Die Deutschen lieben PIN und Passwort - doch Vorsicht ist geboten!

Die Deutschen lieben PIN und Passwort - doch Vorsicht ist geboten!

Die Deutschen sind sich uneins, womit man Bezahlen im Internet absichern soll: PIN oder Passwort? Fingerabdruck oder Gesichtserkennung? Oder sogar Sprache? Die neuen, biometrischen Methoden schneiden bei der Beliebtheit weniger gut ab, doch auch PIN und Passwort haben ihre Tücken.

Sicherheit ist wichtig, nicht nur auf dem Smartphone oder im heimischen WLAN, sondern auch beim Bezahlen im Internet. Eine Studie zeigt nun, dass 83 Prozent der befragten Deutschen nach wie vor auf PIN oder Passwort setzen, um sich im Netz zu authentifizieren. Auf Platz zwei liegen biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung mit 73 Prozent. Unter den verschiedenen biometrischen Methoden rangiert der Fingerabdruck mit 38 Prozent am höchsten. Nur 44 Prozent wollen ihr Smartphone zur Absicherung beim Bezahlen verwenden. Die Befragten durften je zwei Merkmale nennen. Jüngere setzen dabei eher auf Gesichtserkennung oder sogar Sprachassistenten als ältere. An die Beliebtheit von PIN und Passwort reicht aber nichts anderes heran.

Die Zweifel an den neuen biometrischen Sicherheitsmerkmalen sind nicht ganz unbegründet, im Gegenteil. Schon der Fingerabdrucksensor im Smartphone gilt nicht als risikolos, für die Gesichtserkennung sieht es noch schlechter aus. Vielfach arbeitet die mit 2D, also nur über die Frontkamera, und ist so leicht mit einem Foto oder Video des richtigen Gesichts zu überlisten. wie wir selbst beim Huawei Mate 20 Pro herausgefunden haben. Und Spracherkennung mag bequem sein, aber die dahinterliegenden Prozesse von Amazon und Co. geben Anlass zur Besorgnis, ob diese Technologie zusammen mit 

Passwort ist nicht gleich Passwort

Also doch PIN oder Passwort? Da kommt es auf den Nutzer selbst an, denn PIN ist nicht gleich PIN und Passwort nicht gleich Passwort, was die Sicherheit angeht. Als Faustregel gilt: Auf die Länge kommt es an, allerdings nicht nur. Bei Passwörtern gilt es, komplette Worte oder Sätze zu vermeiden und keine persönlichen Informationen wie Namen von Partnern einfließen zu lassen, die sich leicht erraten lassen. Mit einem Passwortmanager bekommt Ihr sichere Passwörter, die Ihr im Zweifel nicht einmal selbst kennt. Eine PIN sollte nicht zu kurz und keine natürliche Zahlenfolge sein. Geburtstage und Hochzeitstage sind tabu!

Ich würde Euch in Sachen Sicherheit vor allem zu einer Sache raten: Zwei-Faktor-Authentifizierung. Damit steigt die Sicherheit Eurer Accounts massiv an, da zusätzlich immer noch ein weiteres Gerät oder eine erneute Abfrage notwendig ist, um sich anzumelden. Das mag den Komfort ein bisschen senken, aber die Sicherheit profitiert davon ungemein. Vor allem, wenn es um finanzielle Dinge geht, sollte die im Fokus stehen.

Ich würde gerne Eure Meinung hören: Womit sichert Ihr Eure Bezahlsysteme am liebsten ab?

Bezahlen im Internet absichern - aber wie?
Ergebnisse anzeigen

Quelle: Spiegel Online

Neueste Artikel bei NextPit

Empfohlene Artikel bei NextPit

Top-Kommentare der Community

  • Tim 05.08.2019

    Frage mich, worauf sich genau die Studie bezieht. Denn man kann das nicht alles über einen Kamm scheren.
    Auf dem Smartphone und iPad nutze ich immer den Fingerabdruck. Mein PC bietet aber nun mal keine Art von biometrischen Login-Methoden, also MUSS ich da Pin bzw. Passwort verwenden.
    Abgesehen davon muss doch sowieso bei ausnahmslos jedem Fingerscanner oder Gesichtserkennung ein Pin oder eben Passwort hinterlegt werden. Irgendwie logisch, dass diese dann "gewinnen"... ^^
    Und auch bei Zwei-Faktor-Authentifizierungen muss man in der Regel natürlich ein Passwort hinterlegen, da geht's nicht nur mit dem Fingerabdruck.

