Abo
  • Services:

Studie

Unsichere Websites machen sicherere Websites unsicher

Die Verwendung von Passwörtern für Websites hat eine Schattenseite: Unsichere Implementierungen von Passwortroutinen bei manchen Websites führen dazu, dass die sichereren Zugangskontrollen auf anderen Websites ausgehebelt werden. Das ist das Ergebnis einer Studie aus England.

Artikel veröffentlicht am , Meike Dülffer
Studie: Unsichere Websites machen sicherere Websites unsicher

Passwortabfragen sind das übliche Verfahren, mit dem Websites den Zugang zu Nutzerkonten kontrollieren. Aber was taugt dieses Verfahren in der Praxis? Das wollten die beiden Wissenschaftler Joseph Bonneau und Sören Preibusch von der Universität Cambridge herausfinden. Die Forscher stellten ihre Studie auf dem Workshop on the Economics of Information Security (WEIS 2010) in Harvard vor.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Bonneau und Preibusch untersuchten den Umgang mit Passwörtern auf mehr als 150 Websites. Dazu gehörten unter anderem die von Alexa gelisteten Top 100 Websites. Mittels eines Skripts registrierten sich die Forscher bei einer Website, meldeten sich ab und wieder an. Danach änderten sie das ursprüngliche Passwort und testeten in diesem Prozess, welche Passwörter akzeptiert wurden. Anschließend meldeten sie sich wieder ab und forderten mit einem Passwort-Reset ein neues Passwort an. Zu guter Letzt versuchten die Forscher, Passwörter mit einem Brute-Force-Angriff zu erraten.

Inkonsistenter Umgang mit Passwörtern

Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.

Insgesamt beurteilen die Forscher den Umgang mit Passwörtern als "inkonsistent". Allgemein ließ sich feststellen, dass größere, ältere Websites mit hohem Besucheraufkommen bessere Schutzmechanismen vorsehen als andere. Die Forscher sehen darin ein Anzeichen für ihre größere technische "Reife", was auf besseres Know-how bei den Entwicklern hinausläuft. Sehr schlecht schnitten sogenannte Content Sites ab, vergleichsweise gut Websites für Zahlungsprozesse. Bemerkenswert ist auch, dass die Forscher "keinen Zusammenhang zwischen der Passwort-Sicherheit und dem Angebot von Premium-Mitgliedschaften" auf Websites finden konnten.

In ihrer Beurteilung der Befunde kommen die Forscher zu dem Schluss, bei der mangelhaften Passwort-Sicherheit handle es sich um ein klassisches Problem, eine Tragik der Allmende. Die Forscher sprechen in diesem Sinne von "Marktversagen" und "negativen Externalitäten", die der Einsatz von Passwörtern zur Authentifizierung auf Websites zur Folge hat.

Gefahr auch für sichere Seiten

Die Nutzer können sich nur eine geringe Anzahl an Passwörtern merken. Deshalb neigen sie dazu, auf unterschiedlichen Websites dieselben oder leicht zu merkende Passwörter immer wieder zu verwenden. Das erleichtert es potenziellen Angreifern, Passwörter auf Websites mit schwachen Sicherheitsvorkehrungen zu ermitteln. Damit können sie sich dann auf Websites mit starken Sicherheitsvorkehrungen im Namen des Nutzers anmelden und das Nutzerkonto missbrauchen.

Um das Problem zu beheben, halten die Forscher eine Standardisierung starker Passwort-Authentifizierungsmethoden für sinnvoll. Eine generelle Ersetzung von Passwörtern halten sie für wenig Erfolg versprechend, da die Nutzer inzwischen zu sehr an Passwörter gewöhnt seien. [von Robert A. Gehring]



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Google versteher 14. Jun 2010

Damit hier auch die eigentliche Frage beantwortet wird: TSL ist die Abkürzung für...

1337SpeakErkenner 10. Jun 2010

In der Tat ...

PwdHashUser 09. Jun 2010

Für Firefox: https://addons.mozilla.org/de/firefox/addon/1033/ Für Linux: https...

Die Redaktion 09. Jun 2010

Schreibst du Reiseausweis im Gegensatz zum Personalausweiß nicht mit ß, weil es im...

Die Redaktion 09. Jun 2010

Dann hast Du verstanden miss, denn untersucht wurden die Anbieter und nicht die Kunden.


Folgen Sie uns
       


Ladevorgang beim Audi E-Tron

Wie schnell lässt sich der neue Audi E-Tron tatsächlich laden?

Ladevorgang beim Audi E-Tron Video aufrufen
Urheberrecht: Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt
Urheberrecht
Warum die Kreativwirtschaft plötzlich Uploadfilter ablehnt

Eigentlich sollte der umstrittene Artikel 13 der EU-Urheberrechtsreform die Rechteinhaber gegenüber Plattformen wie Youtube stärken. Doch nun warnen TV-Sender und Medien vor Nachteilen durch das Gesetz. Software-Entwickler sollen keine zusätzlichen Rechte bekommen.
Von Friedhelm Greis

  1. Leistungsschutzrecht und Uploadfilter EU-Länder bremsen Urheberrechtsreform aus
  2. EuGH-Gutachten Deutsches Leistungsschutzrecht soll unzulässig sein
  3. Leistungsschutzrecht So oft könnten Verlage künftig an Bezahlartikeln verdienen

Zweite Staffel Star Trek Discovery: Weniger Wumms, mehr Story
Zweite Staffel Star Trek Discovery
Weniger Wumms, mehr Story

Charakterentwicklung, weniger Lens Flares, dazu eine spannende neue Storyline: Nach dem etwas mauen Ende der ersten Staffel von Star Trek: Discovery macht der Beginn der zweiten Lust auf mehr. Achtung Spoiler!
Eine Rezension von Tobias Költzsch

  1. Discovery-Spin-off Neue Star-Trek-Serie mit Michelle Yeoh geplant
  2. Star Trek Ende 2019 geht es mit Jean-Luc Picard in die Zukunft
  3. Star Trek Captain Kirk beharrt auf seinem Gehalt

Bright Memory angespielt: Brachialer PC-Shooter aus China
Bright Memory angespielt
Brachialer PC-Shooter aus China

Nur ein Entwickler und lediglich eine Stunde Spielzeit - trotzdem wischt das nur rund 6 Euro teure und ausschließlich für Windows-PC erhältliche Bright Memory mit vielen Vollpreisspielen den Boden. Selbst die vollständig chinesische Sprachausgabe stört fast nicht.

  1. Strange Brigade angespielt Feuergefechte mit Mumien und Monstern

    •  /