Erhebliches Sicherheitsrisiko: Studie zur Passwort-Sicherheit bei Webportalen

 

  • Nur 21 von 43 getesteten internationalen Webportalen bieten ausreichende Passwort-Sicherheit.
  • Otto.de besteht als einziges deutsches Portal den Test.
  • dm.de, Cyberport.de, Tchibo.de und Notebooksbilliger.de fallen durch.
  • Zalando.de ist mit null Punkten Schlusslicht des Tests.

 

Dashlane veröffentlicht eine internationale Studie, in der 43 beliebte Webseiten auf ihre Passwort-Sicherheit getestet wurden. Das Ergebnis des »Password Power Rankings 2017« zeigt, welche Webseiten für ihre Nutzer ein erhebliches Sicherheitsrisiko darstellen, da sie über den geringsten Schutz vor Passwort-Dieben verfügen.

Mit zunehmender Cyberkriminalität gehört der Schutz der Identität im Internet für Online-Anbieter wie Zalando, Tchibo und Amazon eigentlich zum Standard. Dashlane überprüfte daher die Passwort-Sicherheit bei 43 beliebten und häufig genutzten Webseiten.

In seiner Studie findet Dashlane heraus, dass fast die Hälfte aller getesteten Webportale für Verbraucher (48,8 Prozent), dazu gehören Zalando, dm, Cyberport, Dropbox sowie Netflix, und 36 Prozent der Webportale für Unternehmen, darunter DocuSign und Amazon Web, selbst die Mindestanforderungen für sichere Passwörter nicht implementieren.

Besonders auffallend: Beliebte und häufig besuchte Webseiten, wie Zalando, Google, Amazon und Netflix stellen am seltensten strenge Richtlinien zu der sicheren Erstellung von Passwörtern auf. 22 der getesteten Verbraucherportale haben den Test nicht bestanden (weniger als drei von fünf Punkten). Darunter sind acht Entertainment- und Social-Media-Portale und zehn E-Commerce-Portale. Otto besteht als einziges deutsches Webportal mit drei Punkten den Test, Zalando fällt mit null Punkten durch. Besonders negativ sind die Portale aufgefallen, bei denen die Erstellung des Passwortes sogar mit der einfachen Wiederholung des Buchstabens »a« möglich ist, darunter Zalando, Amazon, Google, Instagram, Linkedin, Venmo und Dropbox.

GoDaddy erzielte als einzige Webseite die volle Punktzahl (fünf von fünf Punkten). Bei den Unternehmen sind es Stripe und QuickBooks, die volle fünf Punkte erreichen.

»Wir haben das ›Password Power Ranking‹ entwickelt, um auf die fehlende Passwort-Sicherheit vieler Webseiten des täglichen Gebrauchs aufmerksam zu machen. Wir als Verbraucher beziehungsweise Nutzer sollten uns der Bedeutung von Identitätsschutz im Netz bewusst sein. Sicheres Surfen beginnt mit einem starken und einzigartigen Passwort – und zwar für jeden einzelnen Internet-Account.«, sagt Emmanuel Schalit, CEO von Dashlane. »Aber auch die Unternehmen sind für die Sicherheit ihrer Nutzer verantwortlich. Wir finden, sie sollten zu entsprechenden Richtlinien gezwungen werden, um somit ihre Kunden vor Kriminalität im Internet zu schützen.«

Um das »Password Power Ranking« zu erstellen, untersuchte Dashlane Passwort-Kriterien, wie die Notwendigkeit von mehr als acht Zeichen, die Zeichen-Kombination aus Buchstaben, Zahlen und Symbolen sowie die Zwei-Faktor-Authentifizierung. Erfüllt die Webseite ein Kriterium positiv, bekommt diese einen Punkt, die Höchstpunktzahl sind fünf Punkte. Erfüllt eine Webseite drei von fünf Punkten gilt der Test als bestanden – wobei es sich dabei nur um die Mindestanforderungen der Passwort-Sicherheit handelt.

Ergebnisse:

Webportale für Verbraucher

  • 5/5 Punkten
    • GoDaddy

 

  • 4/5 Punkten
    • Apple
    • Best Buy
    • The Home Depot
    • Microsoft/Live/Outlook
    • PayPal
    • Skype
    • Toys »R” Us
    • Tumblr

 

  • 3/5 Punkten
    • Airbnb
    • Facebook
    • Google
    • Otto
    • Reddit
    • Slack
    • Snapchat
    • Staples
    • Target
    • Twitch
    • WordPress
    • Yahoo!

