• IT-Karriere:
  • Services:

Password Stuffing: Viele Logins mit kompromittierten Zugangsdaten

1,5 Prozent aller Logins sind nach Statistiken von Google durch Password Stuffing angreifbar, etwa die Hälfte der Nutzer hat mindestens einen angreifbaren Account. Google erhob diese Statistiken mit einer Browsererweiterung, die kompromittierte Zugangsdaten erkennt und davor warnt.

Artikel veröffentlicht am ,
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz.
Mehrfach verwendete Passwörter gehören zu den größten Sicherheitsrisiken im Netz. (Bild: Santeri Viinamäki, Wikimedia Commons/CC-BY-SA 4.0)

Google hat auf der Usenix-Konferenz Statistiken zu kompromittierten Passwörtern veröffentlicht und die Details einer Browsererweiterung erläutert, die Nutzer vor Angriffen durch sogenanntes Password Stuffing schützen soll. Dabei zeigt sich: Kompromittierte Zugangsdaten sind ein verbreitetes Problem und selbst nach Warnungen ändern viele Nutzer ihr Passwort nicht.

Stellenmarkt
  1. PVS DVG Vertriebsgesellschaft GmbH, Region Köln, Bonn
  2. Bundesrechnungshof, Bonn

Die Chrome-Browsererweiterung Password Checkup hat Google im Februar veröffentlicht. Wenn ein Nutzer, der die Erweiterung installiert hat, sich auf einer Webseite einloggt, wird geprüft, ob die Zugangsdaten in einem der vielen Datenleaks stehen, die in der Vergangenheit im Netz aufgetaucht sind.

Zugangsdaten aus geleakten Datenbanken

Von Password Stuffing spricht man, wenn ein Angreifer solche Daten aus Datenleaks nutzt und dann versucht, sich mit den jeweiligen Kombinationen aus Nutzernamen bzw. E-Mail-Adressen und Passwörtern auf anderen Webseiten einzuloggen. Diese Angriffsmethode wurde in den letzten Jahren immer häufiger genutzt, auf einschlägigen Webseiten werden Listen mit Millionen von Zugangsdaten geteilt.

Googles Browsererweiterung nutzt ein Protokoll, bei dem die eingegebenen Daten anonymisiert werden. Die Details sind relativ komplex, sie werden in einem auf der Usenix veröffentlichten wissenschaftlichen Paper erläutert. Die Erweiterung warnt dabei nur, wenn Nutzername und Passwort mit kompromittierten Daten übereinstimmen. Generelle Warnungen vor schwachen Passwörtern sind nicht das Ziel der Erweiterung.

Google hat durch die Browsererweiterung auch anonyme Statistiken erhoben, und die geben interessante Einblicke in das Nutzerverhalten. Demnach erkannte die Erweiterung bei 1,5 Prozent der Loginversuche kompromittierte Zugangsdaten. Insgesamt erhielt etwa die Hälfte der Nutzer von Password Checkup mindestens eine Warnung.

Es zeigen sich deutliche Unterschiede darin, um was für Zugangsdaten es sich handelt. Bei Streamingdiensten und bei pornografischen Angeboten gab es besonders viele kompromittierte Zugangsdaten. Auf Regierungswebseiten und auf Seiten mit Finanzangeboten waren hingegen vergleichsweise wenig kompromittierte Zugangsdaten im Einsatz.

Nur ein Viertel ändert Passwort nach Warnung

Es zeigte sich, dass viele Nutzer die Passwörter trotzdem nicht ändern, wenn ihnen eine Warnung angezeigt wird. Nur bei etwa einem Viertel der Warnungen führten die Nutzer einen Passwortwechsel durch. Die Autoren des Papers spekulieren, dass das teilweise daran liege, dass Nutzer ihre Passwörter nicht einfach ändern könnten, etwa weil sie Accounts gemeinsam mit Familienmitgliedern nutzten.

Da die Zahlen nur von Nutzern stammen, die die entsprechende Browsererweiterung installiert haben, ist es denkbar, dass es sich hier um eine Auswahl von Personen handelt, die sich bereits besonders sicherheitsbewusst verhalten. Die tatsächlichen Zahlen sehen daher möglicherweise noch schlimmer aus.

Generell gilt, dass man sich vor Password Stuffing am besten schützt, indem man für jede Webseite ein eigenes, individuelles Passwort verwendet. Am praktikabelsten ist das mit einem Passwort-Manager. Anbieter von Services können ihre Nutzer schützen, indem sie die Verwendung von bereits kompromittierten Passwörtern verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 694,07€
  2. (u. a. TV-Wandhalterungen günstiger (u. a. Schwenk- und neigbar für Fernseher bis 80 Zoll für 31...
  3. (u. a. Marvel's Spider-Man: Miles Morales 59,99€, Horizon: Forbidden West für 79,99€, Gran...
  4. (u. a. Spider-Man: Miles Morales für 59,99€, Demon's Souls für 79,99€, Sackboy: A Big...

Christoph123 18. Aug 2019

Und Identifikation erfolgt mal schnell über die email

senf.dazu 17. Aug 2019

.. ein sicherer Token gestützter Account bei Google mit dem man sich überall ganz sicher...

User_x 16. Aug 2019

Wenn das nicht bereits schon so ist. Mal das Lizenzabkommen lesen, ob man etwas so...


Folgen Sie uns
       


    •  /