• IT-Karriere:
  • Services:

Studie

Unsichere Websites machen sicherere Websites unsicher

Die Verwendung von Passwörtern für Websites hat eine Schattenseite: Unsichere Implementierungen von Passwortroutinen bei manchen Websites führen dazu, dass die sichereren Zugangskontrollen auf anderen Websites ausgehebelt werden. Das ist das Ergebnis einer Studie aus England.

Artikel veröffentlicht am , Meike Dülffer
Studie: Unsichere Websites machen sicherere Websites unsicher

Passwortabfragen sind das übliche Verfahren, mit dem Websites den Zugang zu Nutzerkonten kontrollieren. Aber was taugt dieses Verfahren in der Praxis? Das wollten die beiden Wissenschaftler Joseph Bonneau und Sören Preibusch von der Universität Cambridge herausfinden. Die Forscher stellten ihre Studie auf dem Workshop on the Economics of Information Security (WEIS 2010) in Harvard vor.

Stellenmarkt
  1. Stadtverwaltung Bretten, Bretten
  2. nova-Institut für politische und ökologische Innovation GmbH, Hürth

Bonneau und Preibusch untersuchten den Umgang mit Passwörtern auf mehr als 150 Websites. Dazu gehörten unter anderem die von Alexa gelisteten Top 100 Websites. Mittels eines Skripts registrierten sich die Forscher bei einer Website, meldeten sich ab und wieder an. Danach änderten sie das ursprüngliche Passwort und testeten in diesem Prozess, welche Passwörter akzeptiert wurden. Anschließend meldeten sie sich wieder ab und forderten mit einem Passwort-Reset ein neues Passwort an. Zu guter Letzt versuchten die Forscher, Passwörter mit einem Brute-Force-Angriff zu erraten.

Inkonsistenter Umgang mit Passwörtern

Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.

Insgesamt beurteilen die Forscher den Umgang mit Passwörtern als "inkonsistent". Allgemein ließ sich feststellen, dass größere, ältere Websites mit hohem Besucheraufkommen bessere Schutzmechanismen vorsehen als andere. Die Forscher sehen darin ein Anzeichen für ihre größere technische "Reife", was auf besseres Know-how bei den Entwicklern hinausläuft. Sehr schlecht schnitten sogenannte Content Sites ab, vergleichsweise gut Websites für Zahlungsprozesse. Bemerkenswert ist auch, dass die Forscher "keinen Zusammenhang zwischen der Passwort-Sicherheit und dem Angebot von Premium-Mitgliedschaften" auf Websites finden konnten.

In ihrer Beurteilung der Befunde kommen die Forscher zu dem Schluss, bei der mangelhaften Passwort-Sicherheit handle es sich um ein klassisches Problem, eine Tragik der Allmende. Die Forscher sprechen in diesem Sinne von "Marktversagen" und "negativen Externalitäten", die der Einsatz von Passwörtern zur Authentifizierung auf Websites zur Folge hat.

Gefahr auch für sichere Seiten

Die Nutzer können sich nur eine geringe Anzahl an Passwörtern merken. Deshalb neigen sie dazu, auf unterschiedlichen Websites dieselben oder leicht zu merkende Passwörter immer wieder zu verwenden. Das erleichtert es potenziellen Angreifern, Passwörter auf Websites mit schwachen Sicherheitsvorkehrungen zu ermitteln. Damit können sie sich dann auf Websites mit starken Sicherheitsvorkehrungen im Namen des Nutzers anmelden und das Nutzerkonto missbrauchen.

Um das Problem zu beheben, halten die Forscher eine Standardisierung starker Passwort-Authentifizierungsmethoden für sinnvoll. Eine generelle Ersetzung von Passwörtern halten sie für wenig Erfolg versprechend, da die Nutzer inzwischen zu sehr an Passwörter gewöhnt seien. [von Robert A. Gehring]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. United States Space Force
    Sternenflotten-artiges Logo verärgert Star-Trek-Fans
  2. Lightning vs. USB-C
    USB-Konsortium war zu träge
  3. Handyverträge
    Verkürzte Laufzeit und leichtere Kündigungen geplant
  4. Datenschutz
    Rechtsanwaltskanzlei zählt 160.000 DSGVO-Verstöße
  5. Datenschützer kritisieren
    H&M soll Mitarbeiter umfangreich ausspioniert haben
Anzeige
Spiele-Angebote
  1. 39,99€
  2. (-40%) 35,99€
  3. 37,49€
  4. 15,00€
Kommentarübersicht
Re: Höh, "TSL"?
Google versteher 14. Jun 2010

Damit hier auch die eigentliche Frage beantwortet wird: TSL ist die Abkürzung für...

Re: Gleiche Passwörter auf mehreren Websites...
1337SpeakErkenner 10. Jun 2010

In der Tat ...

PwdHash Clients
PwdHashUser 09. Jun 2010

Für Firefox: https://addons.mozilla.org/de/firefox/addon/1033/ Für Linux: https...

Re: verschlüsselung braucht es nicht
Die Redaktion 09. Jun 2010

Schreibst du Reiseausweis im Gegensatz zum Personalausweiß nicht mit ß, weil es im...

Re: Bemerkenswert oO
Die Redaktion 09. Jun 2010

Dann hast Du verstanden miss, denn untersucht wurden die Anbieter und nicht die Kunden.

Folgen Sie uns
       
Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Streaming
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich
SpaceX
SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest
Arbeit
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /