Einfachste Maßnahmen ignoriert
Passwort-Schutz Fehlanzeige
"Worst Practice" nennen Joseph Bonneau und Soren Preibusch von der Universität of Cambridge, USA, was sie auf Passwort-geschützten Websites gesehen haben. Die Wissenschaftler haben 150 Sites untersucht und stellen fest, dass einfache Sicherheits-Tipps ignoriert werden.
Dass dies auch an Nutzern liegen könnte, die beim Kreieren von Passwörtern bequem und einfallslos sind, wollen die Forscher nicht gelten lassen. Anwender müssten sich ohnehin so viel merken und Unternehmen könnten ihre Verantwortung nicht auf den Einzelnen abschieben.
Ein paar Zahlen: Rund acht von zehn Websites (78 Prozent) geben dem Nutzer überhaupt keinen Hinweis darauf, wie er sein Passwort gestalten soll. Nur auf sieben der 150 untersuchten Auftritte wird dem User ein Mix aus Zahlen und Buchstaben empfohlen. Lediglich auf zwei Sites wird geraten, auch Nicht-alphanumerische Zeichen einzubauen.
126 Websites begrenzen Fehlversuche beim Eintippen des Passwortes nicht. Bonneau und Preibusch arbeiteten mit einem Script, das beim Einloggen hundertmal "geraten" hat. Ihre These: Geschickte Hacker sind früher oder später drin.