Wenn es um Passwörter geht, werden häufig die Nutzer für ihre Einfallslosigkeit gerügt. Das Sicherheitstechnologie-Unternehmen Dashlane hat nun den Spieß umgedreht und 43 Portale auf ihre Passwort-Sicherheit untersucht. Das Ergebnis ist erschütternd.
Ob es nun das klassische „Passwort“, der eigene Name oder „123456“ ist, ist fast egal. Es sind häufig die Nutzer, die für ihre schlecht gewählten Passwörter kritisiert werden.
Dabei ist es nicht zwingend die Schuld des Nutzers, dass er auf einfache Passwörter zurückgreift. Schließlich können Seitenbetreiber zahlreiche Barrieren einbauen, die einfache Zugänge verhindern.
Deshalb hat der Sicherheitsspezialist Dashlane in einer Studie die Passwort-Sicherheit großer Portale untersucht. Im Zeitraum vom 5. bis zum 14. Juli 2017 wurden dafür 43 Portale und Websiten untersucht. Darunter waren Branchengrößen wie Facebook, Amazon, Netflix und deutsche Player wie Otto und Zalando.
Die Kriterien für Passwort-Sicherheit
Grundlage der Einstufung ist ein Bewertungssystem, das aus insgesamt fünf Kategorien besteht. Für jede bestandene Kategorie gibt es einen Punkt.
Eine Website hat den Test mit einer 60-prozentigen Ausbeute (drei von fünf möglichen Punkten) bestanden. Zur Bewertung der einzelnen Kriterien wurde stets ein neuer Account angelegt.
Diese Faktoren wurden zur Analyse der Passwort-Sicherheit herangezogen:
- Mehr als acht Zeichen: Es wurde versucht, ein Passwort mit weniger als acht Zeichen zu erstellen.
- Alphanumerisches Passwort: Tests von Passwörtern, die nur aus Buchstaben („aaaaa“) oder Zahlen („11111“) bestehen.
- Optische Anzeige der Passwortstärke: Hier erhielten Websites einen Punkt, die den Nutzer durch optische Reize auf die Stärke/Schwäche des Passworts aufmerksam machen. Ein Hinweis zur Länge von Passwörtern genügt nicht.
- Simulation einer Brute-Force-Attacke: Testverfahren, um festzustellen, ob nach mehr als zehn falschen Passworteingaben weitere Sicherheitsmaßnahmen (zum Beispiel Kontosperrung) ergriffen werden.
- Zwei-Faktor-Authentifizierung: Einen Punkt erhielten alle Websites, die eine Form der Zwei-Faktor-Authentifizierung anbieten.
Go Daddy und Apple top, Zalando und Netflix Flop
Die Ergebnisse der Dashlane-Untersuchung (hier geht es zur kompletten Übersicht) zur Passwort-Sicherheit sind schockierend.
Mit Go Daddy gibt es lediglich eine Plattform, die die volle Punktzahl erreicht hat. Ein sehr gutes Ergebnis (vier von fünf möglichen Punkten) erhalten unter anderem Apple, Microsoft, Paypal und Skype.
Keinen einzigen Aspekt in puncto Passwort-Sicherheit erfüllen konnten Netflix, Pandora, Spotify, Uber und Zalando.
Und auch die Drogeriekette dm, Instagram, Pinterest und Dropbox (jeweils einer von fünf möglichen Punkten) sowie die Handelsplattformen Amazon, Ebay und die Netzwerke Twitter und LinkedIn (je zwei von fünf möglichen Punkten) fielen durch den Test.
Prominent besetzt ist das Mittelfeld. Die benötigte Punktzahl zum Bestehen des Tests zur Passwort-Sicherheit erreichten unter anderem Airbnb, Google, Facebook, Snapchat, WordPress und Reddit.
Auch der deutsche Online-Händler Otto erfüllt drei von fünf Kriterien und ist somit die einzige deutsche Seite, die im Test von Dashlane nicht durchgefallen ist.