    Hinzu dürfte kommen, dass einige Bezahl-Apps (oder generell Shopping-Apps) vor allem bei Android, aber auch iOS, nicht immer Fingerscanner oder FaceID zulassen. Auch da ist man gezwungen ein Passwort zu nutzen, ob man will oder nicht.

    Also mMn ist das eine durchaus schwammige Studie ^^

37 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Zusätzlich ein zweites Gerät, cm ich hab nur ein einziges vier Jahre altes Smartphone, nix PC , und nix zweite SIM, aus dem Grund, werde ich weder mobiles bezahlen, noch Banking nutzen. Außerdem gibt es Tage da kann ich mich nur sehr schlecht konzentrieren,da wird's dann viel zu kompliziert für mich.


  • Laut einem Bericht im Internet kann man sich schnell komplexe und lange Passwörter merken. Als einfachste Beispiel soll man sich einen Satz aus dem Alltag bilden, von dem Satz nimmt man nur die Anfangsbuchstaben und ersetzt einige Buchstaben durch spezielle, zum Bsp. A wird zu @ oder E zu € oder Und zu & etc. Und ehrlich gesagt mein Opa könnte sich so viele Passwörter für seine Accounts merken ohne sie aufzuschreiben und der wird 90.
    Aber sicher ist heutzutage eh nix mehr, da die Passwörter ja eh auf den Servern gespeichert sind und sobald die geknackt sind...

    Helmut HGelöschter Account


  • Also ich habe überall wo es geht 2 Faktor an. Kann aber auch mal nerven. WAs mich halt nervt das zb. Microsoft das über Paypal zb ignoriert. Wenn man im MS Store was anklickt und Paypal Daten hinterlegt sind dann wird ohne einfach abgebucht. Ebay macht das genauso ist echt nervig. So hat mein Sohn letzt aus versehen ein Fortnite Paket gekauft.

    Gelöschter Account


  • Wurde in o. g. Studie auch berücksichtigt, dass die Biometrie nicht zur Verifikation oder Identifikation, sondern zur Legitimation dient?
    Hintergrund: wenn ich jemanden fragen würde, ob er per Fingerabdruck zahlen wollte, könnte er denken, beim Kauf des Produkts würde der Verkäufer seinen Fingerabdruck nehmen und ihn speichern. Dem ist ja bekanntlich nicht so - der Fingerabdruck gilt lediglich zum Entsperren des Geräts bzw. zur Legitimation der Bezahlung in der Bezahl-App. Ergo bleibt der Fingerabdruck im Gerätespeicher und verlässt ihn nicht. Ich denke, dass vielen dieser Umstand überhaupt nicht klar ist.


  • Meine wichtigen Kennwörter sind im Stil von

    Dein Pferd ist fett!

    gehalten. Unknackbar.

    Aber die eigentliche Bedrohung heute sind Phishing-Mails und gefälschte Webseiten, während Brute-Force-Attacken bei „normalen“ Anwenden so gut wie nie zum Einsatz kommen.

    Gelöschter AccountGelöschter AccountOlaf Gutrun


    • So knapp gehalten?

      Ich verwende da eher Sachen im Stil von

      Klabauterbasalt geschwiggt Granate, singt um 9 & salbandert zirkig um Gebrase. Fulmig Es war!

      Gelöschter AccountGelöschter AccountTimtrixi


      • @ Tenten: Du kannst dich ja darüber lustig machen. 🙃 Aber ich habe für meine Junioren schon sehr früh bei Gmail die Adresse im Sinn von vorname.name@gmail.com registriert. Da ich die Adresse auf Jahre wegsperren musste, habe ich das Kennwort

        Na, das ist aber ein schönes Kennwort, nicht wahr?

        verwendet, das zu meiner Verblüffung von Gmail problemlos akzeptiert wurde. Heute verwenden Sie allerdings etwas einfacheres.