 

  • 2/5 Punkten
    • Amazon
    • Cyberport
    • eBay
    • LinkedIn
    • Starbucks
    • Tchibo
    • Twitter
    • Venmo

 

  • 1/5 Punkten
    • dm
    • Dropbox
    • Evernote
    • Instagram
    • Macy’s
    • Notebooksbilliger
    • Pinterest
    • SoundCloud
    • Walmart

 

  • 0/5 Punkten
    • Netflix
    • Pandora
    • Spotify
    • Uber
    • Zalando

 

Webportale für Unternehmen

  • 5/5 Punkten
    • Stripe
    • QuickBooks

 

  • 4/5 Punkten
    • Basecamp
    • Salesforce

 

  • 3/5 Punkten
    • GitHub
    • MailChimp
    • SendGrid

 

  • 2/5 Punkten
    • DocuSign
    • MongoDB (mLab)

 

  • 1/5 Punkten
    • Amazon Web Services
    • Freshbooks

 

 

[1] Die Studie wurde von Dashlane zwischen dem 5. und 14. Juli 2017 durchgeführt. Dashlane untersuchte fünf wichtige Kriterien der Passwort-Sicherheit von 43 Webseiten und Apps, die von Endverbrauchern genutzt werden. Zudem wurden elf bekannte Webportale für Unternehmen kontrolliert. Erfüllte die Website das abgefragte Kriterium im positiven Sinne, wurde ein Punkt vergeben. Das beste Ergebnis ist fünf Punkte. Erfüllt eine Webseite drei von fünf Punkten gilt der Test als bestanden, d. h. die Mindestanforderungen der Passwort-Sicherheit sind erfüllt. Folgende Kriterien wurden geprüft:

  1. Mehr als acht Zeichen
    Für jede getestete Webseite wurde ein neuer Account erstellt. Dashlane versuchte Passwörter, ungeachtet der Empfehlungen, mit weniger als acht Zeichen zu erstellen.
  2. Alphanumerisches Passwort
    Für jede getestete Webseite wurde ein neuer Account erstellt. Dashlane versuchte ein Passwort zu erstellen, was nur aus Buchstaben (»aaaaa«) oder Zahlen (»11111«) besteht.
  3. Anzeige der Passwortstärke
    Für jede getestete Webseite wurde ein neuer Account erstellt. Zeigte die Webseite an, wie stark das gewählte Passwort ist, etwa mit einem farbigen Balken, erhielt diese einen Punkt. Webseiten, die nur die Passwort-Länge oder die Anforderungen an die Passwörter bestätigten, erhielten keinen Punkt.
  4. Simulation einer Brute-Force-Attacke
    Dashlane versuchte sich in den zuvor erstellten Account mit einem falschen Passwort einzuloggen. Ist es dem Nutzer nach zehn falschen Passwort-Eingaben noch möglich weitere Versuche vorzunehmen, ohne dass sich eine zusätzliche Sicherheitsmaßnahme aktiviert (CAPTCHA, Kontosperrung, etc.), bekam das Portal keinen Punkt.
  5. Zwei-Faktor-Authentifizierung
    Eine Webseite erhielt einen Punkt, wenn diese den Nutzern eine Art der Zwei-Faktor- oder Multi-Faktor-Authentifizierung anbot.

Passwörter regelmäßig ändern – Tipps für starken Zugangsschutz

Das Hasso-Plattner-Institut (HPI) hat wichtige Regeln zusammengefasst, die bei der Wahl starker Passwörter zu beachten sind. Rund 30 Prozent der Internetnutzer suchten sich für den Schutz ihres Zugangs nur eine Folge von sechs oder weniger Zeichen aus, sagte Christoph Meinel, Professor für Internet-Technologien und -Systeme und Direktor des Potsdamer Instituts. Das reiche aber längst nicht aus.

Laut Studien griffen 60 Prozent der Computeranwender beim Erstellen von Passwörtern lediglich auf eine sehr begrenzte Auswahl von Buchstaben und Zahlen zurück, so der Wissenschaftler. Das weltweit am meisten verwendete Passwort ist nach seinen Worten leider immer noch die Ziffernfolge »123456«. Auf den Plätzen zwei und drei rangierten »123456789« und »12345678«. Auf Platz vier folge »password«, auf Platz fünf die Tastenfolge »qwerty«.

»Hacker können einen solch schwachen Zugangsschutz mit automatisierten Methoden innerhalb weniger Sekunden oder Minuten knacken«, berichtete Meinel. Aktuelle Passwort-Crackprogramme könnten in einer Sekunde online etwa 1.500 verschieden Kombinationen durchprobieren.

