Zum Hauptinhalt springen
Wiki/Sicherheit/MFA & starke Passwörter (Best Practices)
Kategorie:SicherheitDauer:7 minSchwierigkeit:EinfachZielgruppe:Mitarbeitende, IT-VerantwortlicheStand:03.06.2026Anleitung

MFA & starke Passwörter (Best Practices)

Über 80 % aller Kontoübernahmen beginnen mit einem gestohlenen oder erratenen Passwort. Zwei Massnahmen senken dieses Risiko drastisch: ein einzigartiges, langes Passwort pro Dienst — und ein zweiter Faktor (MFA), der greift, falls das Passwort doch in falsche Hände gerät. Dieser Artikel erklärt, warum das zusammengehört, welche Praktiken heute empfohlen sind und welche überholt — praxisnah für ein KMU, ohne Sicherheits-Theater.

Warum Passwort allein nicht reicht

Ein Passwort ist ein einzelnes Geheimnis. Es wird abgephisht, bei einem Datenleck eines fremden Dienstes erbeutet, über wiederverwendete Logins „durchprobiert" (Credential Stuffing) oder schlicht erraten. Sobald es bekannt ist, steht das Konto offen.

MFA (Multi-Faktor-Authentifizierung) verlangt zusätzlich einen zweiten Nachweis — etwas, das Sie besitzen (Smartphone, Sicherheitsschlüssel) oder sind (Fingerabdruck, Gesicht). Selbst mit korrektem Passwort scheitert ein Angreifer am zweiten Faktor. MFA ist heute der wirksamste Einzelschutz pro Konto, den es gibt.

Passwörter: was heute gilt — und was überholt ist

Die alten Regeln (erzwungene Sonderzeichen, alle 90 Tage wechseln) gelten als überholt. Aktuelle Empfehlungen (u. a. NIST SP 800-63B) setzen auf Länge statt erzwungener Komplexität:

  • Lange Passphrasen aus vier oder mehr zufälligen Wörtern (z. B. Birne-Wolke-Tisch-Anker-47) — leicht zu merken, schwer zu knacken. Mindestens 12–16 Zeichen.
  • Ein eigenes Passwort pro Dienst. Keine Wiederverwendung. So bleibt ein Datenleck auf genau einen Dienst begrenzt.
  • Passwortmanager (z. B. Bitwarden, 1Password) erzeugen und speichern für jeden Dienst ein langes, einzigartiges Zufallspasswort. Sie merken sich nur noch ein starkes Master-Passwort.
  • Kein erzwungener Turnus-Wechsel mehr — Wechsel nur anlassbezogen: bei Verdacht oder gemeldetem Datenleck. Periodischer Zwang führt nur zu schwächeren, vorhersehbaren Variationen.

MFA: nicht jeder Faktor ist gleich stark

MFA ist nicht gleich MFA. Phishing-resistente Faktoren sind deutlich sicherer als ein per SMS gesendeter Code, der abgefangen oder über SIM-Swapping umgeleitet werden kann. Bevorzugen Sie von oben nach unten:

FaktorPhishing-resistent?Bewertung
Passkey / FIDO2-SicherheitsschlüsselStärkste Option — an die echte Domain gebunden, nicht abphishbar
Authenticator-App (Microsoft/Google Authenticator, Code oder Push)teilweiseGut und alltagstauglich; Push-Anfragen aber immer bewusst prüfen
SMS-Code / AnrufNur als Notlösung, wenn nichts anderes geht

Wo immer möglich, setzen Sie Passkeys oder eine Authenticator-App ein. Microsoft 365 unterstützt beides — wie Sie es einrichten, steht in Microsoft 365 MFA einrichten.

Do & Don't

✓ Tun✗ Lassen
Pro Dienst ein eigenes, langes PasswortDasselbe Passwort mehrfach verwenden
Passwortmanager nutzenPasswörter in Excel/Notizen/Browser-Klartext sammeln
MFA überall aktivieren, wo verfügbarMFA „später" aufschieben
Authenticator-App oder Passkey bevorzugenSMS als einzigen zweiten Faktor wählen
Nur eigene, selbst ausgelöste Push-Anfragen bestätigenEine unerwartete MFA-Push „weg-tippen", nur damit Ruhe ist
Bei Verdacht sofort Passwort ändern + TicketAuf den nächsten erzwungenen Wechsel warten
!
Sicherheitshinweis: MFA-MüdigkeitAngreifer mit gestohlenem Passwort lösen absichtlich eine Flut von MFA-Push-Anfragen aus und hoffen, dass Sie genervt „Bestätigen" tippen. Bestätigen Sie nur eine Push-Anfrage, die Sie gerade selbst durch eine Anmeldung ausgelöst haben. Eine unerwartete Anfrage immer ablehnen — sie bedeutet, dass jemand Ihr Passwort bereits kennt. Ändern Sie es danach und eröffnen Sie ein Ticket.

Häufige Fragen

Ist ein Passwortmanager wirklich sicher?
Ja. Ein guter Passwortmanager verschlüsselt Ihren Tresor lokal mit einem Master-Passwort, das nur Sie kennen. Das Risiko schwacher und wiederverwendeter Passwörter ist um ein Vielfaches grösser als das eines seriösen Managers.
Muss ich mein Passwort regelmässig ändern, auch ohne Verdacht?
Nein. Bei aktiver MFA und einem starken, einzigartigen Passwort ist ein erzwungener Turnus-Wechsel nicht nötig. Ändern Sie es anlassbezogen — sobald ein Dienst ein Datenleck meldet oder ein Verdacht besteht.
Was ist der Unterschied zwischen MFA und 2FA?
2FA ist die häufigste Form von MFA: zwei Faktoren (Passwort + App-Code). MFA kann auch mehr Faktoren umfassen. Im Alltag meinen beide meist dasselbe.
Was ist ein Passkey?
Ein Passkey ersetzt das Passwort durch einen kryptografischen Schlüssel auf Ihrem Gerät, freigegeben per Fingerabdruck oder Gesicht. Er ist an die echte Website gebunden und lässt sich nicht abphishen — die sicherste und zugleich bequemste Anmeldung.

Verwandte Artikel

Passende SYSINFRA-Leistung

Security & Compliance

Stand
Veröffentlicht: 28.04.2026 · Aktualisiert: 03.06.2026
Tags: sicherheit, mfa, passwoerter, passkeys, phishing
Wenn dieser Artikel Ihre Frage nicht beantwortet: schreiben Sie uns.
Verwandte Artikel