        Gelöschter AccountGelöschter Account


      • Ich mache mich nicht darüber lustig, ich handhabe das wirklich so. Vielleicht nicht ganz so lang, aber auf jeden Fall nicht aus einfachen Wörtern, die jeder Duden enthält, zusammengesetzt.

        P. S. Was bitte will man mit einer Klarnamensadresse bei Gmail anfangen??

        Gelöschter Account


      • Sehr schönes Passwort - ich stelle mir das leicht alkoholisiert und mit Dialekt gesprochen vor ;)

        Gelöschter AccountGelöschter AccountBlack Mac


      • @ Tenten: Mit einer Klarnamen-Adresse? Das ist die heilige Adresse, die zu einem gehört wie der Bauchnabel! Das ist die Adresse, die man schützt und pflegt.

        Oder verwendest du für die Korrespondenz eine Adresse wie “pussy-kenner428@hotmail.com”?


      • Tenten, ich würde daraus dann folgendes machen:

        KgG,su9&szuG.FEw!


      • @trixi Viel Spass damit, wenn du das jemals von Hand eingeben musst, etwa mit einem Xbox-Controller. 🙀😬

        Gelöschter AccountGelöschter Account


      • Ich habe aus beruflichen Gründen ca 60 Accounts, inklusive der privaten. Da kann ich mir für jeden Account ein anderes solche Passwort einfach nicht merken. Passwortmanager sind zwar ganz schön, aber wenn jemand das Master-Passwort knackt, ist alles futsch, und wenn die Info auch in der Cloud ist... braucht man nicht weiter zu diskutieren. Für privat benutze ich schon seit Jahren die Google Authenticator App, wo immer möglich. Ich warte sehnlichst auf die breite Umsetzung der WebAuthn Standards. Dort kommt man ganz ohne Passwort aus. Und wo die Webseiten keine Passworte mehr speichern (brauchen) , können auch keine geklaut werden. Und den dann notwendigen Jubikey (oder vergleichbares) kann ich mir geradeso leisten :-)


      • @Black Mac
        Für Korrespondenz und alles geschäftliche würde ich niemals eine Gmail-Adresse verwenden. Das kommt nicht im geringsten seriös rüber.

        @Trixi
        Ja, aber das ist dann wieder recht kurz, außerdem kannst du dafür auch einen ganz normalen Satz nehmen, ohne erfundene Begriffe. Ich kann mir solche Sätze mit erfundenen Worten besser merken, als richtige Sätze. Das Absurde prägt sich offenbar besser ein.

        Für alle, die da Anregung brauchen, empfehle ich zum Beispiel eine Übersetzung des Jabberwockys von Lewis Carrol

        http://www76.pair.com/keithlim/jabberwocky/translations/german1.html


      • @ Black Mac

        Du wirst es nicht glauben, ich habe dutzende ähnliche Passwörter, die ich ALLE per Hand eingebe. Zum einen ist es sicherer, zum anderen kann ich mir so das Ganze besser merken.
        Zugegebenermaßen sind einige nicht so wichtigen Passwörter nur an ein paar Stellen unterschiedlich, aber irgendwann hört meine Merkfähigkeit für ellenlange Sätze auch auf. ;)


      • @ Trixi: Im Kopf? Ernsthaft? Und was passiert, wenn dir – was Gott verhüten möge – etwas Übles zustösst? Digitales Erbe und so?

        trixi


  •   75
    Gelöschter Account 05.08.2019 Link zum Kommentar

    Das Passwort muss man ja deswegen nicht gleich lieben, wenn es einem so gut wie überall aufgedrängt wird. Ich finde das soweit auch ok. aber der Fingerabdruck ist mir am liebsten.


    • Letzten Endes ist immer das Passwort ausschlaggebend und die eigentliche Sicherung. Wenn mein Handy meinen Fingerabdruck nicht erkennt, fragt es nach dem Passwort.


