• IT-Karriere:
  • Services:

Studie

Unsichere Websites machen sicherere Websites unsicher

Die Verwendung von Passwörtern für Websites hat eine Schattenseite: Unsichere Implementierungen von Passwortroutinen bei manchen Websites führen dazu, dass die sichereren Zugangskontrollen auf anderen Websites ausgehebelt werden. Das ist das Ergebnis einer Studie aus England.

Artikel veröffentlicht am , Meike Dülffer
Studie: Unsichere Websites machen sicherere Websites unsicher

Passwortabfragen sind das übliche Verfahren, mit dem Websites den Zugang zu Nutzerkonten kontrollieren. Aber was taugt dieses Verfahren in der Praxis? Das wollten die beiden Wissenschaftler Joseph Bonneau und Sören Preibusch von der Universität Cambridge herausfinden. Die Forscher stellten ihre Studie auf dem Workshop on the Economics of Information Security (WEIS 2010) in Harvard vor.

Stellenmarkt
  1. Stadtverwaltung Bretten, Bretten
  2. nova-Institut für politische und ökologische Innovation GmbH, Hürth

Bonneau und Preibusch untersuchten den Umgang mit Passwörtern auf mehr als 150 Websites. Dazu gehörten unter anderem die von Alexa gelisteten Top 100 Websites. Mittels eines Skripts registrierten sich die Forscher bei einer Website, meldeten sich ab und wieder an. Danach änderten sie das ursprüngliche Passwort und testeten in diesem Prozess, welche Passwörter akzeptiert wurden. Anschließend meldeten sie sich wieder ab und forderten mit einem Passwort-Reset ein neues Passwort an. Zu guter Letzt versuchten die Forscher, Passwörter mit einem Brute-Force-Angriff zu erraten.

Inkonsistenter Umgang mit Passwörtern

Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.

Insgesamt beurteilen die Forscher den Umgang mit Passwörtern als "inkonsistent". Allgemein ließ sich feststellen, dass größere, ältere Websites mit hohem Besucheraufkommen bessere Schutzmechanismen vorsehen als andere. Die Forscher sehen darin ein Anzeichen für ihre größere technische "Reife", was auf besseres Know-how bei den Entwicklern hinausläuft. Sehr schlecht schnitten sogenannte Content Sites ab, vergleichsweise gut Websites für Zahlungsprozesse. Bemerkenswert ist auch, dass die Forscher "keinen Zusammenhang zwischen der Passwort-Sicherheit und dem Angebot von Premium-Mitgliedschaften" auf Websites finden konnten.

In ihrer Beurteilung der Befunde kommen die Forscher zu dem Schluss, bei der mangelhaften Passwort-Sicherheit handle es sich um ein klassisches Problem, eine Tragik der Allmende. Die Forscher sprechen in diesem Sinne von "Marktversagen" und "negativen Externalitäten", die der Einsatz von Passwörtern zur Authentifizierung auf Websites zur Folge hat.

Gefahr auch für sichere Seiten

Die Nutzer können sich nur eine geringe Anzahl an Passwörtern merken. Deshalb neigen sie dazu, auf unterschiedlichen Websites dieselben oder leicht zu merkende Passwörter immer wieder zu verwenden. Das erleichtert es potenziellen Angreifern, Passwörter auf Websites mit schwachen Sicherheitsvorkehrungen zu ermitteln. Damit können sie sich dann auf Websites mit starken Sicherheitsvorkehrungen im Namen des Nutzers anmelden und das Nutzerkonto missbrauchen.

Um das Problem zu beheben, halten die Forscher eine Standardisierung starker Passwort-Authentifizierungsmethoden für sinnvoll. Eine generelle Ersetzung von Passwörtern halten sie für wenig Erfolg versprechend, da die Nutzer inzwischen zu sehr an Passwörter gewöhnt seien. [von Robert A. Gehring]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 39,99€
  2. (-40%) 35,99€
  3. 37,49€
  4. 15,00€

Google versteher 14. Jun 2010

Damit hier auch die eigentliche Frage beantwortet wird: TSL ist die Abkürzung für...

1337SpeakErkenner 10. Jun 2010

In der Tat ...

PwdHashUser 09. Jun 2010

Für Firefox: https://addons.mozilla.org/de/firefox/addon/1033/ Für Linux: https...

Die Redaktion 09. Jun 2010

Schreibst du Reiseausweis im Gegensatz zum Personalausweiß nicht mit ß, weil es im...

Die Redaktion 09. Jun 2010

Dann hast Du verstanden miss, denn untersucht wurden die Anbieter und nicht die Kunden.


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

    •  /