Verbraucherzentrale NRW: Passwort ändern – einmal richtig und dann nie wieder!

#Verbraucherzentrale #NRW: #Passwort ändern – einmal richtig und dann nie wieder!

• Mit den richtigen Maßnahmen bleiben Online Konten dauerhaft geschützt

#Düsseldorf, 30. Januar 2025

Lange wurde empfohlen, Passwörter regelmäßig zu ändern, um Konten vor unberechtigten Zugriffen zu schützen. Viele Verbraucher haben dadurch ihre Passwörter mit der Zeit aber eher geschwächt, um sie sich bei der Vielzahl an Passwörtern leichter merken zu können. »Es ist besser einmal ein starkes Passwort zu wählen statt ständig wechselnde schwache Passwörter zu nutzen«, sagt Ayten Öksüz, #Datenschutzexpertin bei der Verbraucherzentrale #NRW. Daher sei auch der »Ändere Dein Passwort« Tag am 1. Februar 2025 in seinem ursprünglichen Sinne überholt [Ist er nicht. Natürlich soll man bei der regelmäßigen Änderung starke Passwörter verwenden. Anm. d. Red.]. Die Expertin rät: »Wer noch keine starken Passwörter nutzt oder ein und dasselbe Passwort für mehrere Accounts verwendet, sollte seine Passwörter jetzt einmal ändern. Dann können die Passwörter im besten Fall dauerhaft im Einsatz bleiben. Noch wichtiger wäre es aber, gerade sensible Accounts zusätzlich mit der 2 Faktor Authentisierung zu sichern.« Mit den folgenden Tipps können #Verbraucher ihre Online Accounts effektiv schützen.

Wie sieht ein starkes Passwort aus?

Grundsätzlich gilt: Je länger, desto besser. Ein starkes Passwort sollte mindestens 8 (besser 12) Zeichen lang sein – dann aber auch aus 4 verschiedenen Zeichenarten bestehen, also Großbuchstaben und Kleinbuchstaben, Zahlen und Sonderzeichen (zum Beispiel »§«, »$«, »%«, »&«, »!«, »?«) [Das kann man so nicht sagen. Die Länge des Passworts und die erlaubten Sonderzeichen sind bei vielen Websites vorgegeben und die Vorgaben variieren. Anm. d. Red.[. Ein langes Passwort, das mindestens 25 Zeichen oder länger ist, kann hingegen auch aus nur 2 Zeichenarten bestehen. Je sensibler ein Zugang ist (etwa beim Onlinebanking), umso mehr Sorgfalt ist bei der Auswahl eines starken Passworts nötig [Gerade beim Onlinebanking sind oft nur kurze Ziffernfolgen möglich. Anm. d. Red.]. Besonders wichtig: Für jedes Konto sollte ein eigenes Passwort gewählt werden. Wer einmal ein starkes Passwort erstellt hat, kann es so dauerhaft für das entsprechende Konto nutzen. Es müsste nur in den Fällen, in denen das Passwort in die falschen Hände geraten sein könnte, geändert werden, zum Beispiel wenn ein Datenleck bekannt wird oder das Gerät mit #Schadsoftware infiziert wurde.

Wie funktioniert die 2 Faktor Authentifizierung?

Da selbst das stärkste Passwort nicht unknackbar ist und bei einem #Datenleck oder erfolgreichem Phishing #Angriff schnell in falsche Hände geraten kann, bieten Passwörter allein nicht den bestmöglichen Account Schutz. Es empfiehlt sich, Online Accounts mit einer 2 Faktor Authentifizierung(»2FA«) zusätzlich zu schützen, wenn Anbieter diese Möglichkeit bereitstellen. Diese fungiert wie ein zweites Sicherheitsschloss. Bei der 2FA wird die #Identität, nicht nur mit dem Passwort, sondern mit einem zweiten Faktor bestätigt. Damit wird es Kriminellen erschwert, auf Daten zuzugreifen, selbst wenn ihnen das Passwort bekannt ist. Bei diesem zweiten Faktor kann es sich beispielsweise um einen Bestätigungscode per E Mail, eine #SMS TAN oder ein #Einmalpasswort handeln [Oder auch eine Messengernachricht, ein System Alert et cetera. Anm. d. Red.]. Mittlerweile sind auch #biometrische Verfahren sehr verbreitet, beispielsweise Gesichtsscans oder #Fingerabdruckscans über das #Smartphone (oder den Laptop oder das Tablet. Anm. d. Red.].