  •   77
    Gelöschter Account 05.08.2019 Link zum Kommentar

    Ein gut durchdachtes Passwort aus Zahlen, Buchstaben und Zeichen. Ein Kombination aus mindestens 8 Zeichen oder gern mehr. Also mein Passwort bei Androidpit und Instagram ist : ***********

    Gelöschter Accounttommy


    •   77
      Gelöschter Account 05.08.2019 Link zum Kommentar

      😵Shit jetzt kann jeder meine heimlichen Fotos bei Instagram sehen, wie ich auf dem Klo sitze. 😥

      Gelöschter Account


    • Jein. Ein gutes Passwort ist eher ein komplett wirres ohne jeden Sinn, mit Sonderzeichen und allem drum und dran ^^ jsaSCJa-2_euz__sZy*wD-Uk zum Beispiel oder was auch immer.
      Ein Passwort wie 1chMagMe1ne_mama ist kein gutes Passwort. Das kann man in Minuten knacken ^^


      • Vor allem kann sich ^^ jsaSCJa-2_euz__sZy*wD-Uk niemand merken, besonders dann nicht wenn man mehrere Accounts hat (bei mir sind es beruflich un privat zusammen mehr als 60) und für jeden ein anderes PW verwenden will. 1chMagMe1ne_mama ist auch nicht viel schlechter, weil man sich das eher merken kann und trotzdem eine gute Länge hat. Die Länge des Passworts oder der Passphrase ist wichtiger als die Zahl der Sonderzeichen, vorausgesetzt, dass das Passwort oder die Passphrase noch nicht irgendwo gehackt wurde. Dann muss der Angreifer einen Offline Bruteforce Angriff machen, also alle beliebigen Zeichenkombinationen durchprobieren, und das dauert um so länger, je länger die Phrase /das PW ist.

        Helmut HGelöschter Account


      • @Hans-Thomas M.
        Naja, Samsung und Apple bieten z.B. selbst an, dass die Passwörter generiert und dann direkt gespeichert werden. Wenn man die App nur auf dem Smartphone nutzt, dann bietet sich schon an, so ein wirres Passwort zu nutzen.

        Und ja, natürlich ist auch die Länge wichtig. Aber wenn das Passwort im wesentlichen nur aus einem Satz mit Unterstrichen statt Leerzeichen und Zahlen statt den jeweiligen Buchstaben besteht, sind die fast genauso leicht zu knacken.


      • @ Tim: «1chMagMe1ne_mama» wird nie und nimmer innerhalb nützlicher Frist (also nach nur wenigen Jahren Rechenzeit) durch Brute Force geknackt – und wenn du sämtliche Server von Google darauf ansetzt. Das sind 16 Zeichen aus einer Auswahl von 61 Zeichen, und dabei ist der Unterstrich (und andere möglichen Sonderzeichen) nicht einmal mitgezählt.

        Darüber reden wir wieder, wenn die bösen Buben mit Quantenrechnern ausgestattet sind.


      •   77
        Gelöschter Account 06.08.2019 Link zum Kommentar

        Ich stimme dir gerne zu aber zu kompliziert wie du vorgeschlagen hast, macht eh fast keiner. Selbst gespeicherte Passwörter die durch Autofill eingegeben werden, können durch Apps heimlich. ausspioniert werden. Da nützt auch kein super verschlüsseltes Passwort.

        Gelöschter Account


      • @Black Mac
        Passwörter zu knacken, ist einfacher, als du denkst. Du brauchst dafür schon lange keine pure Rechenleistung mehr.
        Grundsätzlich ist ein längeres Passwort natürlich immer besser, aber unknackbar oder erst nach Jahren mit einem Superrechner, sind die dann noch lange nicht. Auch Sonderzeichen machen es nicht einfach so deutlich komplizierter.

        Gibt dazu ein schönes Video von Simplicissimus, ist nicht lang und kann man sich mal geben:
        https://youtu.be/qR7xFprYnF0


  • Zwei-Faktor Authentifizierung


  • Frage mich, worauf sich genau die Studie bezieht. Denn man kann das nicht alles über einen Kamm scheren.
    Auf dem Smartphone und iPad nutze ich immer den Fingerabdruck. Mein PC bietet aber nun mal keine Art von biometrischen Login-Methoden, also MUSS ich da Pin bzw. Passwort verwenden.
    Abgesehen davon muss doch sowieso bei ausnahmslos jedem Fingerscanner oder Gesichtserkennung ein Pin oder eben Passwort hinterlegt werden. Irgendwie logisch, dass diese dann "gewinnen"... ^^
    Und auch bei Zwei-Faktor-Authentifizierungen muss man in der Regel natürlich ein Passwort hinterlegen, da geht's nicht nur mit dem Fingerabdruck.

