Hätten Sie’s gewusst? Am 1. Februar war wieder der „Ändere-Dein-Passwort-Tag“. In der Reihe der jährlichen Gedenktage ist er sicher noch einer der relevanteren – jedenfalls verglichen mit dem „Tag der Handschellen“, dem „Verehre-Dein-Werkzeug-Tag“ oder dem „Tag des hässlichen Trucks“. Denn immerhin begleiten und plagen uns Passwörter längst an jeder Stelle unseres digitalen Alltags, von der Anmeldung am Bürorechner bis zum Einkauf auf Onlineshoppingportalen.
Und weil der Mensch meist faul ist, nutzen noch immer Millionen von Onlinern im Netz in all ihren Nutzerkonten das gleiche Passwort. Gelingt es Hackern, das eine zu knacken, ist es ein Leichtes für sie, gleich die komplette digitale Identität ihrer Opfer zu übernehmen – vom E-Mail-Postfach übers Social-Media-Konto bis zum Zugang fürs Urlaubs-Buchungsportal. Da scheint die Aufforderung, wenigstens einmal im Jahr, in dem Fall also heute, das Passwort zu wechseln, vernünftig.
Ist es aber nicht. Im Grunde schafft der „Ändere-Dein-Passwort-Tag“ sogar ein falsches Gefühl von Sicherheit. Denn wer am 1. Februar aus „ABC_2021“ nur in all seinen Nutzerkonten ein „ABC_2022“ macht, hat faktisch nichts an Onlinesicherheit gewonnen. Nein, der Passwort-Tag gehört abgeschafft. Und nicht bloß das: Das ganze Getue um möglichst viele, möglichst unterschiedliche Zugangscodes für alle Onlinekonten im Netz ist eigentlich überflüssig. Vergesst den ganzen Passwortkrampf am besten einfach. Denn es gibt eine viel wirksamere Alternative, sich im Netz zu schützen. Und sie ist zudem auch noch viel einfacher zu nutzen, als das elende Jonglieren mit den Zugangscodes.
Die Lösung heißt „Zwei-Faktor-Authentifizierung“, kurz „2FA“, klingt komplizierter als sie ist und wird vermutlich auch deshalb bis heute von nicht mal der Hälfte der Deutschen genutzt. Was das Nutzerkonto dabei sichert, ist nicht ein unmerkbar komplexer Buchstaben-Zahlen-Salat, sondern ein zweiter Zahlen- oder Zeichencode, den der Anwender beim Anmelden im Onlinekonto als SMS auf sein Handy oder in einer App eingeblendet bekommt. Teils reicht auch die Freigabe der Anmeldung per Fingerabdruck auf dem Smartphone. Für Bankkunden ist 2FA als Anmeldemodus seit vergangenem Jahr Pflicht, ansonsten im Netz aber noch nicht die Norm.
Das ist ein großer Fehler, denn wer den Modus aktiviert hat, erschwert es Hackern und Passwortdieben massiv, ohne direkten Zugriff aufs Handy fremde Nutzerkonten zu knacken und so zu missbrauchen. Denn jeder unberechtigte Anmeldeversuch löst sofort eine entsprechende Meldung am Handy aus. Und ohne zusätzliche Freigabe bleibt das Konto geschützt – egal, wie simpel das primäre Passwort. Das entscheidende Plus an Onlinesicherheit bietet nicht die Änderung des Passworts einmal im Jahr, sondern die Aktivierung der zweiten Sicherungsstufe. Am besten schon heute und in jedem Onlinekonto. Und ab 2023 sollte der 1. Februar dann „Zwei-Faktor-Tag“ heißen.
Dieser Beitrag entstammt dem neuen WiWo-Newsletter Daily Punch. Der Newsletter liefert Ihnen den täglichen Kommentar aus der WiWo-Redaktion ins Postfach. Immer auf den Punkt, immer mit Punch. Außerdem im Punch: der Überblick über die fünf wichtigsten Themen. Hier können Sie den Newsletter abonnieren.
