Werbung
Während der letzten Wochen kam das allzeit beliebte Thema Sicherheit im Internet kaum zu kurz. Neben dem großflächigen Identitätsdiebstahl, der vom BSI aufgedeckt und kommuniziert wurde, rangierten auch Statistiken über die "unsichersten", aber doch großer Beliebtheit erfreuenden Passwörter unter den Top-Themen. Auch bei Amazon schien man bis vor wenigen Monaten noch nicht sonderlich auf einen hohen Sicherheitsstandard zu achten, wie eine Meldung vom August 2013 belegt. Dass jeder etwas von diesem Kuchenstück haben möchte, zeigen die zahlreichen Berichte, Statistiken und Infografiken.
Auch Dashlane, Anbieter einer Passwort-Verwaltungssoftware für alle gängigen Browser sowie iOS und Android, hat seine eigene Studie zum Thema Sicherheit veröffentlicht. So hat man in dem 6-seitigen Paper Online-Dienste auf ihre Passwortsicherheit hin getestet. Die entstandenen Listen zeigen, dass selbst Größen wie Amazon, Macy's, Groupon oder Hulu laut Dashlane keine ausreichende Sicherheit bieten, wohingegen Apple und Microsoft an der Spitze des Feldes liegen.
Amazon hat "eigene Sicherheitsmaßnahmen"
In einem aktuellen Bericht der "Welt" wurde anlässlich des Identitätsdiebstahl auch etwas genauer hingesehen. Gerade Amazon meldet sich hier aber zu Wort und versucht mögliche Bedenken aus dem Weg zu räumen. So habe man "Maßnahmen getroffen, die es [ihnen] ermöglichen, potenzielle Fremdzugriffe zu erkennen und zu verhindern". Weiterhin gibt man an, Ware nicht an neu eingegebene Adressen zu senden, ohne, dass die Zahlungsdaten erneut eingegeben werden müssen. Unregelmäßigkeiten erkenne man, so das Unternehmen, und informiere in diesem Zuge den betroffenen Kunden.
Wichtigste Erkenntnisse der Dashlane-Studie
Natürlich hat man in der Studie auch einige Kernaussagen zu treffen. Die wichtigsten Aussagen, die man dem Paper entnehmen kann, haben wir nachfolgend zusammengefasst:
- Es wurden die Top 100 E-Commerce Dienste in den USA getestet
- 55 % akzeptieren Passwörter wie "123456" oder "password"
- 51 % haben keinen einfachen Schutz gegen Passwort-Klau (Login wird auch nach 10 fehlerhaften Versuchen nicht gesperrt)
- 64 % haben fragwürdige Passwortrichtlinien
- 61 % geben keine Hinweise für die Erstellung sicherer Passwörter
- 93 % geben keinen Hinweis auf die Stärke des eingegebenen Passworts
- 10 % der Dienste liegen über den von Dashlane angegebenen Richtlinien für "gute Passwörter"
- 73 % erlauben Passwörter mit 6 oder weniger Zeichen
- 62 % setzen keine Buchstaben-Zahlen Kombination voraus
- 8 von 100 Seiten versenden das gewählte Passwort noch immer im Klartext in einer E-Mail (darunter auch Toys "R" Us)
Wer prüfen möchte, wie sicher der von ihm genutzte Online-Retailer ist, kann dies direkt bei Dashlane tun, die eine entsprechende PDF-Datei mit der Liste aller 100 getesteten Seiten verfügbar gemacht haben. Dort gibt man unter anderem auch den Hinweis, wie die schlecht getesteten E-Commerce-Dienste ihre Standards verbessern können.
So schützt man sich und seine Kunden laut Dashlane
Einige einfache Methoden sollen schon helfen, um die Sicherheit drastisch zu erhöhen. Dazu gehören:
- Passwort-Minimallänge: 8 Zeichen
- Kombination aus Buchstaben in Groß- und Kleinschreibung, Zahlen und Symbolen
- Zugang nach 4 fehlgeschlagenen Logins blocken
- Usern schon bei Account-Erstellung Hinweise auf sichere Passwörter geben
- Passwort-Sicherheit bei der Eingabe anzeigen ("password strength")
Bewertungskriterien
Dashlane hat dabei einige Kriterien festgelegt mit denen man die einzelnen Seiten bewertet hat:
- Wie lang muss das Passwort mindestens sein?
- Ist das Passwort während der Eingabe sichtbar?
- Gibt es Hinweise, wie man ein sicheres Kennwort erstellt?
- Ist ein alphanumerisches oder eines mit Groß- und Kleinschreibung Pflicht?
- Wird die Stärke des Passworts während der Eingabe visualisiert?
- Kommt das Passwort in der Bestätigungsemail im Klartext? Oder werden sogar Login und Passwort gleichzeitig und im Klartext versendet?
Weiterhin wurden typische Passwörter, wie sie erst vor kurzem aufgetaucht sind, getestet. Auch das Ändern des Kennwortes wurde überprüft. Gibt es eine Bestätigungsmail? Kann das neue Passwort gleich dem alten sein? Zeigt die Bestätigungsmail das neue Passwort im Klartext oder wird sogar den Login mit angezeigt? Wie oft kann man sich mit falschem Passwort einloggen?
Für alle Fragen vergab Dashlane entsprechend Punkte, sodass man die Top-100-Liste ordentlich durchgemischt hat. Wer sich für die genauen Ergebnisse interessiert: Die komplette Studie inklusive Grafiken, Statistiken und Vorgehen ist ebenfalls öffentlich zugänglich gemacht worden und findet sich unter: www.dashlane.com/securityroundup.
Es gibt auch gute Beispiele
Natürlich sind nicht nur schwarze Schafe unterwegs. Viele Dienste (unter anderem PayPal, Google, Microsoft) arbeiten an der Sicherheit ihrer Dienste und führen die 2-Faktor-Authentifizierung ein. Damit muss der Nutzer nicht nur das korrekte Passwort, sondern auch ein Mobiltelefon zur Hand haben, auf dem entweder eine SMS mit einem Code ankommt oder eine App entsprechende Codes generiert. Dennoch gibt es immer wieder Negativ-Schlagzeilen in dieser Richtung, wie den Adobe-Hack im letzten Jahr, bei dem 2,9 Millionen Kundendaten abhandengekommen sein sollen. Aber auch die 2-Faktor-Authentifizierung bietet keine vollständige Sicherheit, wie das Einführungs-Debakel des Kurznachrichtendienstes Twitter Mitte letzten Jahres zeigte.
Am Ende sind es aber doch die Nutzer, die für ein sicheres Passwort verantwortlich sind. Und was ist bequemer, als für jeden Dienst dasselbe Passwort und dieselbe E-Mail zu nutzen? Abhilfe können hier aber sogenannte Passwort-Safes, wie Dashlane, KeePass oder auch 1Password sie anbieten, schaffen.
Update
Wer sich weiter über sichere Passwörter informieren will, kann dies auch bei "The Safe Shop" tun, die neben einem langen Blogeintrag ebenfalls eine Infografik zur Erstellung sicherer Passwörter bereithalten. Was hält unsere Community von der Infografik und was sind eure Tipps für ein gutes Passwort?
