Passwort-Authentifizierung gehört seit Jahrzehnten zum Alltag im Web. Auch wir bieten auf unserer Plattform nach wie vor einen klassischen Passwort-Login an. Gleichzeitig setzen wir aber zunehmend auf moderne, passwortlose Verfahren wie Passkeys, OAuth2-Login oder Einmal-Codes per E-Mail.
Der Grund: Die klassischen Sicherheitsmethoden bringen Risiken und Fallstricke mit sich — insbesondere Sicherheitsfragen und erzwungene, regelmäßige Passwort-Resets. In diesem Artikel zeigen wir auf, warum diese Methoden problematisch sind und welche Lehren wir aus einem konkreten Phishing-Test bei einem Kunden ziehen konnten.
Warum wir auf Sicherheitsfragen verzichten
Viele kennen sie noch: „Wie hieß Ihr erstes Haustier?“ oder „Wo sind Sie zur Schule gegangen?“. Die Idee dahinter war, eine zusätzliche Sicherheitsstufe einzubauen, falls das Passwort vergessen wurde.
Das Problem dabei:
- Solche Informationen sind oft öffentlich recherchierbar oder lassen sich erraten.
- Viele Nutzer geben einfache oder immer dieselben Antworten.
- Sicherheitsfragen bieten Angreifern in der Praxis eher eine zusätzliche Einstiegsmöglichkeit als echten Schutz.
Darum setzen wir konsequent keine Sicherheitsfragen mehr ein.
Die Risiken erzwungener Passwort-Resets
Ein weit verbreitetes Konzept in Unternehmen und bei Plattformen ist die Pflicht, Passwörter regelmäßig zu ändern. Auf den ersten Blick scheint das eine sinnvolle Sicherheitsmaßnahme zu sein. In der Praxis hat sich aber gezeigt, dass sie mehr Schaden als Nutzen anrichten kann.
Ein reales Beispiel aus unserer Praxis:
Bei einem Kundenprojekt haben wir auf Wunsch des Auftraggebers einen verdeckten Phishing-Test durchgeführt. Ziel war es, die Sicherheitsbewusstseins-Schulung im Unternehmen zu überprüfen. Dazu haben wir:
- Eine Domain registriert, die der echten Unternehmensdomain zum Verwechseln ähnlich sah.
- Eine täuschend echte Login-Seite mit dem Firmenlogo und Original-Farben erstellt.
- E-Mails an Mitarbeitende verschickt, die den Anschein erweckten, ein regelmäßiger Passwort-Reset stünde an.
Das Ergebnis:
- Mehrere Manager mit erweiterten Rechten und administrativen Zugängen haben als erste ihr Passwort auf der gefälschten Seite „zurückgesetzt“.
- Keinem der Empfänger fiel die abweichende Domain in der Absenderadresse oder der URL auf.
- Die visuelle Nachbildung der echten Seite reichte aus, um das Branding als authentisch zu empfinden.
Fazit: Erzwungene Passwort-Resets in festen Intervallen machen Angriffe dieser Art sogar leichter. Denn wenn Nutzer regelmäßig dazu angehalten werden, ihre Passwörter zu ändern, wird ein entsprechender Hinweis per E-Mail schnell als Routine eingestuft — und nicht hinterfragt.
Warum passwortlose Verfahren sinnvoll sind
Die Schwachstellen klassischer Passwortverfahren lassen sich durch moderne Authentifizierungsmethoden weitgehend eliminieren:
Passkeys & Security Keys
Biometrische und hardwaregestützte Verfahren ohne Passwort-Eingabe. Die Anmeldung funktioniert über FaceID, Fingerabdruck oder Geräte-PIN und ist dank Public-Key-Verschlüsselung phishing-resistent.
Einmal-Codes per E-Mail
Statt eines festen Passworts erhält der Nutzer bei jedem Login einen Code per E-Mail. Das ist technisch ebenso sicher wie klassische Passwort-Resets — aber ohne die Risiken durch Passwort-Wiederverwendung oder veraltete Hashing-Algorithmen.
OAuth2 / Social Login
Anmeldung über bestehende Accounts bei Anbietern wie Google, Microsoft oder Apple — inklusive deren Sicherheitsstandards und Mehr-Faktor-Absicherung.
Unser Ansatz
Wir bieten weiterhin einen klassischen Passwort-Login an, verzichten jedoch bewusst:
- auf Sicherheitsfragen
- und auf erzwungene Passwort-Resets
Stattdessen empfehlen wir passwortlose Authentifizierung als bevorzugte Methode und fördern Security-Awareness durch Schulungen und transparente Kommunikation.
Sie möchten Ihr eigenes Authentifizierungssystem sicherer und benutzerfreundlicher gestalten?Sprechen Sie uns an — wir unterstützen Sie bei der Integration moderner Login-Methoden und individueller Sicherheitskonzepte in Ihre Anwendungen.