NIST kippt Passwort-Regeln: Das Ende komplexer Kennwörter
06.10.2025 - 10:31:02Die US-Cybersecurity-Behörde NIST ersetzt komplexe Passwörter durch lange, merkbare Passphrasen und beendet routinemäßige Passwort-Resets. Gleichzeitig gewinnt die Passkey-Technologie in der Finanzbranche an Bedeutung.
Schluss mit wirren Zahlen-Buchstaben-Kombinationen: Amerikas Cybersecurity-Behörde revolutioniert die Passwort-Sicherheit. Statt komplexer Symbole sollen künftig lange, merkbare Passphrasen schützen.
Die Zeitenwende kommt ausgerechnet jetzt: Während Verbraucher in den USA Benachrichtigungen über einen neuen Datendiebstahl erhalten, der über 100.000 Menschen betrifft, stellt das National Institute of Standards and Technology (NIST) die Passwort-Regeln auf den Kopf. Die neuen Richtlinien für 2025 markieren das Ende einer Ära frustrierender Sicherheitsvorschriften.
Was jahrelang als Goldstandard galt – komplexe Mischungen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – gehört nun der Vergangenheit an. Stattdessen empfiehlt NIST Passphrasen mit mindestens acht, idealerweise bis zu 64 Zeichen. Studien belegen: Eine 20-stellige Passphrase ist für Computer exponentiell schwerer zu knacken als kurze, symbolreiche Kennwörter.
Revolution gegen alte Gewohnheiten
Der drastische Kurswechsel betrifft auch die berüchtigten Passwort-Resets. Künftig sollen Nutzer ihre Zugangsdaten nur noch nach konkreten Sicherheitsvorfällen ändern – nicht mehr routinemäßig alle paar Monate. Sicherheitsexperten kritisierten die Zwangs-Updates schon lange: Sie führten meist zu vorhersagbaren Mustern und schwächerer Sicherheit.
Die neuen Richtlinien fordern außerdem, schwache Passwörter automatisch zu blockieren. Unternehmen sollen Eingaben mit Listen kompromittierter Zugangsdaten aus bekannten Datenlecks abgleichen.
Passkeys verdrängen das klassische Passwort
Während NIST die Passwort-Regeln modernisiert, arbeitet die Finanzbranche bereits am nächsten Schritt: dem Ende des Passworts. Passkeys, eine neue Authentifizierungstechnologie, gewinnen rasant an Bedeutung.
Die Technik funktioniert mit asymmetrischer Verschlüsselung: Ein privater Schlüssel bleibt auf dem Gerät des Nutzers, ein öffentlicher auf dem Server des Unternehmens. Phishing-Angriffe und Credential-Stuffing – zwei häufigste Methoden für Konto-Übernahmen – laufen damit ins Leere.
Google, Apple und Microsoft haben Passkeys bereits integriert. Banken erkennen die Vorteile: Kunden loggen sich per Fingerabdruck oder Gesichtserkennung ein, ohne sich Dutzende komplexer Passwörter merken zu müssen. Gleichzeitig sinken Betrugsschäden und Kosten für Passwort-Zurücksetzungen.
Anzeige: Passend zum Thema Kontoschutz auf dem Smartphone: Viele Android‑Nutzer übersehen die wichtigsten Sicherheitsmaßnahmen – gerade bei Banking, PayPal und WhatsApp. Ein kostenloser Ratgeber zeigt die 5 Schritte mit leicht verständlichen Anleitungen, die Phishing, Datenklau und Schadsoftware ausbremsen. Ohne teure Zusatz‑Apps, sofort umsetzbar. Jetzt das kostenlose Android‑Sicherheitspaket herunterladen
Verschärfte Gesetze erhöhen den Druck
Der Wandel kommt nicht ohne Grund: Die rechtlichen Anforderungen nach Datenlecks werden strenger. New York verpflichtet Unternehmen seit 2025, Betroffene binnen 30 Tagen zu informieren – frühere Aufschübe sind gestrichen.
Die durchschnittlichen Kosten eines Datendiebstahls erreichen mittlerweile Millionenbeträge, Reputationsschäden nicht eingerechnet. Jüngste Vorfälle unterstreichen die Dringlichkeit: Am 3. Oktober informierte Brightstar Global Solutions Corporation über 103.000 Menschen über einen Datenklau aus 2024. Im August meldete die Wirtschaftsauskunftei TransUnion ein Leck, das 4,4 Millionen Datensätze durch eine Schwachstelle in einer Dritt-Software preisgab.
Industrie-Wandel in den kommenden zwei Jahren
Finanzdienstleister stehen vor einem grundlegenden Umbau. In den nächsten 18 bis 24 Monaten dürften Banken und Finanz-Apps verstärkt zur Passkey-Erstellung auffordern. Die Herausforderung liegt in der Nutzeraufklärung für die neue Technologie.
Parallel müssen Unternehmen ihre internen Systeme an die NIST-Richtlinien anpassen und veraltete Regeln wie Zwangs-Komplexität und häufige Resets abschaffen.
Doch Cyberangriffe werden nicht verschwinden. Kriminelle werden sich anderen Methoden zuwenden: Social Engineering und Schwachstellen in Drittanbieter-Software bleiben Risikofaktoren. Stärkere Authentifizierung ist deshalb nur ein Baustein umfassender Sicherheitsstrategien, die Mitarbeiter-Schulungen, Netzwerk-Überwachung und Notfallpläne einschließen müssen.
Anzeige: Übrigens: Wer Online‑Banking oder PayPal am Handy nutzt, sollte jetzt nachrüsten. Diese 5 Maßnahmen machen Ihr Android‑Smartphone spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke. Der kompakte Gratis‑Ratgeber liefert Checklisten und Schritt‑für‑Schritt‑Anleitungen. Gratis‑Ratgeber anfordern
