Passwortsicherheit im Check: Viele Anbieter müssen nachbessern

Stand:
Welche Anforderungen stellen Online-Anbieter an die Passworte ihrer Kundschaft? Verlangen sie gängige Standards für starke Passwörter? Die Ergebnisse einer Marktstichprobe der Verbraucherzentrale NRW zeigen Schwächen.
Aufgestelltes Tablet neben einer Kaffeetasse zeigt Login-Bereich mit Eingabefeldern für Name und Passwort
Foto:

mohamed_hassan / Pixabay.com

Das Wichtigste in Kürze:

  • Gängige Standards für Passwortsicherheit sind selten eine Voraussetzung beim Anlegen neuer Passwörter.
  • Einfache Kombinationen wie "123456" oder "password" sind teilweise immer noch möglich.
  • Wir sehen Anbieter in der Pflicht, gängige Mindeststandards bei der Passworterstellung zu verlangen.
Off

Die Anforderungen an die zu vergebenden Passwörter fallen unterschiedlich und bei vielen Anbietern eindeutig zu niedrig aus. So lassen sich die Ergebnisse unserer Stichprobe bei zahlreichen Online-Diensten zusammenfassen. Anlässlich des Welt-Passwort-Tags (4. Mai) haben wir branchenübergreifend nachgesehen, ob und wie Anbieter die gängigen Richtlinien zur Passwortsicherheit umsetzen.

Viele Menschen setzen zum Schutz ihrer Accounts nach wie vor auf schwache, leicht zu erratende Passwörter. Und viele Online-Anbieter lassen dies zu. Sie sollten sich jedoch in der Verantwortung sehen, auf ihren Plattformen höhere Anforderungen an Passwörter zu stellen.

Nach Angaben des Hasso-Plattner-Instituts wurden im Jahr 2022 die Kombinationen "123456" und "password" mit als häufigste Passworte genutzt. Sie sind zwar eingängig und beliebt, öffnen Kriminellen aber Tür und Tor zu Online-Accounts. Grundsätzlich gilt: Je länger ein Passwort ist, desto stärker ist es. Hat es mindestens 20 Zeichen, reichen 2 Zeichenarten (z.B. Kleinbuchstaben und Ziffern). Bei weniger Zeichen (mindestens 8) sollte es komplexer sein und aus 4 Zeichenarten bestehen (z.B. Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen).

Außerdem sollten Passworte nie für mehrere Zugänge verwendet werden. Wie jedes Türschloss in der Regel einen eigenen Schlüssel hat, sollte auch jeder Account ein eigenes Passwort haben! Weitere Tipps lesen Sie in unserem Artikel über starke Passwörter.

In unserer Marktstichprobe haben gerade einmal 2 der 48 angesehenen Anbieter diese Vorgaben als Voraussetzung zum Erstellen eines neuen Passworts gesetzt. Bei 33 Anbietern betrug die Mindestlänge zwar 8 Zeichen, allerdings reichten bei der überwiegenden Mehrheit zwei Zeichenarten aus. 9 Anbieter erlaubten sogar nur 6 Zeichen einer einzigen Zeichenart. Das Thema Passwortsicherheit sollte nicht nur im Interesse der Verbraucher:innen liegen, sondern auch im Interesse der Anbieter, um Sicherheitsrisiken zu minimieren.

Erfüllt das Passwort nicht die Kriterien des Anbieters, wird das durch eine entsprechende Meldung angezeigt. Viele Anbieter geben darüber hinaus auch Feedback zum Sicherheitsniveau des gewählten Kennworts. Das geschieht zum Beispiel über eine Checkliste oder mit einer Art Ampelsystem, das einen roten (schwaches Passwort), gelben (mittelgutes Passwort) oder grünen (starkes Passwort) Balken anzeigt. Allerdings lässt sich oft auch ein Account mit mittelstarkem Passwort erstellen. Außerdem fiel auf, dass ein als stark eingestuftes Passwort lediglich die Vorgaben des Anbieters erfüllt hat. Die waren aber nicht immer die gängigen Mindeststandards, die zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgegeben werden. An denen sollten sich Anbieter unser Meinung nach orientieren.

Ratgeber-Tipps

Titelbild des Ratgebers "Fit und gesund"
Fit und gesund - für Frauen ab 50
Menopause, Knochenhaushalt, Nährstoffbedarf, Ernährung, knackende Knochen - der Körper von Frauen ab 50 ist vielen…
zum Ratgeber-Shop
Titelbild des Ratgebers Das Vorsorge-Handbuch
Das Vorsorge-Handbuch
Wer sich wünscht, selbstbestimmt zu leben und Entscheidungen zu treffen, und sich wünscht, das auch am Lebensabend zu…
zum Ratgeber-Shop

Aktuelle Meldungen

Ein Paar prüft die Rechung
Foto: AIMSTOCK / iStock

Betrügerische Inkassoschreiben: Auf diese Konten sollten Sie nichts überweisen

Regelmäßig erhalten Verbraucher:innen betrügerische Inkassoschreiben. Die Verbraucherzentrale Brandenburg veröffentlicht Nummern von Konten, auf die Sie kein Geld überweisen sollten, die sogenannte Schwarzliste.
Mehr dazu

Sparkasse KölnBonn: Vergleich beendet Verfahren

Der Verbraucherzentrale Bundesverband e.V. (vzbv) hat sich erfolgreich mit der Sparkasse KölnBonn zu einseitig erhöhten Kontoführungsgebühren verglichen. Rund 700 Verbraucher:innen, die sich der Musterfeststellungsklage angeschlossen hatten, erhalten in den nächsten Monaten Vergleichsangebote von der Sparkasse. Die angebotenen pauschalen Beträge liegen je nach Fall entweder bei 60 Euro oder bei 195 Euro.
Mehr dazu
Hand zieht Scheine aus dem Geldautomaten
Foto: Stefan Redel / stock.adobe.com

Musterfeststellungsklage gegen Sparkasse KölnBonn

Der Verbraucherzentrale Bundesverband (vzbv) und die Sparkasse KölnBonn haben sich auf einen Vergleich geeinigt. Dadurch können betroffene Verbraucher:innen unkompliziert pauschale Zahlungen erhalten.
Hintergrund: Die Sparkasse KölnBonn hat in der Vergangenheit einseitig Gebühren erhöht oder neu eingeführt ohne dass die Kund:innen aktiv zugestimmt hätten. Sie lehnte es ab, solche Gebühren zurückzuzahlen. Der vzbv führte deshalb eine Musterklage, eine Art Sammelklage, gegen die Sparkasse.
Mehr dazu
Kontakt
Beratung
Newsletter
Social Media
Kostenlose Online-Seminare
Beratung und Service