Warum wird das regelmäßige Ändern des Passworts nicht mehr empfohlen?

Weil erzwungene Wechsel in der Praxis nach hinten losgehen. Wenn Menschen gezwungen werden, Passwörter oft zu ändern, wählen sie schwächere, folgen vorhersehbaren Mustern (Spring2026, dann Summer2026) und nutzen Varianten über mehrere Seiten hinweg. NIST hat genau aus diesem Grund 2017 seine Empfehlung zum routinemäßigen Wechsel gestrichen. Ein einziges starkes, einzigartiges Passwort, das Sie behalten, ist sicherer als eine Reihe schwacher, die Sie alle paar Wochen erfinden müssen.

Wann sollten Sie ein Passwort tatsächlich ändern?

Ändern Sie ein Passwort sofort, wenn: der Dienst ein Datenleck meldet; Sie feststellen, dass das Passwort schwach, mehrfach genutzt oder geteilt ist; Sie unbekannte Anmeldungen oder Aktivitäten sehen; Sie es auf einer Phishing-Seite oder einem nicht vertrauenswürdigen Gerät eingegeben haben; oder Sie es jemals an jemanden geschickt haben. In diesen Fällen ändern Sie es sofort und aktivieren Sie die Zwei-Faktor-Authentifizierung. Ohne einen echten Auslöser wie diesen braucht ein starkes, einzigartiges Passwort keinen routinemäßigen Wechsel.

Was sollte ich stattdessen tun, statt Passwörter oft zu ändern?

Drei Dinge. Nutzen Sie für jedes Konto ein langes, einzigartiges Passwort. Ein Passwort-Manager erzeugt und merkt sie sich, sodass Sie keines mehrfach verwenden. Aktivieren Sie die Zwei-Faktor-Authentifizierung, die ein gestohlenes Passwort allein bereits blockiert. Und überwachen Sie Datenlecks, damit Sie genau wissen, wann ein bestimmtes Passwort wirklich geändert werden muss. Diese Kombination schützt Sie weit besser als das Wechseln von Passwörtern nach dem Kalender.

Wie oft sollten Sie Ihr Passwort ändern? (Leitfaden 2026)

Q: Wie oft sollten Sie Ihr Passwort ändern?

Bei den meisten Konten sollten Sie ein starkes, einzigartiges Passwort nicht nach einem festen Zeitplan ändern. Aktuelle Empfehlungen von Stellen wie NIST sagen, ein Passwort nur dann zu ändern, wenn es einen Grund gibt: ein bekanntes Datenleck, ein geteiltes oder schwaches Passwort oder Anzeichen, dass jemand Zugriff hat. Ein starkes, einzigartiges Passwort, das durch Zwei-Faktor-Authentifizierung geschützt ist, braucht keinen routinemäßigen Wechsel. Es alle 30 oder 90 Tage ohne Grund zu ändern, macht die Sicherheit meist schlechter, nicht besser.

Wenn Ihre IT-Abteilung oder eine alte Gewohnheit Ihnen sagt, jedes Passwort alle 90 Tage zu ändern, mag die moderne Antwort Sie überraschen: bei den meisten Konten nicht. Die Sicherheitsempfehlungen haben sich verschoben. Dieser Leitfaden erklärt, wie oft Sie ein Passwort wirklich ändern sollten, warum der erzwungene Wechsel aufgegeben wurde und was Sie stattdessen tun sollten.

Die kurze Antwort

Ändern Sie ein starkes, einzigartiges Passwort nicht nach einem festen Zeitplan. Ändern Sie es nur, wenn es einen echten Grund gibt. Das ist der aktuelle Konsens von Sicherheitsstellen wie NIST, das bereits 2017 die Empfehlung zum routinemäßigen Wechsel gestrichen hat. Ein starkes Passwort, das Sie behalten und durch Zwei-Faktor-Authentifizierung schützen, ist besser als eine Reihe schwächerer, die Sie immer wieder neu erfinden müssen.

Warum „alle 90 Tage ändern" nach hinten losgeht

Die alte Regel klang vernünftig, aber in der Praxis hat sie die Lage verschlechtert. Wenn Menschen gezwungen werden, Passwörter oft zu ändern, erfinden sie keine starken neuen. Sie nehmen kleine, vorhersehbare Änderungen vor — aus Spring2026! wird Summer2026! — und nutzen Muster über mehrere Konten hinweg. Das Ergebnis sind schwächere, leichter zu erratende Passwörter und mehr Mehrfachnutzung, also genau das, worauf Angreifer setzen.

Eine Sanduhr, durch die Sand rinnt, vor blauem Hintergrund

Wann Sie ein Passwort tatsächlich ändern sollten

Ein Wechsel sollte durch Ereignisse ausgelöst werden, nicht durch den Kalender. Ändern Sie ein Passwort sofort, wenn:

Der Dienst ein Datenleck meldet oder Sie Ihr Konto in einem solchen finden.
Das Passwort schwach, mehrfach genutzt oder geteilt ist.
Sie unbekannte Anmeldungen oder Aktivitäten am Konto bemerken.
Sie es auf einer Phishing-Seite oder einem nicht vertrauenswürdigen Gerät eingegeben haben.
Sie es jemals an jemanden geschickt haben, auch an sich selbst, per Chat oder E-Mail.

In jedem dieser Fälle ändern Sie es sofort und aktivieren Sie die Zwei-Faktor-Authentifizierung.

Erzeugen Sie für jedes Konto ein einzigartiges Passwort — BitwardenQuelloffener, geprüfter Passwort-Manager, der starke, einzigartige Passwörter erstellt und sich merkt, damit Sie nie eines wiederverwenden oder von Hand wechseln müssen→

Was Sie stattdessen tun sollten

Das routinemäßige Ändern ist die falsche Gewohnheit. Diese drei sind die richtigen:

Nutzen Sie für jedes Konto ein einzigartiges Passwort. Ein Passwort-Manager erzeugt und speichert lange, zufällige Passwörter, sodass Sie nie eines wiederverwenden oder vergessen.
Aktivieren Sie die Zwei-Faktor-Authentifizierung. Sie blockiert ein gestohlenes Passwort schon allein, was weit mehr zählt als die Häufigkeit eines Wechsels.
Überwachen Sie Datenlecks. Dann wissen Sie genau, wann ein bestimmtes Passwort wirklich geändert werden muss, statt nach einem Zeitplan zu raten.

Das Fazit

Die ehrliche, aktuelle Antwort auf „wie oft sollte ich mein Passwort ändern" lautet: nicht nach einem Zeitplan — nur, wenn etwas passiert. Der erzwungene Wechsel war gut gemeint, aber er hat Menschen zu schwächeren, wiederholten Passwörtern gedrängt. Tauschen Sie diese Gewohnheit gegen starke, einzigartige Passwörter, einen Manager, der sie verwahrt, und die Zwei-Faktor-Authentifizierung. Genau das hält Konten 2026 wirklich sicher.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Erhalten Sie NordPass30 Tage Geld-zurück-Garantie · Gratis-Tarif verfügbar→