Passwort-Security im Test

Diese Webseiten gefährden Ihre Sicherheit

22.03.2018 von Florian Maier
Um die Passwort-Sicherheit populärer Web-Portale ist es gut bestellt. Sollte man meinen.

Sicherheitsanbieter Dashlane kommt in einer aktuellen Studie allerdings zu gänzlich anderen Erkenntnissen. Im Rahmen des "Password Power Ranking 2017" haben die Security-Experten elf gut besuchte B2B-Portale auf Passwort-Schwachstellen abgeklopft. Darüber hinaus wurden auch 43 der (international) meistgenutzten Consumer-Webseiten und -Apps unter die Lupe genommen - darunter auch sechs deutsche Portale, nämlich die von Otto, Tchibo, Cyberport, dm, Notebooksbilliger und Zalando. Die Ergebnisse sind niederschmetternd - nicht nur aus deutscher Perspektive.

Um die Passwort-Sicherheit vieler populärer B2B- und B2C-Webportale ist es alles andere als gut bestellt - wie Dashlane mit einer Studie belegen will.
Foto: wk1003mike - shutterstock.com

Dashlanes Kriterien für ein sicheres Passwort

Auf folgende fünf Kriterien der Passwort-Sicherheit prüfte Dashlane die Web-Angebote der Unternehmen:

  1. Acht Zeichen: Sind Passwörter mit weniger als acht Zeichen möglich?

  2. Passwort-Komposition: Sind Kombinationen wie "aaaaa" oder "11111" bei der Erstellung möglich?

  3. Anzeige der Passwortstärke: Informiert die Webseite den User ausreichend über das Sicherheitsniveau seines Passworts?

  4. Brute-Force-Angriff: Hält der Account mehr als zehn Falscheingaben ohne Aktivierung zusätzlicher Maßnahmen stand?

  5. Zwei- oder Multi-Faktor-Authentifizierung: Wird diese Option angeboten?

Pro Kriterium war dabei ein Punkt zu vergeben. Um den Test zu bestehen, waren drei Punkte nötig - die Mindestanforderungen an die Sicherheit von Passwörtern somit erfüllt. Um es schon einmal vorweg zu nehmen: Im Consumer-Bereich fielen 22 Portale sang- und klanglos durch. Wenig besser lief es auch im B2B-Umfeld mit vier "Durchfallern".

B2B-Portale im Passwort-Sicherheitstest

Hier die getesteten B2B-Webportale und ihre Ergebnisse im Überblick:

Dashlane Password Power Ranking 2017 - B2B

Kriterium 1

Kriterium 2

Kriterium 3

Kriterium 4

Kriterium 5

Ergebnis

Amazon Web Services

x

1

Basecamp

x

x

x

x

4

DocuSign

x

x

2

Freshbooks

x

1

GitHub

x

x

x

3

MailChimp

x

x

x

x

4

mLab (MongoDB)

x

x

2

QuickBooks

x

x

x

x

x

5

Salesforce

x

x

x

x

4

SendGrid

x

x

x

3

Stripe

x

x

x

x

x

5

Durchgefallen sind die Portale von Amazon Web Services (AWS), DocuSign, Freshbooks und mLab - sie alle erfüllen (nach Definition von Dashlane) nicht die Mindestanforderungen an die Sicherheit von Passwörtern. Insbesondere das mangelhafte Abschneiden von AWS ist dabei überraschend.

Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.

Positiv hervortun können sich hingegen der Online-Zahlungsdienst Stripe und das Buchhaltungs-Portal QuickBooks - beide erreichten jeweils die Höchstpunktzahl.

Consumer-Websites mit Passwort-Schwächen

Natürlich wollen wir Ihnen auch die getesteten Consumer-Webseiten nicht vorenthalten. Hier die Auswertung:

Dashlane Password Power Ranking 2017 - B2C

Kriterium 1

Kriterium 2

Kriterium 3

Kriterium 4

Kriterium 5

Ergebnis

Airbnb

x

x

x

3

Amazon

x

x

2

Apple

x

x

x

x

4

Best Buy

x

x

x

x

4

Cyberport

x

x

2

dm

x

1

Dropbox

x

1

eBay

x

x

2

Evernote

x

1

Facebook

x

x

x

3

GoDaddy

x

x

x

x

x

5

Google

x

x

x

3

The Home Depot

x

x

x

x

4

Instagram

x

1

LinkedIn

x

x

2

Macy's

x

1

Microsoft (Live, Outlook)

x

x

x

x

4

Netflix

0

Notebooksbilliger.de

x

1

Otto

x

x

x

3

Pandora

0

PayPal

x

x

x

x

4

Pinterest

0

Reddit

x

x

x

3

Slack

x

x

x

3

Skype

x

x

x

x

4

Snapchat

x

x

x

3

SoundCloud

x

1

Spotify

0

Staples

x

x

x

3

Starbucks

x

x

2

Target

x

x

x

3

Tchibo

x

x

2

Toys'R'Us

x

x

x

x

4

Tumblr

x

x

x

x

4

Twitch

x

x

x

3

Twitter

x

x

2

Uber

0

Venmo

x

x

1

Walmart

x

1

Wordpress

x

x

x

3

Yahoo

x

x

x

3

Zalando

0

Aus deutscher Sicht erschreckend: Die Nullnummer von Zalando. Auch die Drogeriekette dm, der Elektronik-Händler Cyberport und Notebooksbilliger sowie das Online-Angebot von Tchibo fielen in Sachen Passwort-Sicherheit durch. Einzig Otto.de bestand unter den deutschen B2C-Webportalen mit drei Punkten.

