US-Studie Viele Firmen erlauben Kunden zu schwache Passwörter

Regelmäßig kritisieren Experten, dass viele Internetnutzer ihre Daten mit zu einfachen Passwörtern schützen. Eine Untersuchung zeigt nun: Die Online-Anbieter tragen daran zumindest eine Teilschuld. Als Positivbeispiel nennen die Forscher Apple.

Passwörter am PC: Viele Nutzer machen es sich zu leicht
DPA

Passwörter am PC: Viele Nutzer machen es sich zu leicht


Wenn Sicherheitsfirmen große Mengen entschlüsselter Passwörter sicherstellen, geht dasselbe Gejammer los. Zuletzt veröffentlichte das Unternehmen Splashdata ein Ranking der meistbenutzten Passwörter öffentlichkeitswirksam. Eine Analyse habe ergeben, dass die Begriffe 123456, password und 123456789 besonders populär sind. Diese Zahlen- und Buchstabenkombinationen lassen sich leicht durch Ausprobieren erraten, wenn man an fremde Daten will. Jetzt legt das Unternehmen Dashlane nach und behauptet: Oft sind die Betreiber von Online-Angeboten schuld an der Misere.

Dashlane hat die Passwort-Richtlinien von 100 US-Internetangeboten analysiert. Die Tester vergaben bei 24 Kriterien Punkte, so dass die Anbieter im besten Fall 100 und im schlechtesten Fall -100 Punkte bekommen konnten. Das große Interesse von Dashlane an diesem Thema hat einen einfachen Grund: Das Unternehmen verdient sein Geld mit Passwort-Managern und digitalen Geldbörsen.

Die wichtigste Erkenntnis der Dashlane-Untersuchung: Mehr als die Hälfte der geprüften Webseiten lassen ihre Kunden erwiesenermaßen schlechte Passwörter wie 123456 verwenden. Allein durch das Schließen dieser Lücke ließe sich die Zahl erfolgreicher Passwort-Diebstähle womöglich deutlich reduzieren.

Die Hälfte der Webseiten lässt die wiederholt fehlerhafte Eingabe eines Passworts zu. Mehr als zehn solcher Versuche ohne Hindernisse helfen Kriminelle beim Passwortraten bei Software enorm. Zudem kritisieren die Tester, bei zwei Dritteln der Webseiten "fragwürdige Passwort-Richtlinien", die zu einer Abwertung führten. Sehr oft würden auch Hinweise fehlen, wie man ein sicheres Passwort zusammenstellt. Acht der 100 geprüften Seiten schicken ihren Kunden deren Passwörter sogar unverschlüsselt per E-Mail zu.

Am Ende habe es nur bei zehn Prozent der Probanden zu einer Wertung gereicht, ab der Dashlane die Passwort-Richtlinien für gut befindet. Mit weitem Abstand als am besten wurde die Handhabung der Kundenpasswörter durch Apple bewertet. Mit 100 Punkte erzielte der Konzern ein perfektes Ergebnis, indem er vier von Dashlane als essentiell erachtete Grundregeln beachtete:

  • Passwörter müssen mindestens acht Zeichen enthalten und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Symbolen bestehen.
  • Nach vier misslungenen Versuchen wird der Zugang gesperrt.
  • Während der Registrierung werden Hinweise für starke Passwörter angezeigt.
  • Dem Anwender wird angezeigt, als wie gut sein Passwort eingeschätzt wird, während er es bei der Registrierung festlegt.

An zweiter Stelle nach Apple steht neben den Onlineshops von Newegg und Chegg das Passwortverfahren von Microsoft. Die Passwort-Richtlinien des Online-Versandhändlers Amazon wurden dagegen mit -40 Punkten als deutlich verbesserungswürdig bewertet,

Verbesserungswürdig wäre allerdings auch die Studie von Dashlane. So haben die Tester nicht untersucht, wie sicher die Passwörter auf den Servern der Anbieter abgelegt sind, ob sie dort beispielsweise hinreichend verschlüsselt sind. Das Kopieren von unzureichend verschlüsselten Passwort-Datenbanken ist neben dem Erraten eine der häufigsten Ursachen für Passwort-Lecks.

