Statistik über Passwortsicherheit bei Online-Diensten - und was dagegen getan wird (Update)

[mRAC [HWLUXX]]

Statistik über Passwortsicherheit bei Online-Diensten - und was dagegen getan wird (Update)

<p><img src="/images/stories/logos-2013/hardwareluxx_news_new.jpg" width="100" height="100" alt="hardwareluxx news new" style="margin: 10px; float: left;" />Während der letzten Wochen kam das allzeit beliebte Thema Sicherheit im Internet kaum zu kurz. Neben dem großflächigen Identitätsdiebstahl, <a href="index.php/news/allgemein/wirtschaft/29523-kritik-am-bsi-aufgrund-spaeter-warnung-vor-mail-adressen-diebstahl.html">der vom BSI aufgedeckt und kommuniziert wurde</a>, rangierten auch Statistiken über die <a href="index.php/news/allgemein/wirtschaft/29497-schlechte-passwoerter-q123456q-sehr-beliebt.html">"unsichersten", aber doch großer Beliebtheit erfreuenden Passwörter </a>unter den Top-Themen. Auch bei Amazon schien man bis vor wenigen Monaten noch nicht sonderlich auf einen hohen...<br /><br /><a href="/index.php/news/allgemein/wirtschaft/29586-statistik-ueber-passwortsicherheit-bei-online-diensten-und-was-dagegen-getan-wird.html" style="font-weight:bold;">... weiterlesen</a></p>

 

[pescA]

Was ein Hype...
Es gibt halt viele Seiten, wo ich ABSICHTLICH schwache Passwörter benutze. Man muss sich ja inzwischen für jeden Scheiß nen Account machen, sei es um überhaupt mit einem Hersteller zwecks Garantie reden zu dürfen oder sogar für Treiberdownloads. Dass ich da nicht jedes Mal ein super geheimes Passwort aus dem Ärmel ziehe, aus welchem keine Rückschlüsse auf meine anderen Passwörter möglich sein könne, ist ja klar.

Ach ja, Amazon: Es gab doch vor kurzem die Meldung, dass sie vom Ding her die Passworteingabe ganz abzuschaffen könnten, da sie den Nutzer anhand anderer Informationen sowieso sicherer identifizieren können (beginnend bei der IP über Browserplugins und ihre Settings bis hin zum Nutzerverhalten).

 

[Voigt]

Ich finde es aber auch immer eine Gängelung und sehr nervig wenn ich angehalten werden für ein Passwort Buchstaben und Zahlen zu verwenden. Dabei wäre es doch viel sicherer, stattdessen mindestens 10 Zeichen lange Passwörter zu verlangen dafür aber nur Klein und Großbuchstaben, da hat man schon 59 Zeichen (Im Deutschen, ansonsten nur 52). Die Zehn Zeichen mit den Ziffern machts jetzt auch nicht unbedingt fett, genauso Sonderzeichen, da diese ja meist auch nur aus einem Pool von so acht möglichen Zeichen genommen werden.

 

[pointX]

Dass schwache Passwörter zugelassen werden sehe ich jetzt nicht als Problem.
Da würde ich mich eher aufregen, wenn jede noch so unwichtige Seite ein komplexes PW verlangt. siehe 9GAG - Password

Bei "wichtigen" Seiten, wo es z.B. um (Geld)Geschäfte geht sieht es natürlich anders aus.
Da hier E-Commerce Dienste getestet wurden, sind die Daten schon etwas beunruhigend.

Was mich gerade aber viel mehr irritiert, ist dass angeblich 51 % keinen Bruteforce-Schutz haben (nach x fehlversuchen IP sperren). Das ist in höchstem Maße unverantwortlich.
Wer programmiert heutzutage bitteschön noch Login-Systeme ohne so einen Schutz ?

Und dass es tatsächlich noch spezialisten gibt, die das Passwort per Mail mitversenden oder sogar ungehasht in Datenbanken abspeichern, darüber kann man nur den Kopf schütteln.

 

[DragoMuseweni]

"Es wurden die Top 100 E-Commerce Dienste in den USA getestet"

Und wie siehts in DE aus was interessiert mich die USA will lieber wissen wie es bei uns mit den Shops oder Seiten so ist.

 

[Novastar]

Was mich gerade aber viel mehr irritiert, ist dass angeblich 51 % keinen Bruteforce-Schutz haben (nach x fehlversuchen IP sperren). Das ist in höchstem Maße unverantwortlich.

