Hallo Auge,

Er benutzt als Passwort ein für ihn leicht zu merkendes Wort mit angehängter und hochzuzählender Zahl[1] statt eines Passworts, dass diese Bezeichnung verdient.

Oder einen Passwortmanager, der zufällige, lange Passworte generiert. Und dessen Aufruf entweder durch ein Passwort wie 12345 geschützt ist, oder der eine valide Anmeldung ans Betriebssystem als hinreichenden Schutz akzeptiert (bspw. die im Browser integrierten Passwortmanager). Die Anmeldung am Betriebssystem erfolgt dann wieder mit 999 oder ähnlichem.

Zusammengefasst: Passwörter sind eine Konstruktion aus den 50er Jahren (würde ich schätzen), bei der die Parameter nutzerfreundlich und sicher umgekehrt proportional zueinander sind. Und sicher ist relativ, es gibt genügend Möglichkeiten, einem User das Passwort abzulauschen, wenn man es darauf anlegt und bei Budget und krimineller Energie kein Limit gesetzt ist.

Vermailte Passwörter sind prinzipiell unsicher. Eigentlich müsste jeder Benutzer sein Konto selbst anlegen und das Passwort vergeben. Passwortvergabe und -änderung muss über einen zweiten Faktor abgesichert werden (Bestätigungsmail). Die Verwendung einer Authenticator-App mit TOTP^[1] ist ebenfalls nützlich - wenn man serverseitig programmieren kann, ist es überhaupt nicht schwierig, eine solche Authenticator-Absicherung auf der eigenen Website einzubauen. Das hab ich spaßeshalber schonmal zusammengesucht und programmiert und habe einen Wiki-Artikel dazu auf meiner internen Todoliste. Sofern nicht ein Link auf eine Vorlage reicht 😉

Ob die Passkeys, die uns die Browserhersteller andienen wollen, besser sind, weiß ich nicht. Der Browser muss sie speichern und absichern. Google möchte meine Passkeys gerne zentral speichern. Möchte ich das? Eher nicht.

Rolf