> > > > Statistik über Passwortsicherheit bei Online-Diensten - und was dagegen getan wird (Update)

Statistik über Passwortsicherheit bei Online-Diensten - und was dagegen getan wird (Update)

DruckenE-Mail
Erstellt am: von

hardwareluxx news newWährend der letzten Wochen kam das allzeit beliebte Thema Sicherheit im Internet kaum zu kurz. Neben dem großflächigen Identitätsdiebstahl, der vom BSI aufgedeckt und kommuniziert wurde, rangierten auch Statistiken über die "unsichersten", aber doch großer Beliebtheit erfreuenden Passwörter unter den Top-Themen. Auch bei Amazon schien man bis vor wenigen Monaten noch nicht sonderlich auf einen hohen Sicherheitsstandard zu achten, wie eine Meldung vom August 2013 belegt. Dass jeder etwas von diesem Kuchenstück haben möchte, zeigen die zahlreichen Berichte, Statistiken und Infografiken.

Auch Dashlane, Anbieter einer Passwort-Verwaltungssoftware für alle gängigen Browser sowie iOS und Android, hat seine eigene Studie zum Thema Sicherheit veröffentlicht. So hat man in dem 6-seitigen Paper Online-Dienste auf ihre Passwortsicherheit hin getestet. Die entstandenen Listen zeigen, dass selbst Größen wie Amazon, Macy's, Groupon oder Hulu laut Dashlane keine ausreichende Sicherheit bieten, wohingegen Apple und Microsoft an der Spitze des Feldes liegen.

dashlane2

Amazon hat "eigene Sicherheitsmaßnahmen"

In einem aktuellen Bericht der "Welt" wurde anlässlich des Identitätsdiebstahl auch etwas genauer hingesehen. Gerade Amazon meldet sich hier aber zu Wort und versucht mögliche Bedenken aus dem Weg zu räumen. So habe man "Maßnahmen getroffen, die es [ihnen] ermöglichen, potenzielle Fremdzugriffe zu erkennen und zu verhindern". Weiterhin gibt man an, Ware nicht an neu eingegebene Adressen zu senden, ohne, dass die Zahlungsdaten erneut eingegeben werden müssen. Unregelmäßigkeiten erkenne man, so das Unternehmen, und informiere in diesem Zuge den betroffenen Kunden.

Wichtigste Erkenntnisse der Dashlane-Studie

Natürlich hat man in der Studie auch einige Kernaussagen zu treffen. Die wichtigsten Aussagen, die man dem Paper entnehmen kann, haben wir nachfolgend zusammengefasst:

  • Es wurden die Top 100 E-Commerce Dienste in den USA getestet
  • 55 % akzeptieren Passwörter wie "123456" oder "password"
  • 51 % haben keinen einfachen Schutz gegen Passwort-Klau (Login wird auch nach 10 fehlerhaften Versuchen nicht gesperrt)
  • 64 % haben fragwürdige Passwortrichtlinien
  • 61 % geben keine Hinweise für die Erstellung sicherer Passwörter
  • 93 % geben keinen Hinweis auf die Stärke des eingegebenen Passworts
  • 10 % der Dienste liegen über den von Dashlane angegebenen Richtlinien für "gute Passwörter"
  • 73 % erlauben Passwörter mit 6 oder weniger Zeichen
  • 62 % setzen keine Buchstaben-Zahlen Kombination voraus
  • 8 von 100 Seiten versenden das gewählte Passwort noch immer im Klartext in einer E-Mail (darunter auch Toys "R" Us)

Wer prüfen möchte, wie sicher der von ihm genutzte Online-Retailer ist, kann dies direkt bei Dashlane tun, die eine entsprechende PDF-Datei mit der Liste aller 100 getesteten Seiten verfügbar gemacht haben. Dort gibt man unter anderem auch den Hinweis, wie die schlecht getesteten E-Commerce-Dienste ihre Standards verbessern können.

So schützt man sich und seine Kunden laut Dashlane 

Einige einfache Methoden sollen schon helfen, um die Sicherheit drastisch zu erhöhen. Dazu gehören:

  • Passwort-Minimallänge: 8 Zeichen
  • Kombination aus Buchstaben in Groß- und Kleinschreibung, Zahlen und Symbolen
  • Zugang nach 4 fehlgeschlagenen Logins blocken
  • Usern schon bei Account-Erstellung Hinweise auf sichere Passwörter geben
  • Passwort-Sicherheit bei der Eingabe anzeigen ("password strength")

Bewertungskriterien

Dashlane hat dabei einige Kriterien festgelegt mit denen man die einzelnen Seiten bewertet hat:

  • Wie lang muss das Passwort mindestens sein?
  • Ist das Passwort während der Eingabe sichtbar?
  • Gibt es Hinweise, wie man ein sicheres Kennwort erstellt?
  • Ist ein alphanumerisches oder eines mit Groß- und Kleinschreibung Pflicht?
  • Wird die Stärke des Passworts während der Eingabe visualisiert?
  • Kommt das Passwort in der Bestätigungsemail im Klartext? Oder werden sogar Login und Passwort gleichzeitig und im Klartext versendet?

