Passwortsicherheit im Check: Viele Anbieter müssen nachbessern

Stand:
Welche Anforderungen stellen Online-Anbieter an die Passworte ihrer Kundschaft? Verlangen sie gängige Standards für starke Passwörter? Die Ergebnisse einer Marktstichprobe der Verbraucherzentrale NRW zeigen Schwächen.
Aufgestelltes Tablet neben einer Kaffeetasse zeigt Login-Bereich mit Eingabefeldern für Name und Passwort

Das Wichtigste in Kürze:

  • Gängige Standards für Passwortsicherheit sind selten eine Voraussetzung beim Anlegen neuer Passwörter.
  • Einfache Kombinationen wie "123456" oder "password" sind teilweise immer noch möglich.
  • Wir sehen Anbieter in der Pflicht, gängige Mindeststandards bei der Passworterstellung zu verlangen.
Off

Die Anforderungen an die zu vergebenden Passwörter fallen unterschiedlich und bei vielen Anbietern eindeutig zu niedrig aus. So lassen sich die Ergebnisse unserer Stichprobe bei zahlreichen Online-Diensten zusammenfassen. Anlässlich des Welt-Passwort-Tags (4. Mai) haben wir branchenübergreifend nachgesehen, ob und wie Anbieter die gängigen Richtlinien zur Passwortsicherheit umsetzen.

Viele Menschen setzen zum Schutz ihrer Accounts nach wie vor auf schwache, leicht zu erratende Passwörter. Und viele Online-Anbieter lassen dies zu. Sie sollten sich jedoch in der Verantwortung sehen, auf ihren Plattformen höhere Anforderungen an Passwörter zu stellen.

Nach Angaben des Hasso-Plattner-Instituts wurden im Jahr 2022 die Kombinationen "123456" und "password" mit als häufigste Passworte genutzt. Sie sind zwar eingängig und beliebt, öffnen Kriminellen aber Tür und Tor zu Online-Accounts. Grundsätzlich gilt: Je länger ein Passwort ist, desto stärker ist es. Hat es mindestens 20 Zeichen, reichen 2 Zeichenarten (z.B. Kleinbuchstaben und Ziffern). Bei weniger Zeichen (mindestens 8) sollte es komplexer sein und aus 4 Zeichenarten bestehen (z.B. Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen).

Außerdem sollten Passworte nie für mehrere Zugänge verwendet werden. Wie jedes Türschloss in der Regel einen eigenen Schlüssel hat, sollte auch jeder Account ein eigenes Passwort haben! Weitere Tipps lesen Sie in unserem Artikel über starke Passwörter.

In unserer Marktstichprobe haben gerade einmal 2 der 48 angesehenen Anbieter diese Vorgaben als Voraussetzung zum Erstellen eines neuen Passworts gesetzt. Bei 33 Anbietern betrug die Mindestlänge zwar 8 Zeichen, allerdings reichten bei der überwiegenden Mehrheit zwei Zeichenarten aus. 9 Anbieter erlaubten sogar nur 6 Zeichen einer einzigen Zeichenart. Das Thema Passwortsicherheit sollte nicht nur im Interesse der Verbraucher:innen liegen, sondern auch im Interesse der Anbieter, um Sicherheitsrisiken zu minimieren.

Erfüllt das Passwort nicht die Kriterien des Anbieters, wird das durch eine entsprechende Meldung angezeigt. Viele Anbieter geben darüber hinaus auch Feedback zum Sicherheitsniveau des gewählten Kennworts. Das geschieht zum Beispiel über eine Checkliste oder mit einer Art Ampelsystem, das einen roten (schwaches Passwort), gelben (mittelgutes Passwort) oder grünen (starkes Passwort) Balken anzeigt. Allerdings lässt sich oft auch ein Account mit mittelstarkem Passwort erstellen. Außerdem fiel auf, dass ein als stark eingestuftes Passwort lediglich die Vorgaben des Anbieters erfüllt hat. Die waren aber nicht immer die gängigen Mindeststandards, die zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgegeben werden. An denen sollten sich Anbieter unser Meinung nach orientieren.

Ratgeber-Tipps

Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
Reichstagsgebäude in Berlin, Foto: Fotolia.de - niroworld

Bilanz des vzbv nach Ampel-Aus: Vieles ist offen geblieben

Die Ampel-Regierung wollte mehr Fortschritt wagen und sich für Verbraucher:innen stark machen. Die Bilanz des Verbraucherzentrale Bundesverbands (vzbv) nach Ende der Regierungszeit ist durchwachsen.
Ein Handydisplay, auf dem Prime Video steht

Verbraucherzentrale NRW plant Sammelklage gegen Amazon

Millionen Kunden von Amazon mit einer Amazon Prime-Mitgliedschaft haben zum 15. September 2022 eine Preiserhöhung erhalten. Diese ist aus Sicht der Verbraucherzentrale NRW rechtswidrig und mit einer geplanten Sammelklage will die Verbraucherzentrale NRW die zu Unrecht gezahlten Beträge für Verbraucher:innen zurückholen. Amazon soll ihnen die Differenz zwischen altem und neuem Preis seit der Preiserhöhung erstatten.
Lachender Mann mit Geldscheinen in der Hand

Vergleich mit primaholding: Unternehmen erstatten teils vierstellige Beträge

Der Verbraucherzentrale Bundesverband (vzbv) hatte mit primastrom, voxenergie und nowenergy einen Vergleich geschlossen. Es ging dabei um überhöhte Preise und unangemessene Vertragslaufzeiten. Bis zum 31. Dezember 2024 konnten Sie sich an die Unternehmen wenden und sich auf den Vergleich berufen.