Im Internet tummeln sich zahlreiche Diebe. Sie wollen sensible Bankdaten stehlen oder die Identität anderer Personen annehmen, um Waren zu bestellen oder Menschen zu verunglimpfen. Davor schützen geeignete Passwörter und andere, noch sicherere Verfahren.
Was sind Passwörter und warum sind sie wichtig?
Ein Passwort schützt den Zugang zu einem persönlichen Konto, sei es für den Bürorechner, Bankgeschäfte oder Onlinekäufe, Social-Media, Streaming oder E-Mail. Es garantiert, dass keine Unbefugten Firmeninterna sehen, Geldgeschäfte machen, Texte schreiben oder etwas auf fremde Kosten einkaufen. Ein Passwort ist vergleichbar mit einem Schlüssel zu einer Wohnung. Niemand kann sie ohne ihn betreten.
Welche Passwörter sind ungeeignet?
Vielen Menschen sind Passwörter lästig, verlängern diese Sicherheitsabfragen doch die Zeit, bis man den Bürorechner nutzen oder etwas online bestellen kann. Zu den beliebtesten Zugangscodes in Deutschland gehören deshalb 123456 oder password. Auch die nebeneinander stehenden Buchstaben der Tastatur (qwertz, asdfgh) werden gern verwendet. Weil Kriminelle das wissen und oft automatisierte Programme einsetzen, ist mancher Rechner oder Internetaccount schnell geknackt. Die Namen von Haustieren sowie Geburtsdaten von Kindern oder Enkeln lassen sich recht einfach in Erfahrung bringen.
Welche Passwörter sind sicher?
Das Bundesamt für die Sicherheit in der Informationstechnologie (BSI) und die Verbraucherzentralen empfehlen, entweder kurze komplizierte Passwörter mit acht bis zwölf Zeichen zu verwenden oder sehr lange ab 25 Zeichen. Bei den kurzen sollten Zahlen, Sonderzeichen wie @ und &, sowie kleine und große Buchstaben vorkommen. Ein Beispiel wäre an%4ge9?#Ben. Bei sehr langen reichen auch nur zwei Zeichenarten, zum Beispiel Pinguin?Buchregal?Haus?Azoren. Um sich die Passwörter zu merken, helfen Eselsbrücken wie „Der Pinguin stand am Buchregal im Haus auf den Azoren“. Grundsätzlich sollte für jeden Zugang ein eigenes Passwort angelegt werden.
Ich kann mir nicht so viele Passwörter merken. Welche anderen Möglichkeiten gibt es?
Nur die wenigsten Menschen können sich viele unterschiedliche Passwörter merken. Deshalb aber immer dasselbe Passwort zu verwenden, ist grob fahrlässig. Denn wenn jemand einmal das Passwort kennt, hat die Person womöglich Zugriff auf alles –Bank- und E-Mail-Konto, Social Media, Streamingdienst, Bahn-, Flug-, Hotelbuchungsportal. Besser ist es, sich von der Technik helfen zu lassen: mit einem Passwortmanager, Passkeys oder Zwei-Faktor-Authentifizierung.
Was ist ein Passwortmanager?
Funktion: In einem Passwortmanager sind alle Webseiten, dazugehörige Benutzernamen und Passworte gespeichert, eine Art digitale Liste. Um ihn aufzurufen, ist nur noch ein zentrales Passwort nötig. Fordert eine Webseite eine Anmeldung, übernimmt das der Passwortmanager, den man mit dem zentralen Passwort freigibt.
Vorteile: Die Zugänge zu E-Mail und anderen Programmen sind individuell geschützt. Man muss sich dennoch nur ein Passwort merken.
Nachteile: Der Passwortmanager speichert alle Zugangsdaten entweder auf dem eigenen Rechner oder in einer Cloud. Bei einem Cyberangriff können alle Daten gestohlen werden. Wer sein Masterpasswort vergisst, hat womöglich keinen Zugriff mehr auf Bankkonto oder E-Mail oder muss ihn für jede Webseite mühsam einzeln wiederherstellen.
Was ist ein Passkey?
