Passwort-Security im Test
Diese Webseiten gefährden Ihre Sicherheit
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Sicherheitsanbieter Dashlane kommt in einer aktuellen Studie allerdings zu gänzlich anderen Erkenntnissen. Im Rahmen des "Password Power Ranking 2017" haben die Security-Experten elf gut besuchte B2B-Portale auf Passwort-Schwachstellen abgeklopft. Darüber hinaus wurden auch 43 der (international) meistgenutzten Consumer-Webseiten und -Apps unter die Lupe genommen - darunter auch sechs deutsche Portale, nämlich die von Otto, Tchibo, Cyberport, dm, Notebooksbilliger und Zalando. Die Ergebnisse sind niederschmetternd - nicht nur aus deutscher Perspektive.
Foto: wk1003mike - shutterstock.com
Dashlanes Kriterien für ein sicheres Passwort
Auf folgende fünf Kriterien der Passwort-Sicherheit prüfte Dashlane die Web-Angebote der Unternehmen:
Acht Zeichen: Sind Passwörter mit weniger als acht Zeichen möglich?
Passwort-Komposition: Sind Kombinationen wie "aaaaa" oder "11111" bei der Erstellung möglich?
Anzeige der Passwortstärke: Informiert die Webseite den User ausreichend über das Sicherheitsniveau seines Passworts?
Brute-Force-Angriff: Hält der Account mehr als zehn Falscheingaben ohne Aktivierung zusätzlicher Maßnahmen stand?
Zwei- oder Multi-Faktor-Authentifizierung: Wird diese Option angeboten?
Pro Kriterium war dabei ein Punkt zu vergeben. Um den Test zu bestehen, waren drei Punkte nötig - die Mindestanforderungen an die Sicherheit von Passwörtern somit erfüllt. Um es schon einmal vorweg zu nehmen: Im Consumer-Bereich fielen 22 Portale sang- und klanglos durch. Wenig besser lief es auch im B2B-Umfeld mit vier "Durchfallern".
B2B-Portale im Passwort-Sicherheitstest
Hier die getesteten B2B-Webportale und ihre Ergebnisse im Überblick:
Dashlane Password Power Ranking 2017 - B2B
Kriterium 1 | Kriterium 2 | Kriterium 3 | Kriterium 4 | Kriterium 5 | Ergebnis | |
Amazon Web Services | x | 1 | ||||
Basecamp | x | x | x | x | 4 | |
DocuSign | x | x | 2 | |||
Freshbooks | x | 1 | ||||
GitHub | x | x | x | 3 | ||
MailChimp | x | x | x | x | 4 | |
mLab (MongoDB) | x | x | 2 | |||
QuickBooks | x | x | x | x | x | 5 |
Salesforce | x | x | x | x | 4 | |
SendGrid | x | x | x | 3 | ||
Stripe | x | x | x | x | x | 5 |
Durchgefallen sind die Portale von Amazon Web Services (AWS), DocuSign, Freshbooks und mLab - sie alle erfüllen (nach Definition von Dashlane) nicht die Mindestanforderungen an die Sicherheit von Passwörtern. Insbesondere das mangelhafte Abschneiden von AWS ist dabei überraschend.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Positiv hervortun können sich hingegen der Online-Zahlungsdienst Stripe und das Buchhaltungs-Portal QuickBooks - beide erreichten jeweils die Höchstpunktzahl.