Studie

Unsichere Websites machen sicherere Websites unsicher

Die Verwendung von Passwörtern für Websites hat eine Schattenseite: Unsichere Implementierungen von Passwortroutinen bei manchen Websites führen dazu, dass die sichereren Zugangskontrollen auf anderen Websites ausgehebelt werden. Das ist das Ergebnis einer Studie aus England.

Artikel veröffentlicht am , Meike Dülffer
Studie: Unsichere Websites machen sicherere Websites unsicher

Passwortabfragen sind das übliche Verfahren, mit dem Websites den Zugang zu Nutzerkonten kontrollieren. Aber was taugt dieses Verfahren in der Praxis? Das wollten die beiden Wissenschaftler Joseph Bonneau und Sören Preibusch von der Universität Cambridge herausfinden. Die Forscher stellten ihre Studie auf dem Workshop on the Economics of Information Security (WEIS 2010) in Harvard vor.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) für das Referat IT-Infrastruktur
    DAAD - Deutscher Akademischer Austauschdienst e.V., Bonn
  2. Informatiker im EDI Software Support (m/w/d)
    IWOfurn Service GmbH, Holzgerlingen (Home-Office)
Detailsuche

Bonneau und Preibusch untersuchten den Umgang mit Passwörtern auf mehr als 150 Websites. Dazu gehörten unter anderem die von Alexa gelisteten Top 100 Websites. Mittels eines Skripts registrierten sich die Forscher bei einer Website, meldeten sich ab und wieder an. Danach änderten sie das ursprüngliche Passwort und testeten in diesem Prozess, welche Passwörter akzeptiert wurden. Anschließend meldeten sie sich wieder ab und forderten mit einem Passwort-Reset ein neues Passwort an. Zu guter Letzt versuchten die Forscher, Passwörter mit einem Brute-Force-Angriff zu erraten.

Inkonsistenter Umgang mit Passwörtern

Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.

Insgesamt beurteilen die Forscher den Umgang mit Passwörtern als "inkonsistent". Allgemein ließ sich feststellen, dass größere, ältere Websites mit hohem Besucheraufkommen bessere Schutzmechanismen vorsehen als andere. Die Forscher sehen darin ein Anzeichen für ihre größere technische "Reife", was auf besseres Know-how bei den Entwicklern hinausläuft. Sehr schlecht schnitten sogenannte Content Sites ab, vergleichsweise gut Websites für Zahlungsprozesse. Bemerkenswert ist auch, dass die Forscher "keinen Zusammenhang zwischen der Passwort-Sicherheit und dem Angebot von Premium-Mitgliedschaften" auf Websites finden konnten.

In ihrer Beurteilung der Befunde kommen die Forscher zu dem Schluss, bei der mangelhaften Passwort-Sicherheit handle es sich um ein klassisches Problem, eine Tragik der Allmende. Die Forscher sprechen in diesem Sinne von "Marktversagen" und "negativen Externalitäten", die der Einsatz von Passwörtern zur Authentifizierung auf Websites zur Folge hat.

Gefahr auch für sichere Seiten

Die Nutzer können sich nur eine geringe Anzahl an Passwörtern merken. Deshalb neigen sie dazu, auf unterschiedlichen Websites dieselben oder leicht zu merkende Passwörter immer wieder zu verwenden. Das erleichtert es potenziellen Angreifern, Passwörter auf Websites mit schwachen Sicherheitsvorkehrungen zu ermitteln. Damit können sie sich dann auf Websites mit starken Sicherheitsvorkehrungen im Namen des Nutzers anmelden und das Nutzerkonto missbrauchen.

Um das Problem zu beheben, halten die Forscher eine Standardisierung starker Passwort-Authentifizierungsmethoden für sinnvoll. Eine generelle Ersetzung von Passwörtern halten sie für wenig Erfolg versprechend, da die Nutzer inzwischen zu sehr an Passwörter gewöhnt seien. [von Robert A. Gehring]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Sicherheit
Tag der unsinnigen Passwort-Ratschläge
artikel-bild
Pwned Passwords
Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes
artikel-bild
E-Mail-Clients für Android
Kennwörter werden an App-Entwickler übermittelt
artikel-bild
Pwned Passwords
Troy Hunt bietet Passwortcheck an
Meistgelesen
artikel-bild
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben
artikel-bild
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten
artikel-bild
Elite 3 und Studio Buds im Test
Jabra deklassiert doppelt so teure Beats-Stöpsel
artikel-bild
Stühle und Tische
Ikea bringt Möbel fürs Gaming-Zimmer
Kommentarübersicht
Re: Höh, "TSL"?
Google versteher 14. Jun 2010

Damit hier auch die eigentliche Frage beantwortet wird: TSL ist die Abkürzung für...

Re: Gleiche Passwörter auf mehreren Websites...
1337SpeakErkenner 10. Jun 2010

In der Tat ...

PwdHash Clients
PwdHashUser 09. Jun 2010

Für Firefox: https://addons.mozilla.org/de/firefox/addon/1033/ Für Linux: https...

Re: verschlüsselung braucht es nicht
Die Redaktion 09. Jun 2010

Schreibst du Reiseausweis im Gegensatz zum Personalausweiß nicht mit ß, weil es im...

Re: Bemerkenswert oO
Die Redaktion 09. Jun 2010

Dann hast Du verstanden miss, denn untersucht wurden die Anbieter und nicht die Kunden.

Aktuell auf der Startseite von Golem.de
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben

Leichte und billige Satelliten, die auch zu Mond und Mars fliegen können: Aerospace Corp hat den neuen Standardformfaktor Disksats entwickelt.
Von Frank Wunderlich-Pfeiffer

Von Cubesats zu Disksats: Satelliten als fliegende Scheiben
Artikel
  1. Full Self Driving: Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen
    Full Self Driving
    Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen

    Die Testversion des Full-Self-Driving-Pakets sollen nur Tesla-Fahrer nutzen dürfen, deren Fahrverhalten einwandfrei ist.

  2. Umweltfreundlicher Sattelschlepper: Iveco und Nikola starten E-Lastwagen-Produktion in Ulm
    Umweltfreundlicher Sattelschlepper
    Iveco und Nikola starten E-Lastwagen-Produktion in Ulm

    Die Nikola-Zugmaschine Tre mit Elektroantrieb soll zunächst für den US-Markt gefertigt werden, später auch für Europa.

  3. Echtzeit-Strategie: Age of Empires 4 braucht nicht die schnellste Hardware
    Echtzeit-Strategie
    Age of Empires 4 braucht nicht die schnellste Hardware

    Die vollständigen Specs für den Technik-Test von Age of Empires 4 liegen vor. Spieler können ab heute Abend in die Historie eintauchen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance LPX DDR4-3200 16 GB 63,74€ und 32 GB 108,79€ • Alternate (u. a. Creative SB Z SE 71,98€, Kingston KC2500 2 TB 181,89€ und Recaro Exo Platinum 855,99€) • Breaking Deals mit Club-Rabatten • ASUS ROG Crosshair VIII Hero WiFi 269,99€ • iPhone 13 vorbestellbar [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /