Der Umgang der Nutzer mit (sicheren) Passwörtern ist nach wie vor höchst unterschiedlich. So geben immer noch etwa 30 Prozent der Deutschen an, ihre Passwörter handschriflich auf Zetteln zu notieren (
Quelle Googleblog). Ein Einbruch im Haus oder Unachtsamtkeit mit diesen Unterlagen ist dann immer
auch ein Risiko für die Sicherheit der Acounts online.
Häufig werden auch gleiche Passwörter für unterschiedliche Anwendungen genutzt. Das bedeutet leider auch, dass eine Sicherheitslücke in einer Anwendung immer auch bedeutet, dass alle anderen Anwendungen kompromiitiert werden können.
Das BSI warnt daher vor zu vielen einheitlichen Passwörtern:
Viele Anwender denken sich ein Passwort aus und nutzen dieses dann für mehrere Online-Accounts, damit sie sich nicht viele verschiedene Passwörter merken müssen. Dieser Ansatz ist bequem, aber dennoch nicht zu empfehlen, selbst wenn das gewählte Passwort den oben genannten Kriterien entspricht. Denn gerät das Passwort einer einzelnen Anwendung in falsche Hände, hat der Angreifer freie Bahn für alle weiteren Accounts mit dem gleichen Passwort. Er kann einfach automatisiert durchtesten, wo dieses Passwort ebenfalls verwendet wird.
Prinzipiell sollte man daher im besten Fall unterschiedliche Passwörter verwenden und auf jeden Fall Zugangsdaten für besonders sensible Anwendungen (Banking, Smartphone usw.) nicht auch für Drittanbieter-Webseiten und andere Dienste verwenden. Damit spart man sich im Zweifel auch Arbeit, da man bei Sicherheitsproblemen
nicht alle Passwörter in unterschiedlichen Accounts ändern muss.
Ebenfalls wichtig: Passwörter nicht einfach weiter geben. Selbst wenn die Person, der man die Zugangsdaten schickt, diese nutzen soll, ist es wichtig im Hinterkopf zu behalten, dass diese Daten je nach Übertragung dauerhaft gespeichert bleiben. Bei Mails bleiben diese oft im Postfach, bei Facebook oder WhatsApp im Messenger.
Wenn Dritte dann Zugriff auf diese Accounts bekommen (oder beispielsweise auf ungesicherte Backups), haben sie auch Zugriff auf die verschickten Passwörter und Daten und können diese ebenso nutzen. Ein verschlüsselter oder nicht zuordenbarer Versand ist daher immer besser. Es kann auch helfen, das Passwort am Telefon
duchzugeben, denn das ist dann nicht gespeichert.
Zwei-Faktoren Authentifizierung
Einige Dienste sind mittlerweile dazu über gegangen, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die sogenannten Zwei-Faktoren Authentifizierung bedeutet dabei, dass neben den normalen Zugangsdaten auch noch ein weitere Faktor abgefragt wird - oft sind das SMS mit Zugangscodes, die auf das Handy geschickt werden.
Das Passwort allein reicht dann also nicht mehr, um einen Account öffenen zu können, man braucht auch Zugriff auf das Handy oder den zweiten Faktor allgemein. Diese Methode erhöht die Sicherheit von Accounts deutlich, bedeutet aber auch mehr Aufwand und ist daher in der Regel nach wie vor eher in besonders sensiblen Bereiche
(beispielsweise beim Banking) zu finden.
PIN und PUK beim Handy und der ec-Karte
Das PIN System, dass man aktuell noch bei Handytarifen und Simkarten sowie bei den ec-Karten findet, ist relativ alt und hat daher ziemliche Einschränkungen. Man kann in der Regel nur Zahlen nutzen und oft auch nur maximal 4 oder 6 Zahlen pro PIN. Das ist natürlich kein hoher Sicherheitslevel. Daher sollte man diese Karten
im besten Fall nur offline einsetzen und noch zusätzlich absichern. Handys und Smartphones haben dazu beispielweise mittlerweile Gesichtserkennung oder Fingerabdruck-Scanner. Auf diese Weise kann man die an sich unsicheren PIN Sperren noch zusätzlich absichern und damit nach wie vor recht sicher arbeiten.