"Die Zitrone": Sichere Passwörter - die Abwälzung der gesamten Verantwortung auf die Konsumenten ist nicht akzeptabel.
"Mir wird ganz schlecht, wenn ich die Passwörter unserer Kundenkonten anschaue" – so zitierte die Tageszeitung Kurier vor Kurzem Robert Hartlauer zum Thema Datensicherheit und Cybercrime. Abgesehen davon, dass der bekannte Elektrohändler seine Zeit hoffentlich nicht damit verbringt, die Kundenkonten zu durchstöbern, sondern von einer Statistik spricht, hat diese Aussage den Unmut eines unserer Leser erregt, dem wir uns hier anschließen möchten.
Verantwortung auf Konsumenten abgewälzen?
Auch wenn die Verwendung von sicher gestalteten, nicht einfach zu erratenden Passwörtern unbedingt empfehlenswert ist, kann es nicht sein, dass die gesamte Verantwortung auf die Konsumenten abgewälzt wird. Ein Passwort soll in der Praxis immer noch anwendbar sein, und das ist jenseits von 20 Stellen wohl kaum noch der Fall. Deshalb müssen die Anbieter ihren Teil zur Sicherheit beitragen, etwa indem sie alles derzeit Mögliche unternehmen, um den Datendiebstahl oder das Ausspähen von Passwörtern zu verhindern.
Maximal drei Eingabeversuche
Wünschenswert wäre es weiters, die Anzahl der Fehlversuche bei der Eingabe des Passworts zu beschränken. Ein ausreichend sicheres Passwort in Kombination mit maximal drei Eingabeversuchen reduziert die Gefahr des Erratenwerdens erheblich. "Geraten“ wird ja nicht von Personen, sondern von Computerprogrammen im Rahmen sogenannter "Brute-Force-Attacken".
Bei unbeschränkt vielen Eingabeversuchen wird früher oder später jedes Passwort geknackt. Ein gut ausgestatteter Computer generiert immerhin zwei Milliarden Passwörter pro Sekunde(!). Bei Beschränkung auf drei Login-Versuche läge die Wahrscheinlichkeit, es zu erraten, selbst bei einem nur einstelligen Passwort (Groß-, Kleinbuchstabe oder Ziffer) bei 1 : 20.
Achten Sie auf die Https-Verschlüsselung
Abgestellt werden sollte in Onlineshops auch die Eingabe persönlicher Zugangsdaten über Websites, die nicht offensichtlich https-verschlüsselt sind. In der Regel landet man zwar beim nächsten Schritt auf einer verschlüsselten Seite, doch das ist für die Kunden nicht erkennbar und führt zur Verunsicherung. Diese Zitrone versteht sich daher als Aufforderung an alle im Internet tätigen Unternehmen, ihre Einstellung und ihre Sicherheitsvorkehrungen zu überdenken.