Weiterhin wurden typische Passwörter, wie sie erst vor kurzem aufgetaucht sind, getestet. Auch das Ändern des Kennwortes wurde überprüft. Gibt es eine Bestätigungsmail? Kann das neue Passwort gleich dem alten sein? Zeigt die Bestätigungsmail das neue Passwort im Klartext oder wird sogar den Login mit angezeigt? Wie oft kann man sich mit falschem Passwort einloggen?

Für alle Fragen vergab Dashlane entsprechend Punkte, sodass man die Top-100-Liste ordentlich durchgemischt hat. Wer sich für die genauen Ergebnisse interessiert: Die komplette Studie inklusive Grafiken, Statistiken und Vorgehen ist ebenfalls öffentlich zugänglich gemacht worden und findet sich unter: www.dashlane.com/securityroundup.

Es gibt auch gute Beispiele

Natürlich sind nicht nur schwarze Schafe unterwegs. Viele Dienste (unter anderem PayPal, Google, Microsoft) arbeiten an der Sicherheit ihrer Dienste und führen die 2-Faktor-Authentifizierung ein. Damit muss der Nutzer nicht nur das korrekte Passwort, sondern auch ein Mobiltelefon zur Hand haben, auf dem entweder eine SMS mit einem Code ankommt oder eine App entsprechende Codes generiert. Dennoch gibt es immer wieder Negativ-Schlagzeilen in dieser Richtung, wie den Adobe-Hack im letzten Jahr, bei dem 2,9 Millionen Kundendaten abhandengekommen sein sollen. Aber auch die 2-Faktor-Authentifizierung bietet keine vollständige Sicherheit, wie das Einführungs-Debakel des Kurznachrichtendienstes Twitter Mitte letzten Jahres zeigte.

Am Ende sind es aber doch die Nutzer, die für ein sicheres Passwort verantwortlich sind. Und was ist bequemer, als für jeden Dienst dasselbe Passwort und dieselbe E-Mail zu nutzen? Abhilfe können hier aber sogenannte Passwort-Safes, wie Dashlane, KeePass oder auch 1Password sie anbieten, schaffen.

Update

Wer sich weiter über sichere Passwörter informieren will, kann dies auch bei "The Safe Shop" tun, die neben einem langen Blogeintrag ebenfalls eine Infografik zur Erstellung sicherer Passwörter bereithalten. Was hält unsere Community von der Infografik und was sind eure Tipps für ein gutes Passwort?

sicherespw
Sichere und unsichere Passwörter im Vergleich sowie Tipps für das Erstellen von sicheren Passwörtern. Quelle: The Safe Shop

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (6)

#1
customavatars/avatar114785_1.gif
Registriert seit: 14.06.2009
Hamburg
Korvettenkapitän
Beiträge: 2154
Was ein Hype...
Es gibt halt viele Seiten, wo ich ABSICHTLICH schwache Passwörter benutze. Man muss sich ja inzwischen für jeden Scheiß nen Account machen, sei es um überhaupt mit einem Hersteller zwecks Garantie reden zu dürfen oder sogar für Treiberdownloads. Dass ich da nicht jedes Mal ein super geheimes Passwort aus dem Ärmel ziehe, aus welchem keine Rückschlüsse auf meine anderen Passwörter möglich sein könne, ist ja klar.

Ach ja, Amazon: Es gab doch vor kurzem die Meldung, dass sie vom Ding her die Passworteingabe ganz abzuschaffen könnten, da sie den Nutzer anhand anderer Informationen sowieso sicherer identifizieren können (beginnend bei der IP über Browserplugins und ihre Settings bis hin zum Nutzerverhalten).
#2
customavatars/avatar167178_1.gif
Registriert seit: 28.12.2011

Bootsmann
Beiträge: 669
Ich finde es aber auch immer eine Gängelung und sehr nervig wenn ich angehalten werden für ein Passwort Buchstaben und Zahlen zu verwenden. Dabei wäre es doch viel sicherer, stattdessen mindestens 10 Zeichen lange Passwörter zu verlangen dafür aber nur Klein und Großbuchstaben, da hat man schon 59 Zeichen (Im Deutschen, ansonsten nur 52). Die Zehn Zeichen mit den Ziffern machts jetzt auch nicht unbedingt fett, genauso Sonderzeichen, da diese ja meist auch nur aus einem Pool von so acht möglichen Zeichen genommen werden.
#3
customavatars/avatar125171_1.gif
Registriert seit: 14.12.2009
BaWü
Stabsgefreiter
Beiträge: 382
Dass schwache Passwörter zugelassen werden sehe ich jetzt nicht als Problem.
Da würde ich mich eher aufregen, wenn jede noch so unwichtige Seite ein komplexes PW verlangt. siehe 9GAG - Password

Bei "wichtigen" Seiten, wo es z.B. um (Geld)Geschäfte geht sieht es natürlich anders aus.
Da hier E-Commerce Dienste getestet wurden, sind die Daten schon etwas beunruhigend.

