Welche Anforderungen stellen Online-Anbieter an die Passworte ihrer Kundschaft? Verlangen sie gängige Standards für starke Passwörter? Die Ergebnisse einer Marktstichprobe der Verbraucherzentrale NRW zeigen Schwächen.
Foto:
mohamed_hassan / Pixabay.com
Das Wichtigste in Kürze:
- Gängige Standards für Passwortsicherheit sind selten eine Voraussetzung beim Anlegen neuer Passwörter.
- Einfache Kombinationen wie "123456" oder "password" sind teilweise immer noch möglich.
- Wir sehen Anbieter in der Pflicht, gängige Mindeststandards bei der Passworterstellung zu verlangen.
Off
Die Anforderungen an die zu vergebenden Passwörter fallen unterschiedlich und bei vielen Anbietern eindeutig zu niedrig aus. So lassen sich die Ergebnisse unserer Stichprobe bei zahlreichen Online-Diensten zusammenfassen. Anlässlich des Welt-Passwort-Tags (4. Mai) haben wir branchenübergreifend nachgesehen, ob und wie Anbieter die gängigen Richtlinien zur Passwortsicherheit umsetzen.
Viele Menschen setzen zum Schutz ihrer Accounts nach wie vor auf schwache, leicht zu erratende Passwörter. Und viele Online-Anbieter lassen dies zu. Sie sollten sich jedoch in der Verantwortung sehen, auf ihren Plattformen höhere Anforderungen an Passwörter zu stellen.
Nach Angaben des Hasso-Plattner-Instituts wurden im Jahr 2022 die Kombinationen "123456" und "password" mit als häufigste Passworte genutzt. Sie sind zwar eingängig und beliebt, öffnen Kriminellen aber Tür und Tor zu Online-Accounts. Grundsätzlich gilt: Je länger ein Passwort ist, desto stärker ist es. Hat es mindestens 20 Zeichen, reichen 2 Zeichenarten (z.B. Kleinbuchstaben und Ziffern). Bei weniger Zeichen (mindestens 8) sollte es komplexer sein und aus 4 Zeichenarten bestehen (z.B. Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen).
Außerdem sollten Passworte nie für mehrere Zugänge verwendet werden. Wie jedes Türschloss in der Regel einen eigenen Schlüssel hat, sollte auch jeder Account ein eigenes Passwort haben! Weitere Tipps lesen Sie in unserem Artikel über starke Passwörter.
In unserer Marktstichprobe haben gerade einmal 2 der 48 angesehenen Anbieter diese Vorgaben als Voraussetzung zum Erstellen eines neuen Passworts gesetzt. Bei 33 Anbietern betrug die Mindestlänge zwar 8 Zeichen, allerdings reichten bei der überwiegenden Mehrheit zwei Zeichenarten aus. 9 Anbieter erlaubten sogar nur 6 Zeichen einer einzigen Zeichenart. Das Thema Passwortsicherheit sollte nicht nur im Interesse der Verbraucher:innen liegen, sondern auch im Interesse der Anbieter, um Sicherheitsrisiken zu minimieren.
Erfüllt das Passwort nicht die Kriterien des Anbieters, wird das durch eine entsprechende Meldung angezeigt. Viele Anbieter geben darüber hinaus auch Feedback zum Sicherheitsniveau des gewählten Kennworts. Das geschieht zum Beispiel über eine Checkliste oder mit einer Art Ampelsystem, das einen roten (schwaches Passwort), gelben (mittelgutes Passwort) oder grünen (starkes Passwort) Balken anzeigt. Allerdings lässt sich oft auch ein Account mit mittelstarkem Passwort erstellen. Außerdem fiel auf, dass ein als stark eingestuftes Passwort lediglich die Vorgaben des Anbieters erfüllt hat. Die waren aber nicht immer die gängigen Mindeststandards, die zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgegeben werden. An denen sollten sich Anbieter unser Meinung nach orientieren.
