Passwörter sind lästig und meist ziemlich einfallslos. Viele nutzen ohnehin nur ein, zwei immer gleiche für alle möglichen Anwendungen wie E-Mail, Online-Banking oder Shopping. Welches Risiko damit verbunden ist, zeigt sich, wenn ein Kennwort in falsche Hände geraten ist:

"Ich verkaufe Waren, die es nicht gibt, nehme aber das Geld von anderen Menschen, denn das Konto sieht ja total echt aus", erklärt Eva-Maria Weiß von "heise online". Es sei ja von einer echten Person, aber geknackt worden.

Es kann jeden treffen, der im Netz unterwegs ist. So funktionieren die Passwort-Raubzüge: Angreifer attackieren automatisiert die Datenbanken großer Unternehmen mit vielen Kunden - etwa soziale Netzwerke, Mailprovider, Shoppingseiten, Energieversorger oder Banken - und versuchen, Mailadressen und Passwörter zu stehlen. Die Daten verkaufen die Kriminellen oder versuchen selbst, sie zu nutzen: für illegale Einkäufe im Netz, Überweisungen, Spammails oder Hassbotschaften unter fremdem Namen.

Der Schaden wird umso größer, je häufiger die Kombination aus Mailadresse und Passwort die gleiche ist, warnt Eva-Maria Weiß: "Die Kriminellen benutzen automatisiert immer wieder diese Passwörter und setzen sie auf verschiedenen Plattformen ein." Das gelinge oft, da viele die gleichen Passwörter mehrfach nutzen. Das macht es Angreifern leicht.

Mehr Schutz als ein Passwort bietet die Zwei-Faktor-Authentifizierung: Dabei wird nach Eingabe des Passworts ein Code zum Beispiel aufs Handy geschickt. Erst nach der Eingabe ist das Einloggen abgeschlossen. Absolut empfehlenswert, findet die Expertin:

"Ich glaube, jeder, der Interesse daran hat, dass sein Account bei allen Diensten sicher ist, sollte das nutzen", erläutert die Expertin.

Die verschiedenen Passwörter kann man auf einem Zettel notieren oder digital hinterlegen in einem Passwort-Safe oder -Manager: Er funktioniert wie ein digitaler Notizblock und ist mit einem Passwort oder auch per Fingerabdruck geschützt. Einschränkend merkt Eva-Maria Weiß an: Wenn ein Passwort von Hackern genutzt worden sei, helfe es natürlich auch nicht, wenn es in einem Passwort-Manager gespeichert sei.

Gute Nachricht für alle Passwort-Muffel: Das Ende ist in Sicht. Passkeys ermöglichen die Anmeldung ohne Passwort. Mit Hilfe von Benutzername und Gerät, etwa dem Smartphone, werden für jede Anmeldung auf einer Website neue digitale Schlüssel generiert - das ist nahezu fälschungssicher. Passwörter sind dann nicht mehr nötig.

Viele große Unternehmen bieten Passkeys bereits an. Wer gerne mal sein Smartphone verlegt und sich auch dann noch einloggen will, sollte zwei Geräte - wie Tablet und Handy - zum Entsperren anmelden oder eine Lösung für den Notfall (Zwei-Faktor-Authentifizierung) vorhalten.

Die Empfehlung der "heise online"-Expertin:

Das Verfahren werde sich durchsetzen, auch wenn es dauern kann. "Wir werden hier vorerst noch so etwas sehen wie: Es gibt normale Passwörter, es gibt Zwei-Faktor-Authentifizierung und es gibt Passkeys, und wir müssen dann immer ein bisschen gucken, wo was angewendet werden muss." Der Tipp aber: Wer das Passwort mit der Zwei-Faktor-Authentifizierung kombiniert und, wo möglich, Passkey nutzt, ist besser vor Angriffen geschützt als mit bloß einem Passwort.