Was mich gerade aber viel mehr irritiert, ist dass angeblich 51 % keinen Bruteforce-Schutz haben (nach x fehlversuchen IP sperren). Das ist in höchstem Maße unverantwortlich.
Wer programmiert heutzutage bitteschön noch Login-Systeme ohne so einen Schutz ?

Und dass es tatsächlich noch spezialisten gibt, die das Passwort per Mail mitversenden oder sogar ungehasht in Datenbanken abspeichern, darüber kann man nur den Kopf schütteln.
#4
customavatars/avatar95983_1.gif
Registriert seit: 30.07.2008
Bayern
Leutnant zur See
Beiträge: 1106
"Es wurden die Top 100 E-Commerce Dienste in den USA getestet"

Und wie siehts in DE aus was interessiert mich die USA will lieber wissen wie es bei uns mit den Shops oder Seiten so ist.
#5
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Bootsmann
Beiträge: 750
Zitat pointX;21757513
Was mich gerade aber viel mehr irritiert, ist dass angeblich 51 % keinen Bruteforce-Schutz haben (nach x fehlversuchen IP sperren). Das ist in höchstem Maße unverantwortlich.


Nein, ist es nicht unbedingt. ^^
Dazu kommen noch ein paar Sachen, die das ganze dennoch so "sicher" machen: Wenn nur maximal 1000 Versuche pro Sekunde möglich sind, ist es recht egal, wie oft man testen kann. Außerdem muss ""Mehr als 10 Versuche" ja nicht heißen, dass auch mehr als 20 oder so möglich sind. Hinzu kommt, dass es noch andere Möglichkeiten gibt, dem Angreifer das Leben schwer zu machen.
Im Grunde ist die Sache also nicht per se unsicher, nur wenn der Rest auch scheiße ist. Beispielsweise braucht man bei 1000 Versuchen pro Sekunde schon ca. über 3 Jahre für ein Passwort mit 8 Kleinbuchstaben.

Was mir viel eher auf den Senkel geht, ist die Bestimmung über manche Zeichen. "Bitte mindestens 1 Sonderzeichen und 1 Ziffer und 1 Großbuchstaben." - eine zufällige Abfolge von 12 Kleinbuchstaben ist bei 1 Milliarde Versuchen pro Sekunde in der Mehrheit der Fälle auch nach einem Jahr nicht geknackt. Diese Sicherheit reicht mir, wenn die Seite nicht wichtig ist. Noch viel mehr regen mich aber Bestimmungen auf, die mir bestimmte Zeichen verbieten oder mich auf eine bestimmte Maximalanzahl an Zeichen beschränken. Für wichtige Dinge nutze ich Keepass und lass mir dort ein über 20-stelliges Passwort mit allen möglichen Zeichen generieren. Das mit Bruteforce knacken zu wollen, ist ein reichlich unsinniges Unterfangen.

Das Passwort im Klartext per Mail zu übersenden, ist aber tatsächlich in fast allen Fällen reichlich hirnrissig. Bei einer verschlüsselten Mail wäre es vielleicht noch okay, obwohl ich es auch da nicht wirklich empfehlen würde.


Leider gibt es keine Möglichkeit, die Sache für alle sinnvoll zu machen. Zu viele Beschränkungen - der Benutzer wird genervt. Zu wenig Beschränkungen - der Benutzer verwendet ein Standardpasswort. Die Idee, einfach mehrere Wörter zu nutzen, ist dabei recht sinnvoll. 4 Wörter aus einer Menge von 4000 Wörtern wären bereits ein Anfang. Dabei ist es wiederum einfacher zu merken, als ein ähnlich starkes Passwort, welches aus zufälligen Zeichen besteht. "ente tornado mandala suppe" << Je seltsamer, desto besser, allerdings nicht so komisch, dass man es sich nicht mehr merken kann. Verschiedene Sprachen zu mischen bringt auch einiges.
#6
customavatars/avatar125171_1.gif
Registriert seit: 14.12.2009
BaWü
Stabsgefreiter
Beiträge: 382
Zitat Novastar;21758230
Nein, ist es nicht unbedingt.(..) bei 1000 Versuchen pro Sekunde schon ca. über 3 Jahre für ein Passwort mit 8 Kleinbuchstaben.

