Original-URL des Artikels: https://www.golem.de/news/password-stuffing-viele-logins-mit-kompromittierten-zugangsdaten-1908-143260.html    Veröffentlicht: 16.08.2019 15:23    Kurz-URL: https://glm.io/143260

Password Stuffing

Viele Logins mit kompromittierten Zugangsdaten

1,5 Prozent aller Logins sind nach Statistiken von Google durch Password Stuffing angreifbar, etwa die Hälfte der Nutzer hat mindestens einen angreifbaren Account. Google erhob diese Statistiken mit einer Browsererweiterung, die kompromittierte Zugangsdaten erkennt und davor warnt.

Google hat auf der Usenix-Konferenz Statistiken zu kompromittierten Passwörtern veröffentlicht und die Details einer Browsererweiterung erläutert, die Nutzer vor Angriffen durch sogenanntes Password Stuffing schützen soll. Dabei zeigt sich: Kompromittierte Zugangsdaten sind ein verbreitetes Problem und selbst nach Warnungen ändern viele Nutzer ihr Passwort nicht.

Die Chrome-Browsererweiterung Password Checkup hat Google im Februar veröffentlicht. Wenn ein Nutzer, der die Erweiterung installiert hat, sich auf einer Webseite einloggt, wird geprüft, ob die Zugangsdaten in einem der vielen Datenleaks stehen, die in der Vergangenheit im Netz aufgetaucht sind.

Zugangsdaten aus geleakten Datenbanken

Von Password Stuffing spricht man, wenn ein Angreifer solche Daten aus Datenleaks nutzt und dann versucht, sich mit den jeweiligen Kombinationen aus Nutzernamen bzw. E-Mail-Adressen und Passwörtern auf anderen Webseiten einzuloggen. Diese Angriffsmethode wurde in den letzten Jahren immer häufiger genutzt, auf einschlägigen Webseiten werden Listen mit Millionen von Zugangsdaten geteilt.

Googles Browsererweiterung nutzt ein Protokoll, bei dem die eingegebenen Daten anonymisiert werden. Die Details sind relativ komplex, sie werden in einem auf der Usenix veröffentlichten wissenschaftlichen Paper erläutert. Die Erweiterung warnt dabei nur, wenn Nutzername und Passwort mit kompromittierten Daten übereinstimmen. Generelle Warnungen vor schwachen Passwörtern sind nicht das Ziel der Erweiterung.

Google hat durch die Browsererweiterung auch anonyme Statistiken erhoben, und die geben interessante Einblicke in das Nutzerverhalten. Demnach erkannte die Erweiterung bei 1,5 Prozent der Loginversuche kompromittierte Zugangsdaten. Insgesamt erhielt etwa die Hälfte der Nutzer von Password Checkup mindestens eine Warnung.

Es zeigen sich deutliche Unterschiede darin, um was für Zugangsdaten es sich handelt. Bei Streamingdiensten und bei pornografischen Angeboten gab es besonders viele kompromittierte Zugangsdaten. Auf Regierungswebseiten und auf Seiten mit Finanzangeboten waren hingegen vergleichsweise wenig kompromittierte Zugangsdaten im Einsatz.

Nur ein Viertel ändert Passwort nach Warnung

Es zeigte sich, dass viele Nutzer die Passwörter trotzdem nicht ändern, wenn ihnen eine Warnung angezeigt wird. Nur bei etwa einem Viertel der Warnungen führten die Nutzer einen Passwortwechsel durch. Die Autoren des Papers spekulieren, dass das teilweise daran liege, dass Nutzer ihre Passwörter nicht einfach ändern könnten, etwa weil sie Accounts gemeinsam mit Familienmitgliedern nutzten.

Da die Zahlen nur von Nutzern stammen, die die entsprechende Browsererweiterung installiert haben, ist es denkbar, dass es sich hier um eine Auswahl von Personen handelt, die sich bereits besonders sicherheitsbewusst verhalten. Die tatsächlichen Zahlen sehen daher möglicherweise noch schlimmer aus.

Generell gilt, dass man sich vor Password Stuffing am besten schützt, indem man für jede Webseite ein eigenes, individuelles Passwort verwendet. Am praktikabelsten ist das mit einem Passwort-Manager. Anbieter von Services können ihre Nutzer schützen, indem sie die Verwendung von bereits kompromittierten Passwörtern verhindern.

 (hab)


Verwandte Artikel:
FIDO: Google führt Logins ohne Passwort ein   
(13.08.2019, https://glm.io/143169 )
Android-Apps: Entwickler ärgert sich über neue Play-Store-Regeln   
(16.08.2019, https://glm.io/143243 )
Password Checkup: Google warnt in Chrome vor gehackten Login-Daten   
(06.02.2019, https://glm.io/139209 )
Google: LED von Nest-Kameras lässt sich nicht mehr ausschalten   
(15.08.2019, https://glm.io/143222 )
Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben   
(12.08.2019, https://glm.io/143151 )

© 1997–2019 Golem.de, https://www.golem.de/