Haben Sie diese Woche Ihre Passwörter aktualisiert? Überholter Erinnerungstag und neuer Blick in die Zukunft

Passwörter- Ein Dauerthema
Alle Internetnutzerinnen und -nutzer wissen, dass man sich vor Datendiebstahl und - missbrauch durch sichere Passwörter schützen sollte. Eine aktuelle Umfrage des Branchenverbands BITKOM aus diesem Jahr zeigt, dass dieses Wissen von einem nennenswerten Teil immer noch nicht umgesetzt wird:
- Rund ein Viertel (23 Prozent) der rund 1.000 befragten Internetnutzerinnen und -nutzer wählen häufig bewusst einfache Passwörter, damit sie sich diese leicht merken können.
- Ein Drittel (33 Prozent) nutzt dasselbe Passwort für verschiedene Dienste.
Die meisten dürften wissen, dass die mehrfache Nutzung eines einfachen Passworts das Risiko eines erfolgreichen Hackerangriffs erhöht, bleiben aber bei dieser Gewohnheit. Damit sich das ändert, hat irgendwann irgendwer gedacht, ein jährlicher Erinnerungstag könnte das Bewusstsein schärfen und das Verhalten ändern.
Kann ein Erinnerungstag Verhalten ändern?
Ich muss gestehen, ich habe weder in diesem, noch im vergangenen Jahr am 1. Februar mitbekommen, dass es einen solchen Erinnerungstag überhaupt gibt. Nach einem GMX-Blog-Beitrag soll es ihn 2022 schon zehn Jahre lang gegeben haben. Wer Ihn damals initiiert hat, konnte ich noch nicht herausfinden. Völlig unbeachtet ist er jedenfalls nicht geblieben. Am 1. Februar 2024, wie auch schon 2023 und 2022 hat unter anderem die Polizei in Aachen auf ihrer Homepage zu einer Änderung der Passwörter geraten. Am 1. Februar 2023 sogar mit einer Einladung zu entsprechenden Fachvorträgen.

Erinnerung an etwas, das nicht mehr zeitgemäß ist?
Darüber wie weit Erinnerungstage Verhalten ändern können, kann man streiten. Aber auf jeden Fall machen sie nur Sinn, wenn das, woran sie erinnern, noch aktuell ist. Genau das scheint aber in Bezug auf die Empfehlung einer regelmäßigen Passwortänderung nicht mehr der Fall zu sein. Eine entsprechende Google-Suche hat nämlich überwiegend Treffer gezeigt, in denen hinterfragt wird, wie weit eine Änderung von Passwörtern die Sicherheit erhöht, oder in denen sogar davon abgeraten wird, weil so ein Sicherheitsempfinden entstehen könnte, das faktisch nicht besteht. Der Chaos Computer Club fordert deshalb sogar die Abschaffung dieses Gedenktags und empiehlt den "Passwort-Ausstieg".