Zero Points lieferten auch die populären Dienste Netflix, Uber und Spotify. Weitere prominente Passwort-"Sitzenbleiber": Amazon, eBay, LinkedIn, Twitter, Dropbox, Evernote und Instagram. Bedauernswert ist dabei insbesondere, dass das eine oder andere Portal, das bei diesem Passwort-Security-Test nicht die Mindestanforderungen erfüllt, bereits in der Vergangenheit zum Opfer größerer Hackerangriffe wurde. Die Anbieter scheinen also aus den Fehlern der Vergangenheit nichts zu lernen.

Pfiffige Passwort-Tools
LastPass
LastPass verstaut alle Ihre Passwörter in einem ver- schlüsselten Online-Account und macht diese mithilfe von Browserplugins weltweit verfügbar.
Keepass - Download
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter und Zugangsdaten in einer verschlüsselten Datenbank.
Password Safe and Repository - Download
Die Freeware Passwort Safe and Repository verwahrt komfortabel und sicher alle Ihre Passwörter.
My Lockbox
My Lockbox sichert Ihre sensiblen Daten, indem es Ordner und Verzeichnisse per Passwort absichert und vor fremden Zugriffen versteckt.
Sticky Password Free - Download
Sticky Password ist ein Passwort-Manager, der Kennwörter generiert und speichert. Er bietet auch Schutz vor Phishing.
Alle meine Passworte - Download
Alle meine Passworte katalogisiert und verwaltet Passwörter aller Art, wobei Sie die sensiblen Dateien mit unterschiedlichen Methoden verschlüsseln können.
Password Safe
komfortabel und sicher alle Ihre gespeicherten Passwörter für Sie.
Stagnos Password Manager 15
Steganos Passwort-Manager ist Ihr digitaler Schlüsselbund. Er übernimmt die Erstellung, Ver- waltung und den Schutz aller Passwörter, die Sie regelmäßig benötigen.

Als Passwort-Sicherheits-Champion kann sich unter den B2C-Seiten nur GoDaddy fühlen - der Webhoster erreichte als einziges (!) Unternehmen die volle Punktzahl. Ein gutes Ergebnis erzielten im Test aber auch die Tech-Giganten Apple und Microsoft (jeweils vier Punkte).

Mission Passwort-Awareness

Die Motivation hinter der Untersuchung der Webseiten auf Passwort-Sicherheit formuliert Dashlane-CEO Emmanuel Schalit: "Wir haben das 'Password Power Ranking' entwickelt, um auf die fehlende Passwort-Sicherheit vieler Webseiten des täglichen Gebrauchs aufmerksam zu machen. Wir als Verbraucher beziehungsweise Nutzer sollten uns der Bedeutung von Identitätsschutz im Netz bewusst sein. Aber auch die Unternehmen sind für die Sicherheit ihrer Nutzer verantwortlich. Wir finden, sie sollten zu entsprechenden Richtlinien gezwungen werden, um somit ihre Kunden vor Kriminalität im Internet zu schützen."

Merke: Passwort Security ist keine Einbahnstraße - sowohl User als auch Unternehmen stehen in der Pflicht, sich bestmöglich gegen Hackerangriffe und Datenlecks abzusichern.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Veraltete Passwort-Standards?

Bei Dropbox hält man die Methodik des Dashlane Password Power Ranking für veraltet. Untermauert wissen will Dropbox seine Argumentation in erster Linie mit der Kehrtwende des Passwort-Evangelisten Bill Burr:

Darüber hinaus wies uns Dropbox per E-Mail darauf hin, dass auch die amerikanische Regierungsinstitution NIST ihre Empfehlungen zur Erstellung sicherer Passwörter geändert hat. Die US-Bundesbehörde empfiehlt nun - unter anderem - die Verwendung von geheimen Passphrasen, statt eine regelmäßige Änderung von Kennwörtern.

Einige Security-Experten - beispielsweise Graham Cluley - propagieren seit längerem die nun von NIST implementierten Richtlinien. Allerdings sind diese auch ziemlich gut in einem ganzen Wust an neuen Richtlinien versteckt. Der (deutsche) Ottonormalbenutzer dürfte vermutlich weiterhin zur einfachsten und schnellsten Lösung tendieren. Wer ein Passwort wählen kann (und will), das "qwertz" oder "hallo123" lautet, wird das tun - aller Vernunft und allen Empfehlungen zum Trotz. Die vom Hasso-Plattner-Institut ermittelte Top Ten der meistgenutzten Passwörter in Deutschland im Jahr 2016 stellt das eindrucksvoll unter Beweis.