• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
DeLorean baut ein autonom fliegendes Auto

von Carsten Drees

Next Story
Gadgets, Tipps & Tricks für einen produktiveren Ar ...

von Nicole

Sichere und unsichere Passwörter

Passwörter, immer wieder Passwörter. Während das NIST in den USA neue Empfehlungen in Sachen Passwörtern heraus gibt und der Urheber der früheren Empfehlung diese teilweise bereuen soll, hat man sich bei Dashlane einmal angeschaut, wie gut die Nutzer verschiedener Websites bei der Wahl eines sicheren Passworts unterstützt werden.

von Carsten Dobschat am 14. August 2017
  • Email
  • @dobschat

Die gute Nachricht für viele gleich zu Beginn: Die Empfehlung des NIST, Passwörter alle 90 Tage zu ändern, ist Geschichte. Und hoffentlich verschwindet dieser Zwang dann auch möglichst bald überall. Denn es gibt wohl keine Passwortregel, die für mehr Unmut, Frust und unproduktive Arbeitszeit bei Anwendern und Administratoren gesorgt hat, als die regelmäßige Aufforderung, doch bitte das Passwort zu ändern. Diese Empfehlung gehört zu denen, die Bill Burr, der Autor der früheren NIST-Empfehlungen, heute bereut.

Wie sieht ein sicheres Passwort aus?

Auch die Vorgabe, dass ein Passwort neben Groß- auch Kleinbuchstaben, Ziffern und Sonderzeichen enthalten sollte, gehört nicht mehr zur offiziellen Empfehlung in den USA. Stattdessen wird empfohlen ein langes Passwort aus verschiedenen Wörtern zu nutzen, die am besten durch Leerzeichen getrennt werden sollen. Denn mit Leerzeichen hätten viele Skripte, die Passwörter zu knacken versuchen, so ihre Probleme. Die Wörter sollen zumindest nicht alle in Wörterbüchern vorkommen, also absichtliche Rechtschreibfehler oder das Schreiben in einem Dialekt können hier helfen. Gerne darf es auch ein ganzer Satz sein, so lange er nicht aus einem Buch oder einem anderen öffentlichen Dokument abgeschrieben wurde.

Es ist zwar keine Frage eines sicheren Passworts, aber eine Frage der sicheren Authentifizierung: Nicht nur das NIST empfiehlt, dass im Idealfall ein zusätzlicher Faktor genutzt wird. Zum Beispiel ein berechneter oder ein per SMS verschickter Code oder man muss den Login-Versuch auf einem anderen Gerät bestätigen. Wichtig ist hier logischerweise, dass ein zweiter Kanal verwendet wird. Kombiniert man nun ein gutes Passwort mit so einem zweiten Faktor, dann ist die Sache schon recht sicher, aber natürlich niemals 100%ig sicher.

Reihen von Wörtern statt einem zufälligen Passwort ergeben als Empfehlung auch deutlich mehr Sinn – zumindest, wenn man sich ein wenig mit dem Thema beschäftigen musste. Denn diese zufälligen Passwörter haben einen entscheidenden Nachteil: Man kann sich nur eine begrenzte Zahl dieser Passwörter merken, wenn überhaupt auch nur eines. Während die einen dann Passwort-Manager einsetzen, greifen andere zum Post-It, das im schlimmsten Fall direkt an das Display gehängt werden, andere verstecken es wenigstens noch unter der Tastatur. Das ewige Dilemma mit Passwörtern: Einerseits soll man sie nicht so einfach erraten oder per Brute-Force-Attacke knacken können, andererseits soll der Nutzer sie sich auch merken können (wenn er denn keinen Passwort-Manager einsetzt).