Einig sind sich alle Beiträge darin, dass die Änderung eines mehrfach genutzten einfachen Passworts keinen Sicherheitsgewinn bringt. Scherzhaft wird erzählt, dass der russische KGB nach einem erfolgreichen Hackerangriff das Passwort von "Moskau1" auf "Moskau 2" geändert habe und der nächste erfolgreiche Angriff nicht lange auf sich warten ließ.
Die eingangs genannten Regeln gelten also weiter. Die Änderung mehrere komplexer Passwörter, die man nicht aufschreiben soll, überfordert aber nach wie vor die meisten User. Ich habe daher doch eine Liste mit mehr als 50 verschiedenen Passwörtern - zwar mit einem schlechten Gewissen, schätze aber das Risiko, dass ein Einbrecher nach so einer Liste sucht und sie findet, eher gering ein. Und bei allem was mit Zahlungen zu tun hat, habe ich eine Zwei-Faktor-Authentifzierung mit meinem Smartphone als zweitem Gerät neben dem benutzten Desktop-Rechner eingerichtet. Viele Beiträge, die den Änderungstag hinterfragen, empfehlen Passkeys, die es zu Beginn dieser Initiative noch gar nicht gab.
Fünf zukunftsweisende Empfehlungen von BITKOM
BITKOM hat als Konsequenz aus den Eingangs zitierten Umfrageergebnissen fünf Tips formuliert, in denen die nach wie vor geltenden alten Empfehlungen mit den neuen Möglichkeiten kombiniert werden, die ihre Umsetzung erleichtern:
- Keine einfachen Passwörter,
- keine doppelten Passwörter,
- keine Zettel und einfache Textdateien,
- doppelt hält besser: Zwei-Faktor-Authentifizierung,
- noch mehr Sicherheit – ganz ohne Passwort!
Interessant ist der letzte der fünf Punkte. Dazu heißt es:
"Passkeys sind eine moderne und besonders sichere Alternative zum klassischen Passwort. Anstatt wie bisher das Kennwort einzugeben, wird bei einem Passkey bei der ersten Registrierung ein Schlüsselpaar generiert, bei dem ein Teil (der private Schlüssel) sicher auf dem Gerät bleibt und der andere (der öffentliche Schlüssel) an den Online-Dienst übermittelt wird. Der Vorteil: Der private Schlüssel – der wie früher das Passwort der Ausweis für die eigene Identität ist – muss nie übertragen werden und kann so auch nicht so einfach gestohlen und missbraucht werden. Die Schlüssel selbst sind eine lange Zahlenkolonne, die der Nutzer aber gar nicht kennen muss, stattdessen wird für die Identifikation auf dem eigenen Gerät bequem der Fingerabdruck, die Gesichtserkennung oder eine PIN verwendet."
Ich muss gestehen, dass ich hier nicht genau verstehe, wie das funktionieret. Aber auch Der Spiegel rät aus Anlass des 1. Februar aktuell zu Passkeys und stützt sich dabei auf einen Experten des BSI. In einem separaten Betrag wird genauer erläutert, wie Passkeys funktionieren und dass unter anderem amazon, ebay, PayPal diese Option anbieten. Das BSI geht davon aus, dass zukünftig immer mehr Anbieter von Onlinediensten Passkeys als Option anbieten und rät dazu, diese Möglichkeiten zu nutzen. Auf einer stets aktualisierten Liste kann man sehen, wer bereits Passkeys anbietet.
Das BSI hatte 2024 in einer Umfrage allerdings eine geringe Bekanntheit dieser Technologie bei Verbraucherinnen und Verbrauchern festgestellt: 38% der Befragten kennen den Begriff, aber nur 18% nutzen entsprechende Angebote. Ich nehme das zum Anlass, es einmal bei einem der Anbieter zu probieren.
Und was ist mit Passwort-Managern?
Heise online empfiehlt aus aktuellem Anlass die Nutzung eines Passwort-Managers. Passwort-Manager wurden schon 2022 von der Stiftung Warntest und von Chip getestet und werden ebenfalls vom BSI empfohlen. Dazu gibt es ein YouTube Video, das ich sofort verstanden habe. So kann ich meine 50 Passwörter behalten, brauche aber keine Liste mehr, sondern speichere sie in dem Passwort-Manager und sichere diesen mit einem Master-Password. Nur das muss ich mir noch merken. Der Passwort-Manager fügt dann beim Besuch einer Web-Seite das entsprechende Passwort ein. Das BSI empfiehlt, auf jeden Fall eine Kopie der Liste und das Master-Passwort auf einem separaten Datenträger zu sichern. Denn das Master-Passwort kann man nicht zurücksetzen.
Password-Manager oder/und Passkeys?
Alle zitierten Quellen sind sich einige, dass Passkeys sicherer sind als Passwörter und auch einfacher, wenn man Sie mit Fingerabdruck oder Gesichtserkennung sichert. aber man kann sie nur Nutzen, wenn ein Onlinedienst diese Option anbietet. Deren Anzahl steigt, aber bis zu einer großen Verbreitung kann es noch dauern. Daher wird erwartet, dass wir um die Sicherheit zu maximieren, noch einige Zeit noch mit beiden Verfahren parallel arbeiten müssen.
Die Verbraucherzentrale NRW verweist in ihrer Beschreibung von Passkeys darauf hin, dass immer mehr Passwort-Manager sowohl Passwörter als auch Passkeys verwalten können und man bei der Wahl eines Passwort-Managers darauf achten soll.
Die Firma NordPass bietet einen ausführlichen Vergleich der Sicherheit von Passwörtern und Passkeys und wirbt damit, dass man mit ihrem Passwort-Manager beides verwalten kann. Nach der Preisliste ist eine einfache Version für Privatpersonen lebenslang unentgeltlich, eine Premium-Lizenz kostet 1,29 € pro Monat oder 34,83 € für 27 Monate. Bekannt und unter anderem von der FAZ in einem Test im Januar 2025 als bestes Produkt bewertet ist 1Password. Auch die SZ empfiehlt dieses Produkt. Es kann auch Passwörter und Passkeys gemeinsam verwalten, ist mit 2,65 € im Monat allerdings deutlich teurer.
Ein überholter Erinnerungstag ändert mein Verhalten - Ihres auch?
Hätte ich nicht in der Zeitung vom "Ändere-Dein-Passwort-Erinnerungstag" gelesen, hätte ich mich nicht näher mit Passwort-Managern und vor allem Passkeys beschäftigt. Jetzt werde ich einen der beiden Passwortmanager erwerben und wo immer es angeboten wird, Passwörter durch Passkeys ersetzen.
Das ist vielleicht auch ein Anstoß für Sie. Vor allem aber sollten alle, die Seniorinnen und Senioren beraten oder unterstützen, eigene Erfahrungen mit Passkeys machen und prüfen ob damit wirklich der bisherige Zielkonflikt zwischen Sicherheit und einfacher Bedienbarkeit aufgelöst werden kann. Denn dann könnte die bisherige Zurückhaltung vieler älterer Menschen bei den Online-Transaktionen überwunden werden, die ihnen ihren Alltag erleichtern können.