IT

Starke Passwörter, 2FA & Passkeys: So schützen Sie Ihre Online-Konten effektiv

20. Februar 2026

Ein Passwort ist das persönliche Vorhängeschloss in der Online-Welt: Es schützt E-Mails, Kundenkonten, Cloud-Daten oder sogar ganze Unternehmensnetzwerke. Doch wie auch in der realen Welt, schützt dieses Schloss nur dann, wenn es robust ist und der Schlüssel nicht in falsche Hände gerät. Das Problem: Kriminelle müssen mittlerweile kaum noch das Schloss "knacken". Oftmals melden sie sich einfach an – denn durch Datenlecks und Phishing-Angriffe gelangen zahlreiche, von Nutzern selbst preisgegebene Zugangsdaten in Umlauf. Doch auch ohne kompromittierte Zugangsdaten haben Kriminelle durch schwache oder einfache Passwörter leichtes Spiel. Die Frage ist daher nicht ob, sondern wann ein Zugang angegriffen wird – und wie gut er dann geschützt ist.

Starke Passwörter: Das Fundament Ihrer digitalen Sicherheit

Passwörter sind die erste Schutzbarriere für Ihre Online-Konten. Aber nicht jedes Passwort ist sicher. Folgende Regeln helfen Ihnen Ihr "Schloss" stabiler zu machen

  1. Länge und Vielfalt
    - Je länger, desto besser: Verwenden Sie mindestens 12 Zeichen, noch besser 16 oder mehr
    - Ein starkes Passwort sollte aus vier Zeichenarten bestehen: Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen
  2. Keine Wörter aus dem Wörterbuch oder persönliche Bezüge
    - Vermeiden Sie Wörter, die in einem Wörterbuch stehen sowie persönliche Bezüge wie Namen oder Geburtstage
  3. Keine Muster oder einfachen Sequenzen
    - Zahlenfolgen wie "123456", alphabetische Reihenfolgen wie "abcdef" oder Tastaturmuster wie "qwertz" sind leicht zu knacken
  4. Je sensibler der Zugang, desto stärker das Passwort
    - Für wichtige Konten (Bank, E-Mail, Firmenzugang) sollte das Passwot besonders komplex sein
  5. Einzigartige Passwörter für jedes Konto
    - Verwenden Sie niemals dasselbe Passwort für mehrere Konten – sonst reicht ein kompromittiertes Konto, um alle weiteren zu gefährden
  6. Passwörter direkt ändern, wenn sie bereitgestellt werden
    - Wenn ein Anbieter ein Passwort generiert oder übermittelt, ändern Sie es direkt nach der ersten Anmeldung

Lange Zeit wurde geraten, Passwörter regelmäßig zu ändern. Das führte dazu, dass viele Nutzer zu schwachen Passwörtern griffen, um sie sich leichter merken zu können. Heute wird daher empfohlen, Passwörter nur dann zu ändern, wenn der Verdacht besteht, dass sie in falsche Hände geraten sind.

2-Faktor-Authentifizierung: Die Ausweiskontrolle nach dem Schloss

Auch das beste Vorhängeschloss kann überwunden werden. Die Zwei-Faktor-Authentifizierung (2FA) greift hier ein: Sie überprüft zusätzlich zum Passwort, ob wirklich die richtige Person eintritt – wie eine Ausweiskontrolle nach dem Schloss. Mögliche zweite Faktoren für die Identifikation sind zum Beispiel:

  • Biometrische Merkmale (Fingerabdruck, Gesichtsscan)
  • Sicherheitsabfrage auf einem separaten Gerät

Aber Vorsicht: 2FA bietet nur dann Schutz, wenn die Anmeldung auf der echten Website erfolgt. Phishing-Seiten sehen oft täuschend echt aus und sind in der Lage, eingegebene Zugangsdaten samt 2FA-Code abzufangen. Deshalb ist es wichtig, die URL genau zu prüfen.

Passkey: Der biometrische Zugang ohne Schlüssel

Passkeys ersetzen klassische Passwörter vollständig. Der Login erfolgt nicht mehr über ein eingegebenes Passwort, sondern über Fingerabdruck, Gesichtsscan oder eine Geräte-PIN. Diese dienen jedoch nicht selbst als Zugangsdaten, sondern schalten lediglich den Passkey auf Ihrem Gerät frei. Beim Einrichten eines Passkeys erzeugt Ihr Gerät ein einzigartiges Schlüsselpaar:

  • Ein öffentlicher Schlüssel, der beim jeweiligen Online-Dienst hinterlegt wird
  • Ein privater Schlüssel, der ausschließlich auf Ihrem Gerät gespeichert bleibt

Der entscheidende Punkt: Der private Schlüssel verlässt Ihr Gerät niemals und ist für niemanden einsehbar – auch nicht für den Anbieter selbst.

Was passiert beim Login?

  1. Sie rufen die echte Website oder Anwendung auf
  2. Der Dienst fordert einen Nachweis an, dass Sie der rechtmäßige Nutzer sind
  3. Ihr Gerät antwortet mit einer einmaligen Bestätigung, die nur mit dem privaten Schlüssel erzeugt werden kann
  4. Erst wenn Sie sich per Fingerabdruck, Gesicht oder PIN legitimieren, gibt Ihr Gerät diese Bestätigung frei
  5. Der Anbieter prüft anschließend mit dem öffentlichen Schlüssel, ob diese Bestätigung korrekt ist.

Warum Angreifer mit einem Passkey nichts anfangen können

  • Der private Schlüssel kann nicht ausgelesen, kopiert oder weitergegeben werden
  • Selbst wenn ein Angreifer Zugriff auf Serverdaten erhält, findet er dort keine geheimen Zugangsdaten
  • Auf Phishing-Seiten funktioniert der Passkey nicht, da er nur für die echte Website gültig ist
  • Ohne Ihr Gerät UND Ihre biometrische Freigabe ist kein Login möglich

Einschränkungen von Passkeys

  • Passkeys sind an ein Gerät gebunden
  • Bei Geräteverlust oder -wechsel muss der Zugriff neu eingerichtet werden
  • Nicht jeder Dienst unterstützt Passkeys bereits
Alle Blogeinträge anzeigen