Abo
  • IT-Karriere:

Password Stuffing: Viele Logins mit kompromittierten Zugangsdaten

1,5 Prozent aller Logins sind nach Statistiken von Google durch Password Stuffing angreifbar, etwa die Hälfte der Nutzer hat mindestens einen angreifbaren Account. Google erhob diese Statistiken mit einer Browsererweiterung, die kompromittierte Zugangsdaten erkennt und davor warnt.

Artikel veröffentlicht am ,
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz.
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Google hat auf der Usenix-Konferenz Statistiken zu kompromittierten Passwörtern veröffentlicht und die Details einer Browsererweiterung erläutert, die Nutzer vor Angriffen durch sogenanntes Password Stuffing schützen soll. Dabei zeigt sich: Kompromittierte Zugangsdaten sind ein verbreitetes Problem und selbst nach Warnungen ändern viele Nutzer ihr Passwort nicht.

Stellenmarkt
  1. Hays AG, Großraum Frankfurt
  2. Auswärtiges Amt, Berlin

Die Chrome-Browsererweiterung Password Checkup hat Google im Februar veröffentlicht. Wenn ein Nutzer, der die Erweiterung installiert hat, sich auf einer Webseite einloggt, wird geprüft, ob die Zugangsdaten in einem der vielen Datenleaks stehen, die in der Vergangenheit im Netz aufgetaucht sind.

Zugangsdaten aus geleakten Datenbanken

Von Password Stuffing spricht man, wenn ein Angreifer solche Daten aus Datenleaks nutzt und dann versucht, sich mit den jeweiligen Kombinationen aus Nutzernamen bzw. E-Mail-Adressen und Passwörtern auf anderen Webseiten einzuloggen. Diese Angriffsmethode wurde in den letzten Jahren immer häufiger genutzt, auf einschlägigen Webseiten werden Listen mit Millionen von Zugangsdaten geteilt.

Googles Browsererweiterung nutzt ein Protokoll, bei dem die eingegebenen Daten anonymisiert werden. Die Details sind relativ komplex, sie werden in einem auf der Usenix veröffentlichten wissenschaftlichen Paper erläutert. Die Erweiterung warnt dabei nur, wenn Nutzername und Passwort mit kompromittierten Daten übereinstimmen. Generelle Warnungen vor schwachen Passwörtern sind nicht das Ziel der Erweiterung.

Google hat durch die Browsererweiterung auch anonyme Statistiken erhoben, und die geben interessante Einblicke in das Nutzerverhalten. Demnach erkannte die Erweiterung bei 1,5 Prozent der Loginversuche kompromittierte Zugangsdaten. Insgesamt erhielt etwa die Hälfte der Nutzer von Password Checkup mindestens eine Warnung.

Es zeigen sich deutliche Unterschiede darin, um was für Zugangsdaten es sich handelt. Bei Streamingdiensten und bei pornografischen Angeboten gab es besonders viele kompromittierte Zugangsdaten. Auf Regierungswebseiten und auf Seiten mit Finanzangeboten waren hingegen vergleichsweise wenig kompromittierte Zugangsdaten im Einsatz.

Nur ein Viertel ändert Passwort nach Warnung

Es zeigte sich, dass viele Nutzer die Passwörter trotzdem nicht ändern, wenn ihnen eine Warnung angezeigt wird. Nur bei etwa einem Viertel der Warnungen führten die Nutzer einen Passwortwechsel durch. Die Autoren des Papers spekulieren, dass das teilweise daran liege, dass Nutzer ihre Passwörter nicht einfach ändern könnten, etwa weil sie Accounts gemeinsam mit Familienmitgliedern nutzten.

Da die Zahlen nur von Nutzern stammen, die die entsprechende Browsererweiterung installiert haben, ist es denkbar, dass es sich hier um eine Auswahl von Personen handelt, die sich bereits besonders sicherheitsbewusst verhalten. Die tatsächlichen Zahlen sehen daher möglicherweise noch schlimmer aus.

Generell gilt, dass man sich vor Password Stuffing am besten schützt, indem man für jede Webseite ein eigenes, individuelles Passwort verwendet. Am praktikabelsten ist das mit einem Passwort-Manager. Anbieter von Services können ihre Nutzer schützen, indem sie die Verwendung von bereits kompromittierten Passwörtern verhindern.



Anzeige
Top-Angebote
  1. 139€
  2. (u. a. AMD Ryzen + ASUS-X570-Mainboard kaufen und bis zu 125€ sparen)
  3. (u. a. Hunt Showdown für 29,99€, Forza Motorsport 7 für 28,49€ und Hitman 2 für 14,49€)
  4. (heute u. a. Xbox One Bundles mit FIFA 20)

Christoph123 18. Aug 2019 / Themenstart

Und Identifikation erfolgt mal schnell über die email

senf.dazu 17. Aug 2019 / Themenstart

.. ein sicherer Token gestützter Account bei Google mit dem man sich überall ganz sicher...

User_x 16. Aug 2019 / Themenstart

Wenn das nicht bereits schon so ist. Mal das Lizenzabkommen lesen, ob man etwas so...

Kommentieren


Folgen Sie uns
       


Gears of War 5 - Fazit

Spektakulär inszenierte Action ist die Spezialität von Gears of War, und natürlich setzt auch Gears 5 auf Bombast und krachende Effekte.

Gears of War 5 - Fazit Video aufrufen
Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

Hue Sync: Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar
Hue Sync
Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar

Mit Hue Sync können Philips-Hue-Nutzer ihre Lampen passend zu Filmen oder Musik aufleuchten lassen - bisher aber nur recht umständlich über einen PC. Die neue Play HDMI Sync Box ist ein Splitter mit eingebautem Hue-Sync-Controller, an den einfach Konsolen oder Blu-ray-Player angeschlossen werden können.
Ein Hands on von Tobias Költzsch

  1. Signify Kleiner Schalter und Steckdose für Philips Hue
  2. Smart Home Philips-Hue-Leuchtmittel mit Bluetooth
  3. Smart Home Philips Hue mit Außenbewegungsmelder und neuen Außenlampen

    •  /