Viele Online-Nutzerinnen und -Nutzer machen es Kriminellen einfach. Obwohl "Klassiker" inzwischen seltener geworden sind: Wie etwa 123456 oder Hello, Iloveyou. Solche simplen Passwörter oder Zahlenkombinationen nutzen nur noch zehn Prozent der Befragten.
Ein Wort für viele Türen
Bei der von der Initiative Sicher Handeln (ISH) in Auftrag gegebene YouGov-Umfrage gaben allerdings knapp zwei Drittel der Befragten an, dass sie Passwörter mehrfach verwenden. Lediglich 34 Prozent nutzen für jeden Account ein eigenes Passwort.
Jeder fünfte Teilnehmer der Umfrage verwendet ein Passwort doppelt, ebenso viele bis zu fünfmal. Und es gibt auch Menschen, die mit einem Passwort alle ihre Konten "aufschließen". In der Umfrage waren es 4 Prozent.
Einfach zu knacken
Selbst wenn Passwörter nicht mehrfach verwendet werden, gibt es einen großen Fehler: Ich nehme ein Passwort, das ich schon habe, und ändere nur einen Buchstaben oder eine Zahl. Wie am Zahlenschloss einfach eine Nummer weiter drehen. Das macht ein Viertel der Befragten, und das bringt kaum mehr Sicherheit als dasselbe Passwort zu benutzen.
Wie sieht ein sicheres Passwort aus?
Ein Passwort, das aus sechs ganz normalen Buchstaben des Alphabets besteht, bietet 300 Millionen Kombinationen. Klingt viel, ist aber mit der heutigen Rechenleistung schon in ein paar Sekunden durchprobiert und gehackt.
Lang und von allem etwas
Deshalb die Faustregel: Je länger, desto besser! Also ruhig 20 Zeichen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Man kann zum Beispiel aus einem längeren Satz, den man sich gut merken kann, die Anfangsbuchstaben nehmen und so eine Abkürzung kreieren, auf die keiner so schnell kommt.
Nur jeder fünfte Befragte nutzt einen Passwort-Manager
Aber man muss das eigentlich gar nicht mehr selbst machen. Dafür gibt es Passwort-Manager, die generieren sichere Passwörter und speichern sie auch auf dem Handy oder auf dem PC. Alles gesichert mit nur noch einem Masterkennwort. Obwohl solche Passwortmanager einfach zu bedienen sind, nutzen sie bislang nur 20 Prozent der Befragten.
Was ist mit der 2-Faktor-Authentifizierung?
Viele Seiten beim Onlinebanking fordern diese Bestätigung ein, aber nicht alle. Deshalb nutzt diese Methode auch nur knapp die Hälfte der Menschen in Deutschland. Eine Möglichkeit ist, sich einen Einmalcode per SMS schicken zu lassen, den man dann zusätzlich zu meinem Passwort eingeben muss.
Computerexperten weisen darauf hin, dass auch eine SMS nicht hundertprozentig sicher ist. Sie wird unverschlüsselt übertragen, kann abgefangen und umgeleitet werden. Besser ist diese Möglichkeit mithilfe einer App, denn die App ist nur lokal auf meinem Gerät. Dabei kann dann ein Code nicht abgefangen und missbraucht werden.
Die ISH geht davon aus, dass wir irgendwann sowieso gar keine Passwörter mehr brauchen, denn die Zukunft gehört den sogenannten Passkeys. Das ist ein extrem sicheres, gut verschlüsseltes Anmeldeverfahren, muss einmal eingerichtet werden für jeden Account. Und man kann es dann zum Beispiel per Fingerabdruck oder Gesichtsscan aktivieren, ganz ohne Passworteingabe.