    Hinzu dürfte kommen, dass einige Bezahl-Apps (oder generell Shopping-Apps) vor allem bei Android, aber auch iOS, nicht immer Fingerscanner oder FaceID zulassen. Auch da ist man gezwungen ein Passwort zu nutzen, ob man will oder nicht.

    Also mMn ist das eine durchaus schwammige Studie ^^


  •   54
    Gelöschter Account 05.08.2019 Link zum Kommentar

    Ach, die Pin hat doch jeder, weil sie Vorausetzung für die anderen Methoden hat. Es wird sowas von übetrieben mit diesen ganzen Sicherheitssachen, und im Gegenteil sind sehr viele sehr lasch mit ihren Sicheheitsdingen. Wie oft hab ich früher das "L" zum entsperrren mitbekommen. Aber das aller wichtigste ist doch sein Gerät nicht aus der Hand zu geben und nirgends rumliegen zu lassen, außer vielleicht Zuhause. Das Handy wie einen Wertgegenstand zu behandeln hilft und die Passwörte nicht mit den wie im Artikel erwähnten Artibuten auszustatten ebenfalls, der Rest ist aus meiner Sicht nicht mehr so wichtig, außer, niemals das Handy zum Bezahlen nehmen, wenn nicht wirklich alles gut gesichert ist.

    Gelöschter Account


  •   42
    Gelöschter Account 05.08.2019 Link zum Kommentar

    Das beste ist immer noch: das feine Gerät nicht aus den Augen lassen.

    Gelöschter AccountGelöschter Account


  • Kommt drauf. Ich benutze extrem lange passwörter generiere diese aber über den fingerabdruck von Samsung pass. Wobei ich dies schon für recht sicher halte. Denn Knox ist schon recht gut abgesichert. Ich sage mal so, mein Handy wird man nicht in kürzester Zeit entsperren können, 15 falsche versuche und es löscht sich von selbst. Alles verschlüsselt und mit einem langen Master Passwort.

    Denke das wichtigste Passwort ist nach wie vor das der Email Adresse.

    Klar könnte ein Geheimdienst meinen Finger rekonstruieren und entsperren, aber für die Normalen Gangster sollte das nicht mal so eben drin sein und da mein Smartphone ein viel genutzter Gegenstand ist, würde ein Verlust früh auffallen, da kann ich es noch immer aus der ferne steuern und auch sehen was da gerade ab geht.

    Wobei ich auch ganz gut über die Knox umgebung bescheid weiß und sicherlich nicht jeder Hersteller einen derartigen schutz bietet.

    Ich weiß noch wo es mit Knox los ging, es dauerte über ein Jahr bis das xposed framework auf dem s6 lief auf fast allen anderen Androiden war es ganz schnell verfügbar und die Geräte geknackt. An Knox bissen die sich erstmal die Zähne aus.

    Es kommt halt darauf an wie gut die zum fingerabdruck hinterlegten Passwörter geschützt sind.

    Bin mir sicher da gibt es auch unterschiede und das das ein oder andere billig Handy nicht gut geschützte Finger abdruckdaten hat.

    Mit schneidene Programme oder trojaner haben es viel schwerer wenn samsung pass über den fingerabdruck auf einer websute das passwort ein fügt.

    Über die Tastatureingabe gibt es mehr mitschnittmöglichkeiten die es beim Fingerabdruck nicht gibt.

    Und machen wir uns nichts vor, ein Hobby Hacker, kann auch mal nicht so einfach meine abdrücke bekommen diese perfekt rekonstruieren und selbst wenn das passiert ist, muss noch immer das Handy geklaut werden um dann auch die Passwörter zu generieren.

    Halte ich schon für sehr sicher insbesondere da ein verlust schnell auf fällt und man reagieren kann.
    Mitlerweile hat man dann ja doch so einige möglichkeiten bis zur voll löschung.

    Naja und 15 versuche bis zur selbstlöschung, das ist ja nicht wirklich viel.