Kleine Geschichten der IT-Unsicherheit

Passwortsicherheit bei Anbietern

Brute-Force-Attacken sind ein Stichwort, das zur Untersuchung von Dashlane führt. Der Anbieter eines Passwortmanagers hat sich 43 Websites für Verbraucher und 11 Sites, die sich an Unternehmen richten, angeschaut. Getestet wurde, wie es dort mit der Passwortsicherheit gehandhabt wird. Dabei wurden fünf Kriterien abgefragt:

  1. Passwortlänge: Müssen Passwörter mindestens acht Zeichen lang sein?
  2. Komplexität: Werden Passwörter abgewiesen, die nur aus einem wiederholten Zeichen bestehen?
  3. Anzeige der Passwortstärke: Gibt es eine optische Anzeige zur Stärke des gewählten Passworts, zum Beispiel über entsprechend farbige Balken?
  4. Brute-Force-Schutz: Gibt es eine zusätzliche Barriere, spätestens nach 10 falschen Passworteingaben?
  5. Zwei-Faktor-Authentifizierung: Wird eine solche angeboten?

Wird im Test eine Frage mit „Ja“ beantwortet, dann gibt es einen Punkt, bei einem „Nein“ eben keinen Punkt. Daraus ergibt sich eine maximale Punktzahl von fünf Punkten.

Um es kurz zu machen: Das Ergebnis ist erschreckend, vor allem angesichts der vielen Passwort-Leaks, die es in den letzten Jahren gab. Gerade mal drei der insgesamt 44 getestet Websites und Dienste erreichten die volle Punktzahl: GoDaddy, Stripe und QuickBooks. Immerhin noch vier Punkte schafften unter anderem Apple, Microsoft, Paypal, Tumblr und Basecamp. Mit drei von fünf Punkten schaffte Otto als einzige deutsche Website im Test nicht durchzufallen, gleichauf mit Google, Facebook, Slack, WordPress, GitHub und anderen. Komplett durchgefallen sind bei diesem Test Netflix, Pandora, Spotify, Uber und Zalando.

Die deutschen Websites im „Password Power Ranking 2017“ von Dashlane

Insgesamt ist das Ergebnis eher unschön, schließlich sind die fünf gewählten Kriterien keine exotischen Sicherheitsfeatures, es handelt sich hier um teilweise mehrere Jahrzehnte alte Empfehlungen zur Passwortsicherheit, die von den getesteten Sites und Apps einfach ignoriert werden. Erschreckend ist auch, dass es heute noch Dienste gibt, die es ihren Nutzern erlauben „Passwörter“ zu wählen, die aus der simplen Wiederholung eines einzelnen Zeichens bestehen, darunter durchaus große Dienste, bei denen nicht selten auch sensiblere Daten abgelegt werden wie Amazon, Google oder Dropbox.

Das internationale Ranking

Wir dürfen also davon ausgehen, dass uns das Thema Passwörter und Passwortsicherheit noch eine ganze Weile beschäftigen wird. Wenn so viele Unternehmen bereits bei so grundlegenden Anforderungen an sichere Passwörter durchfallen, dann will man sich nicht vorstellen, was bei härteren Testbedingungen und einem größer angelegten Test heraus kommen könnte. So gibt es heute immer noch Dienste, die Nutzerpasswörter im Klartext speichern.

 

Artikelbild von HypnoArt via Pixabay

Heiss diskutiert
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
von Michael Sprick
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
von Felix Baumann
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
von Michael Sprick
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
WhatsApp & die Schattenprofile von Facebook – Wie ihr euch vor Tracking schützen könnt
von Michael Sprick
WhatsApp & die Schattenprofile von Facebook – Wie ihr euch vor Tracking schützen könnt
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Security
Ähnliche Artikel
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
19. Januar 2021
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
18. Dezember 2020
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
16. November 2020
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
21. September 2020
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
von Michael Sprick
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
von Felix Baumann
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
von Michael Sprick
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
WhatsApp & die Schattenprofile von Facebook – Wie ihr euch vor Tracking schützen könnt
von Michael Sprick
WhatsApp & die Schattenprofile von Facebook – Wie ihr euch vor Tracking schützen könnt
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten