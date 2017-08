Ein einfaches Passwort wie "aaa" für einen Account festzulegen ist keine gute Idee. Das wissen auch die Anbieter - und können Kunden vorgeben, welche Sicherheitskriterien für ihre Passwörter gelten sollen. Ein Passwort wie "aaa" könnte also längst ausgestorben sein.

Eine Untersuchung des US-Unternehmens Dashlane zeigt nun aber: Viele Firmen drücken sich davor, Kunden Passwort-Regeln aufzuerlegen. Etliche große Webanbieter ignorierten bei der Passwortvergabe ihrer Kunden einfache Grundregeln und erlaubten Passwörter, die von Kriminellen leicht zu knacken wären.

Als Negativbeispiele führt Dashlane die Portale Zalando, Amazon, Google, Instagram, LinkedIn, Venmo und Dropbox an. Bei ihnen kann man seinen Account mit Passwörtern sichern, die aus einfachen Buchstabenwiederholungen bestehen. Komplett durchgefallen sind nach Ansicht der Tester Netflix, Pandora, Spotify, Uber und Zalando, die keines ihrer Testkriterien erfüllen.

Insgesamt wurden 43 populäre Webseiten auf ihre Regularien bei der Passwortvergabe und -Nutzung geprüft. Fast die Hälfte davon (48,8 Prozent) erfüllen die von Dashlane definierten Minimalanforderungen nicht. Nur ein Unternehmen, der Domainregistrar GoDaddy, bekam die volle Punktzahl.

Gelobt werden auch Firmen wie Apple, Microsoft und PayPal, die immerhin vier von fünf getesteten Kriterien erfüllen. Das am besten bewertete deutsche Unternehmen ist das Versandhaus Otto, das in drei der fünf getesteten Kategorien bestanden hat.

Für den Test überprüfte Dashlane folgende Kriterien:

Insgesamt konnten die getesteten Webseiten also maximal fünf Punkte bekommen. Als bestanden gilt der Test, wenn mindestens drei Kriterien erfüllt werden.

Was der Untersuchung fehlt

Die Testergebnisse von Dashlane sind allerdings auch selbst noch verbesserungsfähig. So haben die Tester nicht untersucht, wie sicher die Passwörter auf den Servern der Anbieter abgelegt und ob sie dort beispielsweise hinreichend verschlüsselt sind. Das Kopieren von unzureichend verschlüsselten Passwort-Datenbanken ist neben dem automatisierten Erraten von Passwörtern eine der häufigsten Ursachen für Passwort-Leaks.

Zudem haben die Tester nicht beachtet, ob die Übertragung der Passwörter über den als relativ sicher geltenden Standard HTTPS gesichert ist - und ob dasselbe für die Eingabe eines neuen Passworts bei der Widerherstellung eines vergessenen Passworts gilt. Ist die Datenübertragung nicht verschlüsselt, lassen sich Passwörter mit dem entsprechenden Fachwissen im Klartext aus dem Datenstrom kopieren.

Als letztgültige Wahrheit sollte man die Untersuchung also nicht ansehen. Doch sie zeigt deutlich, dass etliche Onlineanbieter noch einiges besser machen können, um ihre Kunden zur Nutzung sichererer Passwörter zu bewegen.

So lange das noch nicht gängige Praxis ist, sollten Sie sich an den Passwort-Tipps orientieren, die wir im Folgenden zusammengestellt haben:

Fünf Tipps für bessere Passwörter

Verabschieden Sie sich von "123456"

Wenn bei einem Anbieter Passwörter geklaut werden, sind diese zum Glück oft verschlüsselt. Das hilft allerdings wenig, wenn das Passwort einfach zu erraten ist. "123456", "Passwort" oder "geheim" sind immer noch beliebt, aber denkbar schlechte Codewörter. Würfeln Sie lieber ein paar Wörter zusammen, mit mehr als zwölf Zeichen, und ersetzen Sie mehrere Buchstaben durch Zahlen und Sonderzeichen. Dann tragen Sie im Kalender noch ein, dass Sie dieses Passwort in drei Monaten durch ein neues ersetzen

Ein Passwort nur für E-Mails

Eigentlich muss man sich für jeden Dienst ein neues Passwort ausdenken. In der Praxis nervt das allerdings dermaßen, dass man es schon mal vergisst. Aber zumindest für Ihre E-Mails sollten Sie sich ein sicheres Passwort ausdenken, das Sie wirklich nur dafür verwenden. Denn bei vielen Diensten kann man sein Passwort zurücksetzen - und bekommt dann eine E-Mail mit einem Link geschickt, mit dem man sich ein neues Passwort geben kann. Wer in Ihrem E-Mail-Account ist, kann so viele andere Accounts übernehmen. Das sollten Sie verhindern. Noch besser sind sogenannte Passwort-Manager. Diese Programme kümmern sich automatisch darum, dass jeder Dienst ein eigenes, sicheres Passwort erhält. Experten empfehlen zum Beispiel die kostenlose Open-Source-Software ¿ Keepass. Aber auch der vertrauen Sie nicht alle Passwörter an, falls doch mal etwas schiefgeht: Passwörter für E-Mail-Konten speichern Sie nur im Gedächtnis ab. Oder auf Papier.

Nutzen Sie Zwei-Faktor-Authentifizierung

Etwas, was man wissen muss, und etwas, das man bei sich hat: Nach diesem Prinzip funktioniert die Zwei-Faktor-Authentifizierung. Sie kennen das vielleicht schon vom Online-Banking, wo man neben dem Passwort noch einen Code braucht, die sogenannte Tan, die man von einem Zettel abliest oder per SMS geschickt bekommt. Einige Anbieter bieten so eine doppelte Anmeldung an, zum Beispiel Apple, Google, PayPal und Facebook. Kommt hier ein Passwort abhanden, ist das ärgerlich, aber nicht bedrohlich. Eine konkrete Anleitung finden Sie hier

Benutzen Sie Ihre Passwörter nicht doppelt

Wird nämlich ein Dienst gehackt - und damit womöglich Ihr Passwort bekannt -, kann man Ihnen sonst auch woanders Daten abluchsen.

Vergessen Sie Ihr erstes Haustier