Dashlane zeigt Passwort-Schwächen bei Online-Händlern
Neulich hatten wir hier die Liste mit den schlechtesten Passwörtern 2013, nun sind auch Online-Händler in der Kritik. Das Problem: viele geben nichts auf die Sicherheit der Passwörter ihrer Kunden oder schützen die Accounts nicht ausreichend vor Angriffen. Ganz uneigennützig entstand diese Untersuchung wohl nicht, schließlich bietet man gleich ein passendes Produkt für eine sichere Passwortverwaltung. Dennoch interessant zu sehen, wie sich manche Online-Händler verhalten. Das geht definitiv besser.
Das sind die Hauptpunkte, die gegenüber Online-Händlern kritisiert werden:
- 55% akzeptieren immer noch schwache Passwörter wie „123456“ und „password“
- 51% blockieren den Zugang auch nach 10-maliger Falscheingabe des Passworts nicht (inklusive Amazon, Dell, Best Buy, Macy’s und Williams-Sonoma)
- 64% haben sehr fragwürdige Passwort-Praktiken (führt zu einem negativen Gesamtscore in der Zusammenfassung)
- 61% geben keine Hinweise wie ein sicheres Passwort gestaltet sein soll, 93% zeigen keinen Passwortstärke-Indikator
- Nur 10% erreichten einen Score für gute Passwort-Praktiken (über 45 Punkte in der Zusammenfassung)
- 8 Seiten, darunter Toys R Us, J. Crew und 1-800-Flowers.com verschicken Passwörter als Text in Emails
Auch das Erlauben schwacher Passwörter wird von Dashlane bemängelt und seitenspezifisch betrachtet. So kann auf der populären Baseball-Seite mlb.com beispielsweise „baseball“ als Passwort verwendet werden, ein klares No-Go für Dashlane. Das Problem ist, dass bei den 100 getesteten Seiten oftmals Kredikartendaten oder ähnlich sensible Daten hinterlegt sind, die im Zweifelsfall recht einfach missbraucht werden können, wenn man erst einmal den Account geknackt hat. Wenn man allerdings so oft wie man will probieren kann, wie im Fall von Amazon (10 oder mehr Versuche möglich), ist dies ein hohes Risiko.
Apple schaffte übrigens als einzige Firma die volle Punktzahl. Auf Platz 2 befindet sich Microsoft und das hierzulande weniger bekannte Chegg. Die gesamte Liste und weitere Details findet Ihr bei Interesse hier. Und da man es gar nicht oft genug sagen kann: Achtet darauf, was Ihr als Passwort nehmt. Und vor allem, Ihr als aufgeklärte Nutzer, sensibilisiert auch Eure Umgebung, die vielleicht nicht so die Ahnung von sicheren Passwörtern hat.
Wird geladen ...
Ich finde die Liste ist vollkommen falsch priorisiert:
Wenn ich den letzten Punkt richtig verstehe, schicken die Firmen das Passwort im Klartext (wenn man es vergessen hat). Da steht jetzt nicht, ob es das ursprüngliche oder ein Neues geschickt wird.
Ich war mal kurz bei 0800-flowers – sie behaupten, sie schicken einem das alte zurück.
Das ist eine KATASTROPHE – weil demzufolge das Passwort nicht gehasht wird und im Klartext gespeichert wurde (von einem Salt reden wir erst gar nicht).
Das geht gar nicht. Wenn die Datenbank wegkommt, wars das – aber das kommt ja – hust adobe hust – nie vor.
Wobei das mit der automatischen Sperre auch so eine Sache ist, weil man damit jemand einfach den Account lahmlegen kann. Die Idee der FritzBox finde ich nicht verkehrt, da muss man nach jeder Falscheingabe immer länger warten, nach 3x falsch eingegeben wartet man schon ~ 10 Sekunden bis man den vierten Versuch starten darf (zumindest browserseitig, aber ich hoffe mal dass auch der Webserver in der Zwischenzeit Loginversuche zurückweist).