Nein, ist es nicht unbedingt. ^^
Dazu kommen noch ein paar Sachen, die das ganze dennoch so "sicher" machen: Wenn nur maximal 1000 Versuche pro Sekunde möglich sind, ist es recht egal, wie oft man testen kann. Außerdem muss ""Mehr als 10 Versuche" ja nicht heißen, dass auch mehr als 20 oder so möglich sind. Hinzu kommt, dass es noch andere Möglichkeiten gibt, dem Angreifer das Leben schwer zu machen.
Im Grunde ist die Sache also nicht per se unsicher, nur wenn der Rest auch scheiße ist. Beispielsweise braucht man bei 1000 Versuchen pro Sekunde schon ca. über 3 Jahre für ein Passwort mit 8 Kleinbuchstaben.

Was mir viel eher auf den Senkel geht, ist die Bestimmung über manche Zeichen. "Bitte mindestens 1 Sonderzeichen und 1 Ziffer und 1 Großbuchstaben." - eine zufällige Abfolge von 12 Kleinbuchstaben ist bei 1 Milliarde Versuchen pro Sekunde in der Mehrheit der Fälle auch nach einem Jahr nicht geknackt. Diese Sicherheit reicht mir, wenn die Seite nicht wichtig ist. Noch viel mehr regen mich aber Bestimmungen auf, die mir bestimmte Zeichen verbieten oder mich auf eine bestimmte Maximalanzahl an Zeichen beschränken. Für wichtige Dinge nutze ich Keepass und lass mir dort ein über 20-stelliges Passwort mit allen möglichen Zeichen generieren. Das mit Bruteforce knacken zu wollen, ist ein reichlich unsinniges Unterfangen.

Das Passwort im Klartext per Mail zu übersenden, ist aber tatsächlich in fast allen Fällen reichlich hirnrissig. Bei einer verschlüsselten Mail wäre es vielleicht noch okay, obwohl ich es auch da nicht wirklich empfehlen würde.


Leider gibt es keine Möglichkeit, die Sache für alle sinnvoll zu machen. Zu viele Beschränkungen - der Benutzer wird genervt. Zu wenig Beschränkungen - der Benutzer verwendet ein Standardpasswort. Die Idee, einfach mehrere Wörter zu nutzen, ist dabei recht sinnvoll. 4 Wörter aus einer Menge von 4000 Wörtern wären bereits ein Anfang. Dabei ist es wiederum einfacher zu merken, als ein ähnlich starkes Passwort, welches aus zufälligen Zeichen besteht. "ente tornado mandala suppe" << Je seltsamer, desto besser, allerdings nicht so komisch, dass man es sich nicht mehr merken kann. Verschiedene Sprachen zu mischen bringt auch einiges.

 

[pointX]

Nein, ist es nicht unbedingt.(..) bei 1000 Versuchen pro Sekunde schon ca. über 3 Jahre für ein Passwort mit 8 Kleinbuchstaben.

Das gilt für zufällige Buchstabenkombinationen, nicht aber für Wörter, da hier die Möglichkeiten sehr viel begrenzer sind (10^5 Wortschatz Standardsprache Deutsch vs. 10^23 bei 26 kleinbuchstaben).

4 Wörter aus einer Menge von 4000 Wörtern (..) "ente tornado mandala suppe"

Dein PW enthält schon 26 Zeichen, das wäre mir viel zu viel zum tippen. Es läuft also eher auf 1 langes oder 2-3 kurze Wörter hinaus.
Das Problem ist generell die Vorhersehbarkeit einer Menschenmasse. Ein paar werden komplexe Passwörter verwenden, die meisten werden sich aber unterhalb von 10^5-10^7 Möglichkeiten bewegen, auch wenn man 3 Wörter zusammensetzt.

Und genau da setzen Wörterbuchattaken an. Leichtsinn: 10.000 Passwörter knacken 98,1 Prozent aller Konten - News - CHIP

6,000,000 unique username/password combos (..)
14% have a password from the top 10 passwords (..) 40% have a password from the top 100 passwords (..) 10,000 most common passwords represents 99.8% of all user passwords

Die Wahrscheinlichkeit von >50% eines Treffers liegt bei den Top10 damit ab 46 Versuchen, bei den Top100 ab 135 Versuche, Top 10.000 bei 1116 Versuchen.

Bei wichtigen Konten kann man die Top100 vllt. vernachlässigen, da mit diesen PWs hoffentlich keiner bei wichtigen Seiten unterwegs ist.
Mit den Top 10k / 100k dürfte man aber rechnen können.

Ich denke das veranschaulicht ganz gut, warum man spätestens ab 10, besser ab 3 Fehlversuchen weitere Login-Versuche sperren sollte.