Payback & Co.: Sichere Passwörter auch fürs Bonusprogramm | FLZ.de | Stage

An starken und für jeden Einsatzzweck einzigartigen Passwörtern führt kein Weg vorbei - auch nicht bei Nutzerkonten von Bonussystemen oder Rabattprogrammen.

Am besten aktiviert man auch da überall, wo es möglich ist, die sogenannte Zweifaktor-Authentisierung (2FA). Diese zusätzliche Code-Abfrage hindert Angreifer daran, sich anmelden zu können, selbst wenn sie das Passwort kennen.

Aktuell warnt etwa Payback vor Phishing-Anrufen, bei denen sich Kriminelle als Mitarbeitende des Bonussystem-Anbieters ausgeben, um sensible Daten abzugreifen.

Angreifer gelangten aber auch über Phishing-Mails oder Darknet-Datensammlungen an Passwörter, mit denen sie dann Punkte von Nutzerkonten stehlen könnten - etwa wenn jemand ein Passwort mehrfach verwendet hat oder keine 2FA nutzt, die Payback 2-Schritt-Verifizierung (2SV) nennt.

Im Februar hatte es bereits eine Angriffswelle beim Rabattprogramm Rewe Bonus gegeben, bei dem Kriminelle sich offenbar ebenfalls durch Phishing aus Datensammlungen oder einfaches Ausprobieren von Passwörtern in den Konten von Kundinnen und Kunden anmelden und vorhandenes Bonus-Guthaben stehlen konnten.

Egal, ob Rewe Plus, Payback oder ein anderes System: Betroffene sollten einen solchen Diebstahl bei der Polizei anzeigen.

Zum Schutz sämtlicher Accounts sollte man diese wichtigen Grundregeln befolgen:

- Verwenden Sie lange, ausreichend komplexe Passwörter mit Groß- wie Kleinbuchstaben, Zahlen und Sonderzeichen.

- Setzen Sie ein Kennwort niemals mehrfach ein, sondern nutzen Sie für jedes Konto oder jede Anwendung ein individuelles, starkes Passwort.

- Nutzen Sie einen Passwort-Manager, der den Umgang mit den vielen Passwörtern sowohl am Rechner als auch per App erleichtert. Kostenlos nutzbar ist etwa Bitwarden.

- Prüfen Sie regelmäßig, ob die von Ihnen genutzten Anmeldeinformationen noch sicher sind oder vielleicht durch Hackerangriffe oder Leaks kompromittiert wurden. Das funktioniert über Datenbankabfragen wie „Haveibeenpwned.com“ oder Identity Leak Checker. Verbrannte Passwörter sofort ersetzen.

- Falls beim jeweiligen Dienst verfügbar, die Zweifaktor-Authentisierung (2FA) einschalten. Dann wird beim Anmelden nicht nur das Passwort, sondern etwa auch ein immer neu per App generierter Code abgefragt.

- Falls verfügbar, auf den Passwort-Nachfolger Passkeys umsteigen. Passkeys ermöglichen ein leichtes und sicheres Anmelden ohne Passwörter über ein Kryptoverfahren im Hintergrund. Im Vordergrund müssen Nutzende nur den Anmeldeprozess freigegeben - ganz bequem etwa per Fingerabdruck oder PIN. Passkeys können in vielen Passwortmanagern abgelegt und parallel zu dort bereits gespeicherten Passwörtern genutzt werden.

© dpa-infocom, dpa:251209-930-399884/1