Funktion: Das Passkey-Verfahren arbeitet mit automatisch erstellten Schlüsseln. Einige Internetdienste bieten es an und fragen beim Anmelden, ob man es nutzen will. Dann wird beim Anbieter, zum Bespiel einem Onlinehändler, ein sogenannter öffentlicher Schlüssel hinterlegt, über den man eindeutig erkannt wird. Auf dem eigenen Gerät wird ein zweiter, geheimer Schlüssel gespeichert. Meldet man sich nun beim Onlinehändler an, muss dieser zweite Schlüssel zum Beispiel per Fingerabdruck auf dem Smartphone freigegeben werden oder mit einem Code, der einem per SMS zugeschickt wird.
Vorteile: Passwörter sind überflüssig, man muss sich nichts merken. Der geheime Schlüssel ist im Gerät gespeichert und wird niemals weitergegeben. Man selbst kennt ihn nicht und kann deshalb auch nicht auf sogenannte Phishing-Mails hereinfallen, mit der Gauner Zugangsdaten erschleichen wollen. Ein Passkey ist immer nur mit einem einzigen Onlinekonto verknüpft. Selbst wenn einmal einer gestohlen werden sollte, können die Diebe andere Konten nicht knacken.
Nachteile: Sicherungskopien der Passkeys sind wichtig. Sonst wird es kompliziert. Denn geht das Gerät verloren, auf dem die geheimen Schlüssel gespeichert sind, müssen aufwändig neue vergeben werden.
Was verbirgt sich hinter Zwei-Faktor-Authentifizierung?
Funktion: Bei der Zwei-Faktor-Authentifizierung kommt zum Passwort (Faktor 1) noch eine weitere Sicherheitsabfrage (Faktor 2) hinzu, die oft ein anderes Gerät zur Freigabe nutzt. Wer sich zum Beispiel auf dem Computer bei einem Bankkonto anmelden will, wird nach der Eingabe das Passworts gebeten, sich per Gesichtserkennung oder Fingerabdruck auf dem Mobiltelefon auszuweisen. Es kann auch sein, dass ein einmaliger Zahlencode an Mailadresse oder Mobiltelefon geschickt wird, der eingegeben werden muss. Oder eine Webseite fordert ein besonderes Zertifikat an, dass auf dem Gerät gespeichert ist. Das Steuerprogramm Elster etwa arbeitet so. Auch die Online-Funktion des Personalausweises nutzt die Zwei-Faktor-Autorisierung: Nötig sind der Ausweis mit Chip (Faktor 1) und eine Pin (Faktor 2).
Vorteile: Das Verfahren ist sehr sicher. Selbst wenn jemand im Besitz des Passwortes ist, lässt sich zum Beispiel auf eine Banking-App nicht zugreifen. Das BSI rät, die Funktion unbedingt zu nutzen, wenn eine Webseite sie anbietet.
Nachteile: Der Anmeldevorgang dauert etwas länger als nur mit einem Passwort oder einer Pin. Und wenn zum Beispiel das Mobiltelefon verloren geht, über das die Gesichtskennung läuft, bleibt der Zugang verwehrt und andere Wege müssen genutzt werden.
Wie finde ich heraus, ob mein Passwort gestohlen wurde?
Immer wieder ist von Datenlecks zu lesen oder Datendiebstahl in großem Maßstab. Bei zwei deutschen Universitäten lässt sich überprüfen, ob die Zugangsdaten eines Kontos Teil eines Raubzugs waren. Das Hasso-Plattner-Institut an der Universität Potsdam bietet den Check unter https://sec.hpi.de/ilc/ an, die Universität Bonn unter https://leakchecker.uni-bonn.de/de/index.
Wie gehe ich bei einem Diebstahl vor?
Sind Konten betroffen, sollten Sie sofort die Passwörter oder andere Zugangsdaten ändern. Haben Sie keinen Zugriff mehr, informieren Sie den Anbieter. Bekommen Sie merkwürdige Bestellbestätigungen oder tauchen unbekannte Abbuchungen im Konto auf, sollten sie auf jeden Fall den Händler, die Bank sowie die Polizei informieren, gegebenenfalls eine Kreditkarte sperren.