Abo
  • Services:

Studie

Unsichere Websites machen sicherere Websites unsicher

Die Verwendung von Passwörtern für Websites hat eine Schattenseite: Unsichere Implementierungen von Passwortroutinen bei manchen Websites führen dazu, dass die sichereren Zugangskontrollen auf anderen Websites ausgehebelt werden. Das ist das Ergebnis einer Studie aus England.

Artikel veröffentlicht am , Meike Dülffer
Studie: Unsichere Websites machen sicherere Websites unsicher

Passwortabfragen sind das übliche Verfahren, mit dem Websites den Zugang zu Nutzerkonten kontrollieren. Aber was taugt dieses Verfahren in der Praxis? Das wollten die beiden Wissenschaftler Joseph Bonneau und Sören Preibusch von der Universität Cambridge herausfinden. Die Forscher stellten ihre Studie auf dem Workshop on the Economics of Information Security (WEIS 2010) in Harvard vor.

Stellenmarkt
  1. Derby Cycle Werke GmbH, Cloppenburg
  2. Haufe Group, Stuttgart

Bonneau und Preibusch untersuchten den Umgang mit Passwörtern auf mehr als 150 Websites. Dazu gehörten unter anderem die von Alexa gelisteten Top 100 Websites. Mittels eines Skripts registrierten sich die Forscher bei einer Website, meldeten sich ab und wieder an. Danach änderten sie das ursprüngliche Passwort und testeten in diesem Prozess, welche Passwörter akzeptiert wurden. Anschließend meldeten sie sich wieder ab und forderten mit einem Passwort-Reset ein neues Passwort an. Zu guter Letzt versuchten die Forscher, Passwörter mit einem Brute-Force-Angriff zu erraten.

Inkonsistenter Umgang mit Passwörtern

Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.

Insgesamt beurteilen die Forscher den Umgang mit Passwörtern als "inkonsistent". Allgemein ließ sich feststellen, dass größere, ältere Websites mit hohem Besucheraufkommen bessere Schutzmechanismen vorsehen als andere. Die Forscher sehen darin ein Anzeichen für ihre größere technische "Reife", was auf besseres Know-how bei den Entwicklern hinausläuft. Sehr schlecht schnitten sogenannte Content Sites ab, vergleichsweise gut Websites für Zahlungsprozesse. Bemerkenswert ist auch, dass die Forscher "keinen Zusammenhang zwischen der Passwort-Sicherheit und dem Angebot von Premium-Mitgliedschaften" auf Websites finden konnten.

In ihrer Beurteilung der Befunde kommen die Forscher zu dem Schluss, bei der mangelhaften Passwort-Sicherheit handle es sich um ein klassisches Problem, eine Tragik der Allmende. Die Forscher sprechen in diesem Sinne von "Marktversagen" und "negativen Externalitäten", die der Einsatz von Passwörtern zur Authentifizierung auf Websites zur Folge hat.

Gefahr auch für sichere Seiten

Die Nutzer können sich nur eine geringe Anzahl an Passwörtern merken. Deshalb neigen sie dazu, auf unterschiedlichen Websites dieselben oder leicht zu merkende Passwörter immer wieder zu verwenden. Das erleichtert es potenziellen Angreifern, Passwörter auf Websites mit schwachen Sicherheitsvorkehrungen zu ermitteln. Damit können sie sich dann auf Websites mit starken Sicherheitsvorkehrungen im Namen des Nutzers anmelden und das Nutzerkonto missbrauchen.

Um das Problem zu beheben, halten die Forscher eine Standardisierung starker Passwort-Authentifizierungsmethoden für sinnvoll. Eine generelle Ersetzung von Passwörtern halten sie für wenig Erfolg versprechend, da die Nutzer inzwischen zu sehr an Passwörter gewöhnt seien. [von Robert A. Gehring]



Anzeige
Hardware-Angebote
  1. ab 99,98€
  2. 915€ + Versand

Google versteher 14. Jun 2010

Damit hier auch die eigentliche Frage beantwortet wird: TSL ist die Abkürzung für...

1337SpeakErkenner 10. Jun 2010

In der Tat ...

PwdHashUser 09. Jun 2010

Für Firefox: https://addons.mozilla.org/de/firefox/addon/1033/ Für Linux: https...

Die Redaktion 09. Jun 2010

Schreibst du Reiseausweis im Gegensatz zum Personalausweiß nicht mit ß, weil es im...

Die Redaktion 09. Jun 2010

Dann hast Du verstanden miss, denn untersucht wurden die Anbieter und nicht die Kunden.


Folgen Sie uns
       


i-Cristal autonomer Bus - Interview (englisch)

Der nächste Schritt steht an: Der französische Verkehrsbetrieb plant einen Test mit einem autonom fahenden Bus. Er soll Anfang 2020 in einer französischen Großstadt im normalen Verkehr fahren.

i-Cristal autonomer Bus - Interview (englisch) Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /