Passwortsicherheit im Check: Viele Anbieter müssen nachbessern

Stand:
Welche Anforderungen stellen Online-Anbieter an die Passworte ihrer Kundschaft? Verlangen sie gängige Standards für starke Passwörter? Die Ergebnisse einer Marktstichprobe der Verbraucherzentrale NRW zeigen Schwächen.
Aufgestelltes Tablet neben einer Kaffeetasse zeigt Login-Bereich mit Eingabefeldern für Name und Passwort

Das Wichtigste in Kürze:

  • Gängige Standards für Passwortsicherheit sind selten eine Voraussetzung beim Anlegen neuer Passwörter.
  • Einfache Kombinationen wie "123456" oder "password" sind teilweise immer noch möglich.
  • Wir sehen Anbieter in der Pflicht, gängige Mindeststandards bei der Passworterstellung zu verlangen.
Off

Die Anforderungen an die zu vergebenden Passwörter fallen unterschiedlich und bei vielen Anbietern eindeutig zu niedrig aus. So lassen sich die Ergebnisse unserer Stichprobe bei zahlreichen Online-Diensten zusammenfassen. Anlässlich des Welt-Passwort-Tags (4. Mai) haben wir branchenübergreifend nachgesehen, ob und wie Anbieter die gängigen Richtlinien zur Passwortsicherheit umsetzen.

Viele Menschen setzen zum Schutz ihrer Accounts nach wie vor auf schwache, leicht zu erratende Passwörter. Und viele Online-Anbieter lassen dies zu. Sie sollten sich jedoch in der Verantwortung sehen, auf ihren Plattformen höhere Anforderungen an Passwörter zu stellen.

Nach Angaben des Hasso-Plattner-Instituts wurden im Jahr 2022 die Kombinationen "123456" und "password" mit als häufigste Passworte genutzt. Sie sind zwar eingängig und beliebt, öffnen Kriminellen aber Tür und Tor zu Online-Accounts. Grundsätzlich gilt: Je länger ein Passwort ist, desto stärker ist es. Hat es mindestens 20 Zeichen, reichen 2 Zeichenarten (z.B. Kleinbuchstaben und Ziffern). Bei weniger Zeichen (mindestens 8) sollte es komplexer sein und aus 4 Zeichenarten bestehen (z.B. Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen).

Außerdem sollten Passworte nie für mehrere Zugänge verwendet werden. Wie jedes Türschloss in der Regel einen eigenen Schlüssel hat, sollte auch jeder Account ein eigenes Passwort haben! Weitere Tipps lesen Sie in unserem Artikel über starke Passwörter.

In unserer Marktstichprobe haben gerade einmal 2 der 48 angesehenen Anbieter diese Vorgaben als Voraussetzung zum Erstellen eines neuen Passworts gesetzt. Bei 33 Anbietern betrug die Mindestlänge zwar 8 Zeichen, allerdings reichten bei der überwiegenden Mehrheit zwei Zeichenarten aus. 9 Anbieter erlaubten sogar nur 6 Zeichen einer einzigen Zeichenart. Das Thema Passwortsicherheit sollte nicht nur im Interesse der Verbraucher:innen liegen, sondern auch im Interesse der Anbieter, um Sicherheitsrisiken zu minimieren.

Erfüllt das Passwort nicht die Kriterien des Anbieters, wird das durch eine entsprechende Meldung angezeigt. Viele Anbieter geben darüber hinaus auch Feedback zum Sicherheitsniveau des gewählten Kennworts. Das geschieht zum Beispiel über eine Checkliste oder mit einer Art Ampelsystem, das einen roten (schwaches Passwort), gelben (mittelgutes Passwort) oder grünen (starkes Passwort) Balken anzeigt. Allerdings lässt sich oft auch ein Account mit mittelstarkem Passwort erstellen. Außerdem fiel auf, dass ein als stark eingestuftes Passwort lediglich die Vorgaben des Anbieters erfüllt hat. Die waren aber nicht immer die gängigen Mindeststandards, die zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgegeben werden. An denen sollten sich Anbieter unser Meinung nach orientieren.

Ratgeber-Tipps

Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
Bitcoin-Logo umgeben von elektrischen Leiterbahnen

Ganz einfach reich werden? Betrugsmasche mit Kryptowährungen

Warnung vor gefälschten Interviews mit Prominenten und angeblichen Geheimtipps: Geschichten von Tim Mälzer oder Carolin Kebekus über schnellen, mühelosen Reichtum sind komplett erfunden!
Eine Frau blickt auf eine digitale Anzeige.

Ihre Daten bei Facebook und Instagram für KI: So widersprechen Sie

Facebook und Instagram informieren über Änderungen ihrer Richtlinien. Was Sie dort posten soll als Trainingsmaterial für Metas KI-Generatoren verwendet werden. Möchten Sie das nicht, können Sie widersprechen.
Kopf aus Glas mit Tabletten und Pillen

Endlich Höchstmengen für Vitamine und Mineralstoffe?

Es ist eine langjährige Forderung der Verbraucherzentralen: Einheitliche europäische Höchstmengen für Vitamine und Mineralstoffe in Nahrungsergänzungsmitteln.