Einfachste Maßnahmen ignoriert

Passwort-Schutz Fehlanzeige

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Acht von zehn Password-geschützten Websites enthalten keinerlei Tipps, wie der Nutzer das Kennwort gestalten soll. Mehr als die Hälfte verzichtet auf TLS (Transport Layer Security), ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.
Typische Passwort-Eingabe auf einer Website. Die Wissenschaftler Joseph Bonneau und Soren Preibusch von der University of Cambridge kritisieren, dass der Nutzer zu wenig Hinweise zum Kreieren sicherer Kennwörter erhält.
Typische Passwort-Eingabe auf einer Website. Die Wissenschaftler Joseph Bonneau und Soren Preibusch von der University of Cambridge kritisieren, dass der Nutzer zu wenig Hinweise zum Kreieren sicherer Kennwörter erhält.

"Worst Practice" nennen Joseph Bonneau und Soren Preibusch von der Universität of Cambridge, USA, was sie auf Passwort-geschützten Websites gesehen haben. Die Wissenschaftler haben 150 Sites untersucht und stellen fest, dass einfache Sicherheits-Tipps ignoriert werden.

Dass dies auch an Nutzern liegen könnte, die beim Kreieren von Passwörtern bequem und einfallslos sind, wollen die Forscher nicht gelten lassen. Anwender müssten sich ohnehin so viel merken und Unternehmen könnten ihre Verantwortung nicht auf den Einzelnen abschieben.

Ein paar Zahlen: Rund acht von zehn Websites (78 Prozent) geben dem Nutzer überhaupt keinen Hinweis darauf, wie er sein Passwort gestalten soll. Nur auf sieben der 150 untersuchten Auftritte wird dem User ein Mix aus Zahlen und Buchstaben empfohlen. Lediglich auf zwei Sites wird geraten, auch Nicht-alphanumerische Zeichen einzubauen.

126 Websites begrenzen Fehlversuche beim Eintippen des Passwortes nicht. Bonneau und Preibusch arbeiteten mit einem Script, das beim Einloggen hundertmal "geraten" hat. Ihre These: Geschickte Hacker sind früher oder später drin.