Schrift:
Ansicht Home:
Netzwelt

Test von Internetportalen

Viele Webanbieter erlauben zu schwache Passwörter

Apple hui, Zalando pfui: Bei einem Test der Passwortsicherheit von 43 Webanbietern fiel fast die Hälfte durch. Auch große Portale lassen es zu, dass Kunden unsichere Passwörter für ihre Konten festlegen.

DPA

Passworteingabe (Symbolbild)

Von
Mittwoch, 09.08.2017   12:08 Uhr

Ein einfaches Passwort wie "aaa" für einen Account festzulegen ist keine gute Idee. Das wissen auch die Anbieter - und können Kunden vorgeben, welche Sicherheitskriterien für ihre Passwörter gelten sollen. Ein Passwort wie "aaa" könnte also längst ausgestorben sein.

Eine Untersuchung des US-Unternehmens Dashlane zeigt nun aber: Viele Firmen drücken sich davor, Kunden Passwort-Regeln aufzuerlegen. Etliche große Webanbieter ignorierten bei der Passwortvergabe ihrer Kunden einfache Grundregeln und erlaubten Passwörter, die von Kriminellen leicht zu knacken wären.

Als Negativbeispiele führt Dashlane die Portale Zalando, Amazon, Google, Instagram, LinkedIn, Venmo und Dropbox an. Bei ihnen kann man seinen Account mit Passwörtern sichern, die aus einfachen Buchstabenwiederholungen bestehen. Komplett durchgefallen sind nach Ansicht der Tester Netflix, Pandora, Spotify, Uber und Zalando, die keines ihrer Testkriterien erfüllen.

Insgesamt wurden 43 populäre Webseiten auf ihre Regularien bei der Passwortvergabe und -Nutzung geprüft. Fast die Hälfte davon (48,8 Prozent) erfüllen die von Dashlane definierten Minimalanforderungen nicht. Nur ein Unternehmen, der Domainregistrar GoDaddy, bekam die volle Punktzahl.

Gelobt werden auch Firmen wie Apple, Microsoft und PayPal, die immerhin vier von fünf getesteten Kriterien erfüllen. Das am besten bewertete deutsche Unternehmen ist das Versandhaus Otto, das in drei der fünf getesteten Kategorien bestanden hat.

Für den Test überprüfte Dashlane folgende Kriterien:

Insgesamt konnten die getesteten Webseiten also maximal fünf Punkte bekommen. Als bestanden gilt der Test, wenn mindestens drei Kriterien erfüllt werden.

Was der Untersuchung fehlt

Die Testergebnisse von Dashlane sind allerdings auch selbst noch verbesserungsfähig. So haben die Tester nicht untersucht, wie sicher die Passwörter auf den Servern der Anbieter abgelegt und ob sie dort beispielsweise hinreichend verschlüsselt sind. Das Kopieren von unzureichend verschlüsselten Passwort-Datenbanken ist neben dem automatisierten Erraten von Passwörtern eine der häufigsten Ursachen für Passwort-Leaks.

Zudem haben die Tester nicht beachtet, ob die Übertragung der Passwörter über den als relativ sicher geltenden Standard HTTPS gesichert ist - und ob dasselbe für die Eingabe eines neuen Passworts bei der Widerherstellung eines vergessenen Passworts gilt. Ist die Datenübertragung nicht verschlüsselt, lassen sich Passwörter mit dem entsprechenden Fachwissen im Klartext aus dem Datenstrom kopieren.

Als letztgültige Wahrheit sollte man die Untersuchung also nicht ansehen. Doch sie zeigt deutlich, dass etliche Onlineanbieter noch einiges besser machen können, um ihre Kunden zur Nutzung sichererer Passwörter zu bewegen.

So lange das noch nicht gängige Praxis ist, sollten Sie sich an den Passwort-Tipps orientieren, die wir im Folgenden zusammengestellt haben:

Fünf Tipps für bessere Passwörter

Verabschieden Sie sich von "123456"
Wenn bei einem Anbieter Passwörter geklaut werden, sind diese zum Glück oft verschlüsselt. Das hilft allerdings wenig, wenn das Passwort einfach zu erraten ist. "123456", "Passwort" oder "geheim" sind immer noch beliebt, aber denkbar schlechte Codewörter. Würfeln Sie lieber ein paar Wörter zusammen, mit mehr als zwölf Zeichen, und ersetzen Sie mehrere Buchstaben durch Zahlen und Sonderzeichen. Dann tragen Sie im Kalender noch ein, dass Sie dieses Passwort in drei Monaten durch ein neues ersetzen.
Ein Passwort nur für E-Mails
Eigentlich muss man sich für jeden Dienst ein neues Passwort ausdenken. In der Praxis nervt das allerdings dermaßen, dass man es schon mal vergisst. Aber zumindest für Ihre E-Mails sollten Sie sich ein sicheres Passwort ausdenken, das Sie wirklich nur dafür verwenden. Denn bei vielen Diensten kann man sein Passwort zurücksetzen - und bekommt dann eine E-Mail mit einem Link geschickt, mit dem man sich ein neues Passwort geben kann. Wer in Ihrem E-Mail-Account ist, kann so viele andere Accounts übernehmen. Das sollten Sie verhindern. Noch besser sind sogenannte Passwortmanager. Diese Programme kümmern sich automatisch darum, dass jeder Dienst ein eigenes, sicheres Passwort erhält. Experten empfehlen zum Beispiel die kostenlose Open-Source-Software Keepass. Aber auch der vertrauen Sie nicht alle Passwörter an, falls doch mal etwas schiefgeht: Passwörter für E-Mail-Konten speichern Sie nur im Gedächtnis ab. Oder auf Papier.
Nutzen Sie Zwei-Faktor-Authentifizierung
Etwas, was man wissen muss, und etwas, das man bei sich hat: Nach diesem Prinzip funktioniert die Zwei-Faktor-Authentifizierung. Sie kennen das vielleicht schon vom Onlinebanking, wo man neben dem Passwort noch einen Code braucht, die sogenannte Tan, die man von einem Zettel abliest oder per SMS geschickt bekommt. Einige Anbieter bieten so eine doppelte Anmeldung an, zum Beispiel Apple, Google, PayPal und Facebook. Kommt hier ein Passwort abhanden, ist das ärgerlich, aber nicht bedrohlich. Eine konkrete Anleitung finden Sie hier.
Benutzen Sie Ihre Passwörter nicht doppelt
Wird nämlich ein Dienst gehackt, und damit womöglich Ihr Passwort bekannt, kann man Ihnen sonst auch woanders Daten abluchsen.
Vergessen Sie Ihr erstes Haustier
Für den Fall, dass man mal ein Passwort vergisst, schlagen viele Anbieter eine sogenannte Sicherheitsfrage vor. Man verrät dem Dienst eine Information, die nur man selbst kennt. Allerdings lassen sich die Antworten auf häufig vorgeschlagene Fragen nach Wohnort, Haustier und Mädchenname der Mutter oft einfach erraten. Also sollte man sich ein Geheimnis überlegen, dessen Antwort man tatsächlich nur selbst kennt - und die Antwort auch noch verrätseln. Eine konkrete Anleitung finden Sie hier.
insgesamt 48 Beiträge
Dyl Ulenspegel 09.08.2017
1.
Die meine Meinung nach einfachste und beste Methode, ein Passwort zu generieren: man denkt sich einen einfachen Satz aus, zB: "Ich esse samstags gerne 2 Currywurst mit Pommes und Mayo" Dann nimmt man einfach die [...]
Die meine Meinung nach einfachste und beste Methode, ein Passwort zu generieren: man denkt sich einen einfachen Satz aus, zB: "Ich esse samstags gerne 2 Currywurst mit Pommes und Mayo" Dann nimmt man einfach die Anfangsbuchstaben als Passwort: "Iesg2CmP&m". Man muss sich nichts kompliziertes merken, sondern nur diesen Satz; und kann aus diesem jederzeit das Passwort bilden, welches sehr sicher ist, da es garantiert in keinem Dictionary (Passwortlisten) vorkommt.
hanfiey 09.08.2017
2. Passwort Sicherheit
Ein sicheres Passwort besteht in der Regel aus Zahlen, Buchstaben und Sonderzeichen, wobei groß und Kleinschreibung vorhanden sein sollte. Nicht jedes Passwort muss ultrasicher sein, bei einer Anmeldung nur zu Testzwecken reicht [...]
Ein sicheres Passwort besteht in der Regel aus Zahlen, Buchstaben und Sonderzeichen, wobei groß und Kleinschreibung vorhanden sein sollte. Nicht jedes Passwort muss ultrasicher sein, bei einer Anmeldung nur zu Testzwecken reicht ein einfaches aus, muss aber sicher sein sobald das Angebot auch genutzt wird oder mit dem Login Daten missbraucht werden könnten. Bei Online Banking oder ähnlichem sollte das Passwort regelmäßig gewechselt werden. Ich habe so ein kleines Büchlein in dem alle wichtigen Passwörter stehen, dieses ist gut versteckt (aber nicht zu gut)
Oskar ist der Beste 09.08.2017
3. das ist auch gut so...
...wieso sollen die Anbieter darüber eine Kontrolle haben, was für ein password jemand nutzt...das eigentliche Problem mit Passwörtern ist, daß man welche haben muß, an die man sich auch erinnern kann, nicht jeder ist ein IT [...]
...wieso sollen die Anbieter darüber eine Kontrolle haben, was für ein password jemand nutzt...das eigentliche Problem mit Passwörtern ist, daß man welche haben muß, an die man sich auch erinnern kann, nicht jeder ist ein IT Nerd und kann sich eine "Qa1!!gfruZZälö§§$" merken.
idleberg 09.08.2017
4. Maximale Länge
Mich überrascht auch immer wieder, wie viele Webdienste über zu lange Passwörter beschweren. Gerade in Zeiten von Passwortmanagern eher unverständlich.
Mich überrascht auch immer wieder, wie viele Webdienste über zu lange Passwörter beschweren. Gerade in Zeiten von Passwortmanagern eher unverständlich.
FerrisBueller 09.08.2017
5.
Das mit dem Passwort-Wechseln alle 3 Monate bringt nicht den geringsten Sicherheitsgewinn und kostet nur Arbeit und bringt keinen Nutzen. Entweder ist ein Passwort sicher oder nicht. Ich weiß gar nicht, warum irgendwelche [...]
Das mit dem Passwort-Wechseln alle 3 Monate bringt nicht den geringsten Sicherheitsgewinn und kostet nur Arbeit und bringt keinen Nutzen. Entweder ist ein Passwort sicher oder nicht. Ich weiß gar nicht, warum irgendwelche "Sicherheitsexperten" das immer noch empfehlen. Bei den Sicherheitsabfragen hilft eine einfache Taktik: Reproduzierbar Lügen! Dann ist man bei der Anmeldung eben mal die Tochter von Kermit Frosch und Piggy Frosch (geborene Schwein) und hatte als Kind eine pink gestreifte Kakerlake namens Waldemar als Haustier. So lange man damit nicht gerade auf Facebook prahlt, ist die Sicherheitsabfrage so auch absolut sicher.

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP