Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Passwort-Security im Test

Diese Webseiten gefährden Ihre Sicherheit

Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Um die Passwort-Sicherheit populärer Web-Portale ist es gut bestellt. Sollte man meinen.

Sicherheitsanbieter Dashlane kommt in einer aktuellen Studie allerdings zu gänzlich anderen Erkenntnissen. Im Rahmen des "Password Power Ranking 2017" haben die Security-Experten elf gut besuchte B2B-Portale auf Passwort-Schwachstellen abgeklopft. Darüber hinaus wurden auch 43 der (international) meistgenutzten Consumer-Webseiten und -Apps unter die Lupe genommen - darunter auch sechs deutsche Portale, nämlich die von Otto, Tchibo, Cyberport, dm, Notebooksbilliger und Zalando. Die Ergebnisse sind niederschmetternd - nicht nur aus deutscher Perspektive.

Um die Passwort-Sicherheit vieler populärer B2B- und B2C-Webportale ist es alles andere als gut bestellt - wie Dashlane mit einer Studie belegen will.
Um die Passwort-Sicherheit vieler populärer B2B- und B2C-Webportale ist es alles andere als gut bestellt - wie Dashlane mit einer Studie belegen will.
Foto: wk1003mike - shutterstock.com

Dashlanes Kriterien für ein sicheres Passwort

Auf folgende fünf Kriterien der Passwort-Sicherheit prüfte Dashlane die Web-Angebote der Unternehmen:

  1. Acht Zeichen: Sind Passwörter mit weniger als acht Zeichen möglich?

  2. Passwort-Komposition: Sind Kombinationen wie "aaaaa" oder "11111" bei der Erstellung möglich?

  3. Anzeige der Passwortstärke: Informiert die Webseite den User ausreichend über das Sicherheitsniveau seines Passworts?

  4. Brute-Force-Angriff: Hält der Account mehr als zehn Falscheingaben ohne Aktivierung zusätzlicher Maßnahmen stand?

  5. Zwei- oder Multi-Faktor-Authentifizierung: Wird diese Option angeboten?

Pro Kriterium war dabei ein Punkt zu vergeben. Um den Test zu bestehen, waren drei Punkte nötig - die Mindestanforderungen an die Sicherheit von Passwörtern somit erfüllt. Um es schon einmal vorweg zu nehmen: Im Consumer-Bereich fielen 22 Portale sang- und klanglos durch. Wenig besser lief es auch im B2B-Umfeld mit vier "Durchfallern".

B2B-Portale im Passwort-Sicherheitstest

Hier die getesteten B2B-Webportale und ihre Ergebnisse im Überblick:

Dashlane Password Power Ranking 2017 - B2B

Kriterium 1

Kriterium 2

Kriterium 3

Kriterium 4

Kriterium 5

Ergebnis

Amazon Web Services

x

1

Basecamp

x

x

x

x

4

DocuSign

x

x

2

Freshbooks

x

1

GitHub

x

x

x

3

MailChimp

x

x

x

x

4

mLab (MongoDB)

x

x

2

QuickBooks

x

x

x

x

x

5

Salesforce

x

x

x

x

4

SendGrid

x

x

x

3

Stripe

x

x

x

x

x

5

Durchgefallen sind die Portale von Amazon Web Services (AWS), DocuSign, Freshbooks und mLab - sie alle erfüllen (nach Definition von Dashlane) nicht die Mindestanforderungen an die Sicherheit von Passwörtern. Insbesondere das mangelhafte Abschneiden von AWS ist dabei überraschend.

Positiv hervortun können sich hingegen der Online-Zahlungsdienst Stripe und das Buchhaltungs-Portal QuickBooks - beide erreichten jeweils die Höchstpunktzahl.

Inhalt dieses Artikels

 

Jan-Christoph Ihrens

Es ist richtig, dass Benutzer bei der Erstellung von Passwörtern gut angeleitet werden und schwache Passwörter zurückgewiesen werden sollten (wobei das allerdings oft eigenartige Blüten treibt, was dazu führt, dass lange, sichere Passwörter zurückgewiesen werden, weil z.B. ein Sonderzeichen fehlt, während kürzere, schwächere Passwörter, die aber ein Sonderzeichen enthalten, akzeptiert werden - da machen es sich manche Website-Betreiber recht leicht).

Es klingt hier aber teilweise so, als seien die genannten Sites dadurch automatisch unsicher, dass sie hier nicht ausreichend prüfen und helfen. Doch selbstverständlich kann jeder Benutzer selbst dafür sorgen, dass sein Passwort sicher ist, dass es also lang und komplex genug ist und nicht durch Wörterbuchangriffe geknackt werden kann. Damit wären die Kriterien 1 bis 3 des hier genannten Tests durch den Benutzer selbst erfüllt, was bereits zu einem Bestehen reichen würde.

Wie gesagt, das Ergebnis ist durchaus unschön; daraus aber abzulesen, dass die Sites per se komplett unsicher sind, halte ich für etwas gewagt. Geht man von einer guten Passwortwahl des Benutzers aus (ja, ich weiß, dass das beim Gros der Benutzer eine Utopie ist), so kommt es auf die letzten beiden Kriterien an. Diese werden z. B. von Amazon und LinkedIn erfüllt; beide holen sich damit ihre einzigen beiden Punkte. Für Benutzer, die wissen, wie ein sicheres Passwort auszusehen hat, also keine sooo schlechte Wahl...

AgenturINCOM

Man muss sich schon wundern, dass Unternehmen und Millionen von Kunden derart wenig Wert auf sichere Websiten haben. Nich teinmal PayPal hat die Höchstpunktzahl erreicht. Auch Telekomkunden sollten vorsichtig sein, wenn sie einen neuen Speedort online einrichten.

comments powered by Disqus