Für jeden Account ein eigenes, kompliziertes Passwort: Wer soll sich das alles merken? Eine Alternative sind Passkeys, die auf biometrischen Merkmalen beruhen. © panthermedia
Die meisten Menschen, die sich im Internet bewegen, haben großes Vertrauen in ihre Passwörter. Das ist im Alltag aber oft leichtsinnig. Rund drei Viertel der Befragten (74 Prozent) halten ihre eigenen Online-Passwörter für eher oder sogar sehr sicher. Lediglich 19 Prozent bewerten ihren Schutz als unsicher. Das ist das Ergebnis einer aktuellen YouGov-Umfrage im Auftrag des eco – dem Verband der Internetwirtschaft.
Diese gefühlte Sicherheit scheint jedoch eine Fehleinschätzung zu sein. Denn trotz der steigenden Gefahr durch Cyberkriminalität setzen Verbraucher in der Mehrheit auf veraltete und unsichere Verhaltensweisen. Dabei geht es besser – und das mit überschaubarem Aufwand.
■ Passkeys deutlich sicherer
Passkeys gelten als besonders sicher, weil es kein Passwort gibt, das man erraten oder ausspähen kann. Ein Passkey ist ein digitaler Schlüssel, der automatisch auf dem Gerät (etwa Smartphone oder Laptop) gespeichert wird. Statt ein Passwort einzugeben, bestätigt man seine Identität mit einem Fingerabdruck, der Gesichtserkennung (Face ID) oder einer Geräte-PIN – so wie man ein Handy entsperren kann – nur eben für Logins.
Die Freischaltung mit Face ID oder Fingerabdruck funktioniert nur auf der echten Website. Daher ist das Risiko ausgeschlossen, dass man auf einer Fake-Website sensible Daten eingibt. Mit Passkeys bekommt man auch das Problem von wiederverwendeten Passwörtern in den Griff, weil die biometrische Bestätigung das Passwort ersetzt.
Norbert Pohlmann, Vorstand für IT-Sicherheit im eco Verband, hält es bei der wachsenden Zahl an Online-Accounts für unrealistisch, sich alle Passwörter im Kopf zu merken. Das führe unweigerlich zu gefährlichen Notizen am Schreibtisch oder zur Mehrfachnutzung von Passwörtern. Er warnt: „Das reine Passwort-Verfahren ist die unsicherste Möglichkeit der Authentifizierung und ein massives Einfallstor für Ransomware-Angriffe.“ Bei Ransomware-Angriffen verschlüsseln Cyberkriminelle Daten auf Servern und Computern ihrer Opfer mit hochkomplexer Schadsoftware. Eine Entschlüsselung wird nur gegen Zahlung eines Lösegelds (Englisch: ransom) in Aussicht gestellt.
■ Sichere Passwörter
Die Einrichtung eines Passkeys ist aber manchem Anwender zu kompliziert. Daher sieht Cybersicherheitsexperte Christian Dörr vom Hasso-Plattner-Institut (HPI) in Potsdam im Passwort auch kein Auslaufmodell. „Trotz aller Fortschritte bei biometrischen Verfahren und passwortlosen Technologien bleibt das Passwort ein zentraler Baustein digitaler Sicherheit.“ Cybersicherheit dürfe nicht nur für Experten funktionieren.
Auch mit dem Passwort kann man seine Online-Zugänge sicher schützen, wenn man zusätzliche Sicherheitsmaßnahmen unternimmt. So empfehlen die Sicherheitsexperten beim Verzicht auf Passkeys zumindest die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Dabei muss nach der Passworteingabe ein zusätzlicher Code eingegeben werden, der beispielsweise per App oder SMS verschickt wird. Der große Vorteil: Selbst wenn Kriminelle ein Passwort erbeutet haben, schützt dieser zusätzliche Faktor das Konto vor unbefugtem Zugriff. Bereits 39 Prozent der Menschen in Deutschland nutzen laut eco-Umfrage diesen wirksamen Schutz.
■ Passwort-Manager einsetzen
Um der Zettelwirtschaft ein Ende zu bereiten, empfiehlt sich die Nutzung eines Passwort-Managers. Dieses Programm generiert für jeden Dienst ein sicheres Passwort und stellt diese auf unterschiedlichen Geräten verschlüsselt zur Verfügung. Nutzerinnen und Nutzer müssen sich damit nur ein einziges Kennwort merken. Aktuell greifen darauf erst 24 Prozent der Deutschen zurück.
■ Misstrauisch bleiben
Die besten Passwörter nützen nichts, wenn auf Betrüger hereingefallen wird. Oft werden Zugangsdaten über täuschend echt aussehende Webseiten oder E-Mails durch sogenanntes Phishing abgefischt. Daher sollten bei jeder E-Mail verdächtige Inhalte, Absender und Webadressen (URLs) sorgfältig geprüft werden. Die Eingabe von Zugangsdaten sollte ausschließlich auf vertrauenswürdigen Plattformen erfolgen.