• IT-Karriere:
  • Services:

Password Stuffing: Viele Logins mit kompromittierten Zugangsdaten

1,5 Prozent aller Logins sind nach Statistiken von Google durch Password Stuffing angreifbar, etwa die Hälfte der Nutzer hat mindestens einen angreifbaren Account. Google erhob diese Statistiken mit einer Browsererweiterung, die kompromittierte Zugangsdaten erkennt und davor warnt.

Artikel veröffentlicht am ,
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz.
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Google hat auf der Usenix-Konferenz Statistiken zu kompromittierten Passwörtern veröffentlicht und die Details einer Browsererweiterung erläutert, die Nutzer vor Angriffen durch sogenanntes Password Stuffing schützen soll. Dabei zeigt sich: Kompromittierte Zugangsdaten sind ein verbreitetes Problem und selbst nach Warnungen ändern viele Nutzer ihr Passwort nicht.

Stellenmarkt
  1. AKKA, Nürnberg, Neutraubling
  2. GK Software SE, Schöneck, Köln, St. Ingbert, d Jena

Die Chrome-Browsererweiterung Password Checkup hat Google im Februar veröffentlicht. Wenn ein Nutzer, der die Erweiterung installiert hat, sich auf einer Webseite einloggt, wird geprüft, ob die Zugangsdaten in einem der vielen Datenleaks stehen, die in der Vergangenheit im Netz aufgetaucht sind.

Zugangsdaten aus geleakten Datenbanken

Von Password Stuffing spricht man, wenn ein Angreifer solche Daten aus Datenleaks nutzt und dann versucht, sich mit den jeweiligen Kombinationen aus Nutzernamen bzw. E-Mail-Adressen und Passwörtern auf anderen Webseiten einzuloggen. Diese Angriffsmethode wurde in den letzten Jahren immer häufiger genutzt, auf einschlägigen Webseiten werden Listen mit Millionen von Zugangsdaten geteilt.

Googles Browsererweiterung nutzt ein Protokoll, bei dem die eingegebenen Daten anonymisiert werden. Die Details sind relativ komplex, sie werden in einem auf der Usenix veröffentlichten wissenschaftlichen Paper erläutert. Die Erweiterung warnt dabei nur, wenn Nutzername und Passwort mit kompromittierten Daten übereinstimmen. Generelle Warnungen vor schwachen Passwörtern sind nicht das Ziel der Erweiterung.

Google hat durch die Browsererweiterung auch anonyme Statistiken erhoben, und die geben interessante Einblicke in das Nutzerverhalten. Demnach erkannte die Erweiterung bei 1,5 Prozent der Loginversuche kompromittierte Zugangsdaten. Insgesamt erhielt etwa die Hälfte der Nutzer von Password Checkup mindestens eine Warnung.

Es zeigen sich deutliche Unterschiede darin, um was für Zugangsdaten es sich handelt. Bei Streamingdiensten und bei pornografischen Angeboten gab es besonders viele kompromittierte Zugangsdaten. Auf Regierungswebseiten und auf Seiten mit Finanzangeboten waren hingegen vergleichsweise wenig kompromittierte Zugangsdaten im Einsatz.

Nur ein Viertel ändert Passwort nach Warnung

Es zeigte sich, dass viele Nutzer die Passwörter trotzdem nicht ändern, wenn ihnen eine Warnung angezeigt wird. Nur bei etwa einem Viertel der Warnungen führten die Nutzer einen Passwortwechsel durch. Die Autoren des Papers spekulieren, dass das teilweise daran liege, dass Nutzer ihre Passwörter nicht einfach ändern könnten, etwa weil sie Accounts gemeinsam mit Familienmitgliedern nutzten.

Da die Zahlen nur von Nutzern stammen, die die entsprechende Browsererweiterung installiert haben, ist es denkbar, dass es sich hier um eine Auswahl von Personen handelt, die sich bereits besonders sicherheitsbewusst verhalten. Die tatsächlichen Zahlen sehen daher möglicherweise noch schlimmer aus.

Generell gilt, dass man sich vor Password Stuffing am besten schützt, indem man für jede Webseite ein eigenes, individuelles Passwort verwendet. Am praktikabelsten ist das mit einem Passwort-Manager. Anbieter von Services können ihre Nutzer schützen, indem sie die Verwendung von bereits kompromittierten Passwörtern verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 92,99€
  2. (u. a. FIFA 20 für 27,99€, Dragon Ball Z Kakarot für 46,89€, Rainbow Six: Siege Deluxe für 8...
  3. 39,99€
  4. (-67%) 7,59€

Christoph123 18. Aug 2019

Und Identifikation erfolgt mal schnell über die email

senf.dazu 17. Aug 2019

.. ein sicherer Token gestützter Account bei Google mit dem man sich überall ganz sicher...

User_x 16. Aug 2019

Wenn das nicht bereits schon so ist. Mal das Lizenzabkommen lesen, ob man etwas so...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  2. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen
  3. Concept Duet und Concept Ori Dells Dualscreen-Geräte machen Microsoft Konkurrenz

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner

    •  /