeitende die Vorgaben umgehen.

Daher hier einige Hinweise zu Passwörtern und Multi‑Faktor‑Authentifizierung:

• Passwortmanager nutzen: Keine Passwörter selbst erstellen. Generieren, sicher speichern und für jeden Dienst ein eigenes nutzen.
• Starke Passwörter: Mindestens 16-20 Zeichen, keine Muster, keine Wörter, reine Zufallsstrings. Alternativ noch längere Passwörter, dafür auch Verkettung von merkbaren Worten möglich.
• MFA aktivieren, wo möglich: Bevorzuge FIDO2/Passkeys oder App‑basierte Codes (z. B. Authenticator). Keine SMS‑Codes, wenn es bessere Optionen gibt.
• Unabhängige Geräte: Sicherheitscode nie auf dem Gerät empfangen, auf dem die Authentisierung erfolgt.
• Wiederherstellungsoptionen prüfen: Backup‑Codes speichern, zweite MFA‑Methode hinterlegen, E‑Mail‑Adresse aktuell halten.
• Geräte absichern, die „Besitz“ speichern: Zugangsschutz, Verschlüsselung aktivieren, Updates einspielen, keine fragwürdigen Apps, Diebstahlsschutz umsetzen, nicht unbeaufsichtigt lassen in der Öffentlichkeit.
• Phishing‑Bewusstsein behalten: Auch mit MFA: Niemals Links aus unerwarteten E‑Mails klicken, Login‑URLs selbst eingeben.

Übrigens: Zufallslinks sind keine echte Authentisierung

Häufig werden auch sogenannte „zufälligen Links“ als Form der Authentisierung missverstanden, also Links, die einen zufälligen Zeichenstring enthalten und per E‑Mail an eine Person gesendet werden. Doch solche Links stellen keine echte Authentisierung dar. Jeder, der den Link erhält, kann darüber zugreifen. Wird eine E‑Mail abgefangen oder weitergeleitet, kann somit auch eine unbefugte Person den Zugriff nutzen.

Aus diesem Grund sind solche Links oft nur einmal verwendbar oder nur für begrenzte Zeit aktiv. Damit kann man für  Prozesse, die quasi interaktiv ablaufen sollen, meist eine ausreichende Absicherung erzeugen, wenn keine andere Authentisierung möglich ist. Für längerfristig nutzbare Zugriffe, bei denen eindeutig eine bestimmte Person identifiziert werden muss, sind sie jedoch ungeeignet. Ein Link zu einem zu unterschreibenden Dokument bietet daher keine ausreichende Sicherheit, dass tatsächlich nur die berechtigte Person unterschreibt.

Ob wir den Welt-Passwort-Tag noch brauchen? Ein klares Ja!

Auch, wenn wir am Welt‑Passwort‑Tag längst nicht mehr nur über Passwörter sprechen, bleibt seine Botschaft aktuell. Bewusstsein für sichere digitale Identitäten zu schaffen, ist wichtiger denn je.

Sicherheitsverhalten verändert sich, Technologien entwickeln sich weiter und Unternehmen müssen Schritt halten. Entscheidend ist, dass Sicherheitsmaßnahmen zum Unternehmen passen und im Alltag funktionieren.