Der Potsdamer Informatikwissenschaftler beklagte, dass sich die Passwort-Praxis in den vergangenen beiden Jahrzehnten kaum verbessert habe: »Nach wie vor wählt rund die Hälfte der Internetnutzer dasselbe oder ein ähnliches Passwort für sämtliche Seiten, die ein Log-in erfordern«.

Beliebt seien leider kurze und einfache Begriffe – selbst für Zugänge zu sehr privaten Daten und Informationen, kritisierte Meinel. »Weltweit finden sich unter den Top 100 in den verschiedenen Sprachen die gleichen Tastatursequenzen, Liebesbekundungen, Kosenamen und Vornamen sowie Begrüßungsformeln und die jeweilige Schreibweise des Begriffs Passwort«, sagte Meinel.

Hier ein internationaler Überblick über häufig verbreitete, aber für automatisierte Passwort-Cracker leicht zu knackende Passwörter:

– Tastatursequenzen: qwerty (englisch)/qwertz (deutsch)/azerty (französisch), qwertyuiop, 1q2w3e4r, asdf – Liebesbekundungen/Kosenamen: iloveyou, love, mylove, (englisch), jetaime, mamour (französisch), sunshine, liebling – »Passwort« als Passwort: password, letmein (englisch), Passwort (deutsch), motdepasse (französisch), parole (russisch) – Begrüßungsfloskeln: hallo (deutsch), hello (englisch), bonjour (französisch) – Häufige Vornamen: daniel, michael, charlie, jessica, susanne, peter, jennifer – Eigene E-Mail-Adresse oder Nutzername

In der Ausbildung bringt das Institut seinen Studierenden bei, konsequent fünf Grundregeln für sichere, starke Passwörter zu beachten:

  1. Niemals den Nutzernamen, den tatsächlichen Namen, das Geburtsdatum oder andere Informationen, die mit der eigenen Person oder dem genutzten Konto zusammenhängen, als Passwort verwenden
  2. Begriffe vermeiden, die aus einem Wörterbuch stammen (könnten)
  3. Mindestens vier Arten von Schreibweisen verwenden, also groß/klein, Buchstaben, Nummern und Sonderzeichen wie !@# %$*~;.
  4. Dem Passwort eine Länge von mindestens acht Zeichen geben
  5. Niemals dasselbe Passwort für alle Konten verwenden.

Um ein Passwort zu finden, dass man sich leicht merken kann, rät Internetprofessor Meinel, sich einen Satz auszudenken, der Wörter, Zahlen und Zeichensetzung enthält. So wird zum Beispiel aus dem Merksatz »Meistens gehe ich abends um 22:30 Uhr zu Bett!« das Passwort »Mgiau22:30UzB!«. Nehme man aus dem Merksatz den ersten Buchstaben eines jeden Worts, die Zahl und das Satzzeichen und schreibe dies hintereinander auf, ergebe sich ein sehr sicheres Passwort, an das man sich so lange leicht erinnern könne, bis man es schließlich auswendig beherrsche, betont Meinel. Wenn man für verschiedene Konten verschiedene Passwörter nutze, könne man sich ruhig schriftliche Notizen machen und diese ins Portemonnaie stecken. »Aber statt des Passworts sollte man den Merksatz aufschreiben oder – noch besser – einen Hinweis, der an den Merksatz erinnert«, rät der Informatiker.

Onlinekurs zur Internetsicherheit lehrt Details

Wie man sich sicher im Internet bewegen und dort seine Privatsphäre schützen kann, zeigt auch ein neuer Onlinekurs des Hasso-Plattner-Instituts (HPI). Genau einen Tag vor dem »Safer Internet Day« startet der kostenlose Kurs am 8. Februar auf der interaktiven Bildungsplattform openHPI. Den sechswöchigen MOOC (Massive Open Online Course) zum Thema »Sicherheit im Internet« leitet HPI-Direktor Prof. Christoph Meinel. Anmelden kann man sich unter https://open.hpi.de/courses/intsec2016.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Internetnutzung: Jeder Vierte ändert seine Passwörter nie

Basisschutz für sichere Kundendaten: Firewall, Verschlüsselung und sicheres Passwort

Der ungeliebte und schludrige Umgang mit Passwörtern

Password Manager: Nie mehr Passwörter vergessen

Jeder Zweite teilt Passwörter mit Kollegen und Dienstleistern

Wenn Passwörter zur Schwachstelle werden

Fünf Tipps: Passwörter sind wie Unterwäsche

Stress mit der Passwort-Flut