Ich kann mir aber gut vorstellen, dass das stellenweise stiefmütterlich behandelt wird. Da gibt es noch an einigen Stellen Datenbanken mit „unsalted hashes“, wo man eigentlich als Hobby-PHP-Entwickler sehr schnell drauf stößt dass man das nicht tun sollte (weil es dafür schon große Rainbow-Tables gibt und die Passwörter daher schnell „entschlüsselt“ werden können, um die dann vorliegenden E-Mail/Passwort-Kombinationen auf anderen Webseiten zu testen).
Heute großer Sascha-Day?
Caschy dreht das Baby-Unboxing?
Wenn ich da an mein Tagesgeld oder Sparkassen Onlinekonto denke,
Alphanumerisch und exakt 5-stellig, keine Sonderzeichen.
Auf Anfrage hieß es nur das mehr als 5 Zeichen unnötig seien weil es ja „Milliarden von Möglichkeiten“ gäbe….
@Schokkohu..
Genau das ist der Denkfehler. Beim Onlinebanking (jedenfalls das, was ich kenne), wirst Du nach 3 Fehlversuchen rausgeworfen und musst mit jemand telefonieren, um Dein Konto freischalten zu lassen. Genauso mit der EC Karte (wobei da 4 Stellen schon arg wenig sind).
Diese Passworte können ruhig unsicherer sein!
Anders ist es bei Passworten, die in einer Datenbank abhanden kommen (hoffentlich passiert das den Banken nicht) – dann hat der Angreifer alle Zeit der Welt, Milliarden von Möglichkleiten auszuprobieren. Dann sollten die Passworte Zufallszeichen sein.
Was noch wichtiger ist, als dass User sichere Passwörter wählen ist auch, wie die Anbieter die lagern. Was nützt es, wenn die user alle sichere Passwörter haben, aber die schlecht gespeichert sind und der Angreifer beim Anbieter einbricht und dort die Passwörter herausträgt.
@Dominik:
Widersprichst du dir damit nicht selbst? Ich sehe halt kein Problem darin schwerere Passwörter zuzulassen. Passwortrestriktionen sollten dazu da sein um zu leichte Passworte zu verhindern, nicht umgekehrt.
@Schokkoku
Ich würde auch lieber sicherere Passworte beim Online Banking haben; aber ich halte es nicht für ein wirkliches Problem (aus den obigen Gründen).
Das Problem fängt damit an, wenn die PWs nicht gehasht und gesaltet werden. Und deswegen halte ich das „Untersuchungsergebnis“ für total überzogen – man könnte auf die Idee kommen, dass die ihren eigenen PW Manager an den Mann bringen wollen (keepass tuts auch 😉 )
@Dominik:
So ein bisschen einig sind wir uns ja 🙂 Ich lege auch nicht so viel Wert auf das Untersuchungsergebnis einfach weil ich die Gewichtung seltsam finde.
Was ich mir trotzdem wünschen würde:
1. Überall ein sicheres Passwort so benutzen zu können wir ich es will
2. 2-Stufen Authentifizierung (Fehlt m.M. auf jeden Fall bei Amazon, vllt. Ebay)
3. Kontosperrung nach 3 oder 5 fehlgeschlagenen (Fehlt auf jeden Fall bei Amazon)
@Dominik: Finde ich ganricht so verwerflich, ich habe Keepass auf meinem Mac nicht so richtig zum laufen bekommen. Da finde ich Dashlane ganz gut und ist auch kostenlos 🙂
Zum Thema PIN beim Online Banking: Ich fand die Begrenzung auf 5 Zeichen erst auch schrecklich, aber wenn ich so drüber nachdenke ist es ganricht mal so verkehrt. Denn nach 3 mal falsch eingeben darf ich zur Bank latschen und mein Konto freischalten zu lassen. Wenn sie jetzt allerdings komplexere Passwörter zulassen würden, steigt ja auch die Chance das Passwort falsch einzugeben, was zur Folge hat dass mehr Leute bei denen antanzen. Ein komplexes Passwort bekommt man auch mit 5 Zeichen hin.