    Ein Fingerabdruckdieb müsste ja auch alle meine Finger haben und erstmal wissen welchen ich denn benutze u.s.w

    Es ist moglich aber extrem aufwändig. Aber selbst wenn man den Finger hat, dann noch das Handy Klauen und die Passwörter noch selbst heraus ziehen? Viel aufwand.

    Bei mir bekommt man viele Steine in den Weg gelegt, geht schon mit den 16 stelligen passwörtern los. Speicher und sd Karte verschlüsselt, Knox umgebung hat auch noch mal ein anderes Passwort ohne Biometrie.

    Soweit muss erstmal jemand bei mir kommen ohne das ich es bemerke.

    Ich selber sehe Tastatureingaben als kritisch an, spyware kann die eingabe aufzeichnen, viele Tastaturen sind online, es kann zu geguckt werden.

    All dies hat man schonmal nicht wenn man webseiten mit dem Finger entsperrt. Keine eingane, da kann auch keine Spyware z.b das Bildschirm bild mit auf zeichen nur so als Beispiel.


    • <<< An Knox bissen die sich erstmal die Zähne aus. >>>
      Daran sieht man doch, dass Sicherheit möglich ist. Und wie immer gilt: Das größte Sicherheitsrisiko sitzt vor dem Bildschirm.


    • C. F.
      • Blogger
      05.08.2019 Link zum Kommentar

      Hä???


    • "Bei mir bekommt man viele Steine in den Weg gelegt, geht schon mit den 16 stelligen passwörtern los."
      Kommt drauf an, was das für Passwörter sind. Wenn du einfache Passwörter wie einfache Sätze ohne Leerzeichen oder Unterstrich, oder mal ein e durch eine 3 austauschst, ist es ein Kidnerspiel, deine Passwörter zu knacken. Das schafft jeder mit dem richtigen Algorithmus in 2 Minuten.


      • @Tim
        16 stellen in zwei Minuten, das will ich sehen.

        Stimmt so nicht ganz Tim:
        16 stellen in einfachster kombiantion sogar 3 mal das gleiche hintereinander dauert schon ca 17 Stunden.
        Nehme ich eine zahl weg 3h noch eine zahl weg dann sind es 14 Minuten.
        Bei 12 Zahlen nur noch 10 Sekunden.

        Also selbst eine einfache Kombination wird schon nur durch die Länge erheblich sicherer.

        So und nun das ganze mit einer schweren Kombi:
        8 Stellen ca: 189 Jahre mit einem herkömmlichen Pc
        Hänge ich nur an mein 8 stelliges schweres Passwort ein @ braucht ein jetziger Rechner 18.000 Jahre
        Bei 16 Stellen sind es dann ca. 11 Trillarden Jahre.

        Kurz um ein gutes Passwort von 8 Stellen wird schon extrem schwieriger wenns nur eine Stelle dazu bekommt. Da macht man schon einen sprung von 189Tagen zu 18 Tausend Jahren.

        16 Stellen sind selbst mit einem Super Rechner nahezu nicht hin zu bekommen.

        Jemand mit einer Antenne hat nämlich mal mein Wlan gecknackt und den Original Schlüssel generiert. Bei 16 Stellen schaft das keiner, wenn man nicht gerade 17 Triliarden Jahre Zeit hat.

        Und selbstverständlich sind meine 16 Stellen sehr schwer. Sehe ich als sehr wichtig bei der Email und dem Wlan an. Bauen sich ja genug Leute antennen und versuche Wlans aus einem 5km Radius zu knacken.

        Ich sag mal so: Email, Smartphone und ein paar Sachen haben das wichtige Master Passwort.
        Amazon und co bekommen ein anderes Master Passwort.

        Foren, Androidpit und co bekommen bewusst das wichtige Master Passwort nicht und eher ein unwichtiges altes Passwort.


  • Ich nutze immernoch ganz klassisch ein Passwort. Allerdings zahle ich selten mit PP, die Kreditkarte habe ich das letzte Mal vor 2 Jahren eingesetzt. Beim Homebanking muss ich (leider?) immernoch eine PIN nutzen. Am liebsten zahle ich per Bankeinzug. 2FA ist mir zu umständlich. APit bietet 2FA nicht an, die meisten Dienste in DE auch nicht. Am sichersten ist/wäre eID.

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!