Das gilt für zufällige Buchstabenkombinationen, nicht aber für Wörter, da hier die Möglichkeiten sehr viel begrenzer sind (10^5 Wortschatz Standardsprache Deutsch vs. 10^23 bei 26 kleinbuchstaben).

Zitat Novastar;21758230
4 Wörter aus einer Menge von 4000 Wörtern (..) "ente tornado mandala suppe"

Dein PW enthält schon 26 Zeichen, das wäre mir viel zu viel zum tippen. Es läuft also eher auf 1 langes oder 2-3 kurze Wörter hinaus.
Das Problem ist generell die Vorhersehbarkeit einer Menschenmasse. Ein paar werden komplexe Passwörter verwenden, die meisten werden sich aber unterhalb von 10^5-10^7 Möglichkeiten bewegen, auch wenn man 3 Wörter zusammensetzt.

Und genau da setzen Wörterbuchattaken an. Leichtsinn: 10.000 Passwörter knacken 98,1 Prozent aller Konten - News - CHIP
Zitat https://xato.net/passwords/more-top-worst-passwords/
6,000,000 unique username/password combos (..)
14% have a password from the top 10 passwords (..) 40% have a password from the top 100 passwords (..) 10,000 most common passwords represents 99.8% of all user passwords

Die Wahrscheinlichkeit von >50% eines Treffers liegt bei den Top10 damit ab 46 Versuchen, bei den Top100 ab 135 Versuche, Top 10.000 bei 1116 Versuchen.

Bei wichtigen Konten kann man die Top100 vllt. vernachlässigen, da mit diesen PWs hoffentlich keiner bei wichtigen Seiten unterwegs ist.
Mit den Top 10k / 100k dürfte man aber rechnen können.

Ich denke das veranschaulicht ganz gut, warum man spätestens ab 10, besser ab 3 Fehlversuchen weitere Login-Versuche sperren sollte.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Nein, liebe Telekom - Vectoring ist keine Glasfaser!

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

In der vergangenen Woche kündigte die Deutsche Telekom an, dass der Ausbau von VDSL-Vectoring mit 100 MBit/s im Herbst starten soll. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down- und 40 Mbit/s im Upload bieten. Der Nachteil der Technik ist allerdings, dass durch... [mehr]

Tesla Model 3: 320 Kilometer und ein neues Cockpit für 31.000 US-Dollar

Logo von IMAGES/STORIES/LOGOS-2015/TESLA_MOTORS

Welch hohes Vertrauen Tesla genießt, zeigt heute keine andere Zahl so deutlich wie die der Vorbestellungen für das in der vergangenen Nacht vorgestellte Model 3. Rund 115.000 Exemplare wurden bereits geordert, ohne dass auch nur einer der Besteller wusste, was genau er der eigentlich kauft -... [mehr]

Intel bestätigt trotz Milliardengewinn Wegfall von 12.000 Arbeitsplätzen

Logo von IMAGES/STORIES/LOGOS-2015/INTEL3

Vor einigen Tagen wurden Gerüchte laut, dass Intel einen massiven Stellenabbau planen würde. Dieses Gerücht hat der Chipriese nun im Rahmen seiner aktuellen Quartalszahlen bestätigt. Demnach werden bis zum Jahr 2017 rund 12.000 der insgesamt 107.000 Stellen wegfallen. Die betroffenen... [mehr]

Vorinstallierte Google-Apps: EU-Kommission prüft mögliche...

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_2015

Bereits seit 2013 prüft die EU-Kommission, ob Google mit seiner Mobil-Plattform Android gegen geltendes Kartellrecht verstößt. Zum Stand der Ermittlungen hatte man sich seitdem nur vage und selten geäußert, Stillstand hat es aber nicht gegeben. Denn wie die zuständige Wettbewerbskommissarin... [mehr]

Ford baut Googles selbstfahrende Autos (Update)

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_ROBOCAR

Google ist auf der Suche nach einem Partner für seine selbstfahrenden Autos fündig geworden. Dabei soll es sich um den US-Hersteller Ford handeln. Dies zumindest berichtet das Portal Automotiv News und verweist auf gut informierte Kreise. Zwar wollten beide Unternehmen keinen Kommentar abgeben,... [mehr]

Netflix wächst weiter auf 81,5 Millionen Nutzer

Logo von IMAGES/STORIES/LOGOS-2013/NETFLIX

Netflix hat zusammen mit den jüngsten Quartalszahlen auch einen deutlichen Mitgliederzuwachs bekanntgegeben. Demnach nutzen derzeit weltweit rund 81,5 Millionen Nutzer den Streamingdienst. Während in den ersten drei Monaten des Jahres 2016 in den USA 2,23 Millionen Neukunden gewonnen werden... [mehr]