"Worst Practice" nennen Joseph Bonneau und Soren Preibusch von der Universität of Cambridge, USA, was sie auf Passwort-geschützten Websites gesehen haben. Die Wissenschaftler haben 150 Sites untersucht und stellen fest, dass einfache Sicherheits-Tipps ignoriert werden.
Dass dies auch an Nutzern liegen könnte, die beim Kreieren von Passwörtern bequem und einfallslos sind, wollen die Forscher nicht gelten lassen. Anwender müssten sich ohnehin so viel merken und Unternehmen könnten ihre Verantwortung nicht auf den Einzelnen abschieben.
Ein paar Zahlen: Rund acht von zehn Websites (78 Prozent) geben dem Nutzer überhaupt keinen Hinweis darauf, wie er sein Passwort gestalten soll. Nur auf sieben der 150 untersuchten Auftritte wird dem User ein Mix aus Zahlen und Buchstaben empfohlen. Lediglich auf zwei Sites wird geraten, auch Nicht-alphanumerische Zeichen einzubauen.
126 Websites begrenzen Fehlversuche beim Eintippen des Passwortes nicht. Bonneau und Preibusch arbeiteten mit einem Script, das beim Einloggen hundertmal "geraten" hat. Ihre These: Geschickte Hacker sind früher oder später drin.
Verzicht auf TLS-Verschlüsselung
Zur technischen Seite: Mehr als jede zweite Site verzichtet auf TLS (Transport Layer Security), ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Manche nutzten den Standard zwar bei der Registrierung eines Nutzers, dann aber nicht mehr beim Log-In.
Immerhin gibt es noch eine gute Nachricht: Wie die Forscher berichten, fanden sie die nachlässigsten Passwort-Praktiken bei vergleichsweise unkritischen Web-Auftritten wie zum Beispiel den Online-Ausgaben von Zeitungen. Unternehmen, über deren Sites etwa Zahlungen abgewickelt werden, seien signifikant vorsichtiger.