Wie kann ich Passwörter sicher aufbewahren?

Verbraucher nutzen heutzutage so viele Onlinedienste, dass die einzelnen Passwörter unmöglich im Gedächtnis behalten werden können. Eine gute Hilfe können daher Passwort Manager sein. Darin lassen sich starke Passwörter erstellen, verwalten und verschlüsselt speichern. Nutzer müssen sich dann nur noch das zentrale Passwort für den Zugang zu ihren Passwortmanager merken, das natürlich ganz besonders stark sein sollte [Besonders empfehlenswert sind Online Passwortmanager nicht – wenn sie »geknackt« werden, hat der Hacker Zugriff auf alle Passwörter. Anm. d. Red.].

Gibt es eine Alternative zu Passwörtern?

Seit einigen Jahren gibt es das #Passkey Verfahren, das die Anmeldung bei Onlinediensten ganz ohne Passwörter ermöglicht. Damit besteht auch nicht mehr die Gefahr, dass Kriminelle Passwörter zum Beispiel bei einem #Phishing Angriff oder #Datenleck abgreifen können. Passkeys sind lange, zufällig generierte Zeichenketten, offen und herstellerunabhängig. Sie werden von einem sogenannten Authenticator erstellt und dort auch gespeichert, sobald man sich bei einem Online Dienst, der dieses Verfahren unterstützt, registriert. Gleichzeitig wird ein zum jeweiligen Passkey (auch privater Schlüssel genannt) passender öffentlicher Schlüssel erzeugt und beim Anbieter hinterlegt. Der Authenticator kann zum Beispiel ein »FIDO2« Stick sein (ein spezielles Gerät ähnlich wie ein #USB #Stick), ein Computerprogramm oder eine #Smartphone #App. Bei der nächsten Anmeldung wird dann im Hintergrund durch das Zusammenspiel mehrerer Komponenten die Identität des Nutzers oder der Nutzerin bestätigt. Nutzer selbst müssen beim Login in den Online Account dann kein Passwort mehr eingeben, sondern nur noch den Zugriff auf die Passkeys im Authenticator bestätigen, per #Fingerabdruck, Gesichtsscan oder durch die Eingabe einer PIN. Falls Kriminelle beispielsweise durch einen Datenleck beim Anbieter Zugriff auf die dort gespeicherten öffentlichen Schlüssel bekommen, können sie damit nichts anfangen. Denn diese funktionieren nur in Kombination mit dem jeweils passenden privaten Schlüssel, dem Passkey.

Eine Gütsel Strategie

Eine mögliche, sehr sichere Strategie ist auch die, sich Passwörter gar nicht zu merken und beim Einloggen immer auf »Passwort vergessen« zu klicken, ein neues Passwort zu kreieren, sich damit einzuloggen und es wieder zu vergessen. Das ist freilich umständlich und unbequem, aber sicher.

Weiterführende Infos und Links

• Mehr Infos zu starken Passwörtern …

• So funktioniert die 2 Faktor Authentifizierung …

• So funktionieren Passkeys …

Content bei Gütsel Online …

Verbraucherzentrale NRW, Beratungsstelle Gütersloh, mehr …
Blessenstätte 1
33330 Gütersloh
Telefon +4952417426601
Telefax +4952417426607
E-Mail guetersloh@verbraucherzentrale.nrw
www.verbraucherzentrale.nrw