Zudem haben die Forscher nicht beachtet, ob die Übertragung der Passwörter per HTTPS gesichert ist - und ob dasselbe für die Eingabe eines neuen Passworts bei der Widerherstellung eines vergessenen Passworts gilt. Ist die Datenübertragung nicht verschlüsselt, kann jedermann aus dem Datenstrom Passwörter im Klartext kopieren.

Als allumfassende Wahrheit sollte man die Untersuchung also nicht ansehen. Doch sie zeigt deutlich, dass viele Online-Anbieter noch einiges tun können, um ihre Kunden zur Nutzung besserer Passwörter zu bewegen. So lange das noch nicht gängige Praxis ist, sollten Sie sich an den Passwort-Tipps orientieren, die wir im Folgenden zusammengestellt haben:

mak

Mehr zum Thema


insgesamt 30 Beiträge
Alle Kommentare öffnen
Seite 1
j.b.999 27.01.2014
1. Kontraproduktiv
Mein Arbeitgeber verlangt starke Passwörter. Für 8 verschiedene Systeme benötige ich Passwörter, die alle unterschiedliche Zeichen verlangen und alle paar Monate geändert werden müssen. Da sich das niemand merken kann, muss ich mir das aufschreiben. Der Zettel liegt zugriffsbereit (für jedermann) in meiner Schreibtischschublade. Dürfte ich ein sicheres Passwort für alle Systeme verwenden, könnte ich mir das merken und die Sicherheit wäre gewährleistet.
thevicar 27.01.2014
2. Schwache Passworte
Zitat von sysopDPARegelmäßig kritisieren Experten, dass viele Internetuser ihre Daten mit zu einfachen Passworte schützen. Eine Untersuchung zeigt nun: Die Online-Anbieter tragen daran zumindest eine Teilschuld. Als Positivbeispiel nennen die Forscher Apple. http://www.spiegel.de/netzwelt/web/us-studie-apple-geht-am-besten-mit-den-passworten-seiner-kunden-um-a-945687.html
Das schlimmste Beispiel sind Banken und Sparkassen, die den Kunden nur eine fünfstellige Pin erlauben.
Ceasarius 27.01.2014
3. Guter Artikel
Danke, dass sich der Autor Zeit nimmt, auf die Schwächen der Studie hinzuweisen.
quark@mailinator.com 27.01.2014
4. Komisch
Ist schon seltsam. Man lies darüber, daß Millionen von Paßwörtern geklaut wurden, man liest darüber, daß in die Server der Anbieter eingebrochen wurde, man liest darüber, daß Trojaner auf den Rechnern der Anwender landen und dort Paßwörter ausspionieren. Man liest auch, daß Geheimdienste die gesamte Infrastruktur ganz bewußt schwächen und überall einbrechen und Daten sammeln. Was man aber NICHT liest ist, daß massenhaft Paßwörter geknackt werden, welche zu schwach sind. In jedem von mir oben beschriebenen Fall ist die Stärke des Paßworts irrelevant. Hunderte starke Paßwörter kann man nur nutzen, wenn man auch einen Paßwortsafe nutzt. Diesen könnte man verlieren, womit man sofort all seine Paßwörter verlöre. Abgesehen davon ist die Sicherheit des Safes selbst nicht prüfbar. Ist es ein Gerät, kann es kaputt gehen, ist es Software auf dem Rechner, können Viren das Masterpaßwort erlangen. Wie auch immer man es dreht und wendet - Sicherheit ist ein System und dieses fällt mit der schwächsten Komponente - meist der Nutzer, eher selten die Qualität des Paßworts.
enivid 27.01.2014
5.
Das ist doch wohl jedem selbst überlassen. Ich hasse es dabei bevormundet zu werden. Wenn ich nur 2 Buchstaben als pw haben möchte ist es meine Entscheidung.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.