Passwortsicherheit im Check: Viele Anbieter müssen nachbessern

Stand:
Welche Anforderungen stellen Online-Anbieter an die Passworte ihrer Kundschaft? Verlangen sie gängige Standards für starke Passwörter? Die Ergebnisse einer Marktstichprobe der Verbraucherzentrale NRW zeigen Schwächen.
Aufgestelltes Tablet neben einer Kaffeetasse zeigt Login-Bereich mit Eingabefeldern für Name und Passwort

Das Wichtigste in Kürze:

  • Gängige Standards für Passwortsicherheit sind selten eine Voraussetzung beim Anlegen neuer Passwörter.
  • Einfache Kombinationen wie "123456" oder "password" sind teilweise immer noch möglich.
  • Wir sehen Anbieter in der Pflicht, gängige Mindeststandards bei der Passworterstellung zu verlangen.
Off

Die Anforderungen an die zu vergebenden Passwörter fallen unterschiedlich und bei vielen Anbietern eindeutig zu niedrig aus. So lassen sich die Ergebnisse unserer Stichprobe bei zahlreichen Online-Diensten zusammenfassen. Anlässlich des Welt-Passwort-Tags (4. Mai) haben wir branchenübergreifend nachgesehen, ob und wie Anbieter die gängigen Richtlinien zur Passwortsicherheit umsetzen.

Viele Menschen setzen zum Schutz ihrer Accounts nach wie vor auf schwache, leicht zu erratende Passwörter. Und viele Online-Anbieter lassen dies zu. Sie sollten sich jedoch in der Verantwortung sehen, auf ihren Plattformen höhere Anforderungen an Passwörter zu stellen.

Nach Angaben des Hasso-Plattner-Instituts wurden im Jahr 2022 die Kombinationen "123456" und "password" mit als häufigste Passworte genutzt. Sie sind zwar eingängig und beliebt, öffnen Kriminellen aber Tür und Tor zu Online-Accounts. Grundsätzlich gilt: Je länger ein Passwort ist, desto stärker ist es. Hat es mindestens 20 Zeichen, reichen 2 Zeichenarten (z.B. Kleinbuchstaben und Ziffern). Bei weniger Zeichen (mindestens 8) sollte es komplexer sein und aus 4 Zeichenarten bestehen (z.B. Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen).

Außerdem sollten Passworte nie für mehrere Zugänge verwendet werden. Wie jedes Türschloss in der Regel einen eigenen Schlüssel hat, sollte auch jeder Account ein eigenes Passwort haben! Weitere Tipps lesen Sie in unserem Artikel über starke Passwörter.

In unserer Marktstichprobe haben gerade einmal 2 der 48 angesehenen Anbieter diese Vorgaben als Voraussetzung zum Erstellen eines neuen Passworts gesetzt. Bei 33 Anbietern betrug die Mindestlänge zwar 8 Zeichen, allerdings reichten bei der überwiegenden Mehrheit zwei Zeichenarten aus. 9 Anbieter erlaubten sogar nur 6 Zeichen einer einzigen Zeichenart. Das Thema Passwortsicherheit sollte nicht nur im Interesse der Verbraucher:innen liegen, sondern auch im Interesse der Anbieter, um Sicherheitsrisiken zu minimieren.

Erfüllt das Passwort nicht die Kriterien des Anbieters, wird das durch eine entsprechende Meldung angezeigt. Viele Anbieter geben darüber hinaus auch Feedback zum Sicherheitsniveau des gewählten Kennworts. Das geschieht zum Beispiel über eine Checkliste oder mit einer Art Ampelsystem, das einen roten (schwaches Passwort), gelben (mittelgutes Passwort) oder grünen (starkes Passwort) Balken anzeigt. Allerdings lässt sich oft auch ein Account mit mittelstarkem Passwort erstellen. Außerdem fiel auf, dass ein als stark eingestuftes Passwort lediglich die Vorgaben des Anbieters erfüllt hat. Die waren aber nicht immer die gängigen Mindeststandards, die zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgegeben werden. An denen sollten sich Anbieter unser Meinung nach orientieren.

Ratgeber-Tipps

Ab jetzt finanziell unabhängig
Frauen sind durchschnittlich weniger vermögend als Männer. Ihr Verdienst ist – häufig wegen Teilzeitarbeit – geringer.…
Das Vorsorge-Handbuch
Wer sich wünscht, selbstbestimmt zu leben und Entscheidungen zu treffen, und sich wünscht, das auch am Lebensabend zu…
Eine Person hat Fragezeichen im Kopf und schaut auf eine Rechnung der PVZ.

Vorsicht bei Rechnungen der PVZ für Zeitschriften-Abos

Verbraucher:innen berichten, dass ihnen ein kostenloses Probe-Abo für Zeitschriften angeboten wurde. Doch später erhalten sie eine Rechnung über ein kostenpflichtiges Zeitschriften-Abo von der Pressevertriebszentrale (PVZ). Es handelt sich um eine Abofalle. Was müssen Sie wissen und können Sie tun?
Vodafone-Firmenschild vor Hochhaus

Sammelklage gegen Vodafone: Jetzt anmelden!

Der Verbraucherzentrale Bundesverband (vzbv) verklagt Vodafone Kabel wegen unzulässiger Preiserhöhungen. Das Oberlandesgericht Hamm hat nun eine mündliche Verhandlung für den 3. Dezember 2025 angesetzt. Damit ist der 24. Dezember voraussichtlich der letzte Tag, an dem sich Betroffene für die Klage an- oder abmelden können.
Karten von Eventim

Verlegte Veranstaltungen: Urteil und Musterklage gegen Eventim

Die Erstattung von Vorverkaufsgebühren für Veranstaltungstickets kann nach dem Urteil des LG München I nicht pauschal in AGB ausgeschlossen werden. Verbraucher:innen berichten aber, dass Eventim weiterhin Gebühren einbehalte. Dagegen klagt nun der vzbv. Ab sofort ist das Klageregister eröffnet.