Password Stuffing: Viele Logins mit kompromittierten Zugangsdaten

1,5 Prozent aller Logins sind nach Statistiken von Google durch Password Stuffing angreifbar, etwa die Hälfte der Nutzer hat mindestens einen angreifbaren Account. Google erhob diese Statistiken mit einer Browsererweiterung, die kompromittierte Zugangsdaten erkennt und davor warnt.

Artikel veröffentlicht am ,
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz.
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Google hat auf der Usenix-Konferenz Statistiken zu kompromittierten Passwörtern veröffentlicht und die Details einer Browsererweiterung erläutert, die Nutzer vor Angriffen durch sogenanntes Password Stuffing schützen soll. Dabei zeigt sich: Kompromittierte Zugangsdaten sind ein verbreitetes Problem und selbst nach Warnungen ändern viele Nutzer ihr Passwort nicht.

Stellenmarkt
  1. Produktmanager / Product Owner (m/w/d) für 3D-Konfiguratoren
    W. & L. Jordan GmbH, Kassel
  2. Scrum Master m/w/d
    Elektrophoenix GmbH, Blomberg
Detailsuche

Die Chrome-Browsererweiterung Password Checkup hat Google im Februar veröffentlicht. Wenn ein Nutzer, der die Erweiterung installiert hat, sich auf einer Webseite einloggt, wird geprüft, ob die Zugangsdaten in einem der vielen Datenleaks stehen, die in der Vergangenheit im Netz aufgetaucht sind.

Zugangsdaten aus geleakten Datenbanken

Von Password Stuffing spricht man, wenn ein Angreifer solche Daten aus Datenleaks nutzt und dann versucht, sich mit den jeweiligen Kombinationen aus Nutzernamen bzw. E-Mail-Adressen und Passwörtern auf anderen Webseiten einzuloggen. Diese Angriffsmethode wurde in den letzten Jahren immer häufiger genutzt, auf einschlägigen Webseiten werden Listen mit Millionen von Zugangsdaten geteilt.

Googles Browsererweiterung nutzt ein Protokoll, bei dem die eingegebenen Daten anonymisiert werden. Die Details sind relativ komplex, sie werden in einem auf der Usenix veröffentlichten wissenschaftlichen Paper erläutert. Die Erweiterung warnt dabei nur, wenn Nutzername und Passwort mit kompromittierten Daten übereinstimmen. Generelle Warnungen vor schwachen Passwörtern sind nicht das Ziel der Erweiterung.

Golem Karrierewelt
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    15./16.12.2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    08.12.2022, Virtuell
Weitere IT-Trainings

Google hat durch die Browsererweiterung auch anonyme Statistiken erhoben, und die geben interessante Einblicke in das Nutzerverhalten. Demnach erkannte die Erweiterung bei 1,5 Prozent der Loginversuche kompromittierte Zugangsdaten. Insgesamt erhielt etwa die Hälfte der Nutzer von Password Checkup mindestens eine Warnung.

Es zeigen sich deutliche Unterschiede darin, um was für Zugangsdaten es sich handelt. Bei Streamingdiensten und bei pornografischen Angeboten gab es besonders viele kompromittierte Zugangsdaten. Auf Regierungswebseiten und auf Seiten mit Finanzangeboten waren hingegen vergleichsweise wenig kompromittierte Zugangsdaten im Einsatz.

Nur ein Viertel ändert Passwort nach Warnung

Es zeigte sich, dass viele Nutzer die Passwörter trotzdem nicht ändern, wenn ihnen eine Warnung angezeigt wird. Nur bei etwa einem Viertel der Warnungen führten die Nutzer einen Passwortwechsel durch. Die Autoren des Papers spekulieren, dass das teilweise daran liege, dass Nutzer ihre Passwörter nicht einfach ändern könnten, etwa weil sie Accounts gemeinsam mit Familienmitgliedern nutzten.

Da die Zahlen nur von Nutzern stammen, die die entsprechende Browsererweiterung installiert haben, ist es denkbar, dass es sich hier um eine Auswahl von Personen handelt, die sich bereits besonders sicherheitsbewusst verhalten. Die tatsächlichen Zahlen sehen daher möglicherweise noch schlimmer aus.

Generell gilt, dass man sich vor Password Stuffing am besten schützt, indem man für jede Webseite ein eigenes, individuelles Passwort verwendet. Am praktikabelsten ist das mit einem Passwort-Manager. Anbieter von Services können ihre Nutzer schützen, indem sie die Verwendung von bereits kompromittierten Passwörtern verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Christoph123 18. Aug 2019

Und Identifikation erfolgt mal schnell über die email

senf.dazu 17. Aug 2019

.. ein sicherer Token gestützter Account bei Google mit dem man sich überall ganz sicher...

User_x 16. Aug 2019

Wenn das nicht bereits schon so ist. Mal das Lizenzabkommen lesen, ob man etwas so...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /