(PM) Berln, 09.08.2017 - Dashlane, die Sicherheitstechnologie zum Schutz von Passwörtern und Identitäten im Netz, veröffentlicht eine internationale Studie, in der 43 beliebte Webseiten auf ihre Passwort-Sicherheit getestet wurden. Das Ergebnis des „Password Power Rankings 2017“ zeigt, welche Webseiten für ihre Nutzer ein erhebliches Sicherheitsrisiko darstellen, da sie über den geringsten Schutz vor Passwort-Dieben verfügen.

Mit zunehmender Cyberkriminalität gehört der Schutz der Identität im Internet für Online-Anbieter wie Zalando, Tchibo und Amazon eigentlich zum Standard. Dashlane überprüfte daher die Passwort-Sicherheit bei 43 beliebten und häufig genutzten Webseiten.

In seiner Studie findet Dashlane heraus, dass fast die Hälfte aller getesteten Webportale für Verbraucher (48,8 Prozent), dazu gehören Zalando, dm, Cyberport, Dropbox sowie Netflix, und 36 Prozent der Webportale für Unternehmen, darunter DocuSign und Amazon Web, selbst die Mindestanforderungen für sichere Passwörter nicht implementieren.

Besonders auffallend: Beliebte und häufig besuchte Webseiten, wie Zalando, Google, Amazon und Netflix stellen am seltensten strenge Richtlinien zu der sicheren Erstellung von Passwörtern auf. 22 der getesteten Verbraucherportale haben den Test nicht bestanden (weniger als drei von fünf Punkten). Darunter sind acht Entertainment- und Social Media-Portale und zehn E-Commerce-Portale. Otto besteht als einziges deutsches Webportal mit drei Punkten den Test, Zalando fällt mit null Punkten durch. Besonders negativ sind die Portale aufgefallen, bei denen die Erstellung des Passwortes sogar mit der einfachen Wiederholung des Buchstabens „a“ möglich ist, darunter Zalando, Amazon, Google, Instagram, LinkedIn, Venmo und Dropbox.

GoDaddy erzielte als einzige Webseite die volle Punktzahl (fünf von fünf Punkten). Bei den Unternehmen sind es nur Stripe und QuickBooks, die volle fünf Punkte erreichen.

„Wir haben das ‚Password Power Ranking‘ entwickelt, um auf die fehlende Passwort-Sicherheit vieler Webseiten des täglichen Gebrauchs aufmerksam zu machen. Wir als Verbraucher bzw. Nutzer sollten uns der Bedeutung von Identitätsschutz im Netz bewusst sein. Sicheres Surfen beginnt mit einem starken und einzigartigen Passwort – und zwar für jeden einzelnen Internet-Account.“, sagt Emmanuel Schalit, CEO von Dashlane. „Aber auch die Unternehmen sind für die Sicherheit ihrer Nutzer verantwortlich. Wir finden, sie sollten zu entsprechenden Richtlinien gezwungen werden, um somit ihre Kunden vor Kriminalität im Internet zu schützen.“

Um das „Password Power Ranking“ zu erstellen, untersuchte Dashlane Passwort-Kriterien, wie die Notwendigkeit von mehr als acht Zeichen, die Zeichen-Kombination aus Buchstaben, Zahlen und Symbolen sowie die Zwei-Faktor-Authentifizierung. Erfüllt die Webseite ein Kriterium positiv, bekommt diese einen Punkt, die Höchstpunktzahl sind fünf Punkte. Erfüllt eine Webseite drei von fünf Punkten gilt der Test als bestanden – wobei es sich dabei nur um die Mindestanforderungen der Passwort-Sicherheit handelt.

Methodik

Die Studie wurde von Dashlane zwischen dem 5. und 14. Juli 2017 durchgeführt. Dashlane untersuchte fünf wichtige Kriterien der Passwort-Sicherheit von 43 Webseiten und Apps, die von Endverbrauchern genutzt werden. Zudem wurden elf bekannte Webportale für Unternehmen kontrolliert. Erfüllte die Website das abgefragte Kriterium im positiven Sinne, wurde ein Punkt vergeben. Das beste Ergebnis ist fünf Punkte. Erfüllt eine Webseite drei von fünf Punkten gilt der Test als bestanden, d. h. die Mindestanforderungen der Passwort-Sicherheit sind erfüllt. Folgende Kriterien wurden geprüft:

1. Mehr als acht Zeichen

Für jede getestete Webseite wurde ein neuer Account erstellt. Dashlane versuchte Passwörter, ungeachtet der Empfehlungen, mit weniger als acht Zeichen zu erstellen.

2. Alphanumerisches Passwort

Für jede getestete Webseite wurde ein neuer Account erstellt. Dashlane versuchte ein Passwort zu erstellen, was nur aus Buchstaben („aaaaa“) oder Zahlen („11111“) besteht.

3. Anzeige der Passwortstärke

Zeigte die Webseite an, wie stark das gewählte Passwort ist, z.B. mit einem farbigen Balken, erhielt diese einen Punkt. Webseiten, die nur die Passwort-Länge oder die Anforderungen an die Passwörter bestätigten, erhielten keinen Punkt.

4. Simulation einer Brute-Force-Attacke

Dashlane versuchte sich in den zuvor erstellten Account mit einem falschen Passwort einzuloggen. Ist es dem Nutzer nach zehn falschen Passwort-Eingaben noch möglich weitere Versuche vorzunehmen, ohne dass sich eine zusätzliche Sicherheitsmaßnahme aktiviert (CAPTCHA, Kontosperrung, etc.), bekam das Portal keinen Punkt.

5. Zwei-Faktor-Authentifizierung

Eine Webseite erhielt einen Punkt, wenn diese den Nutzern eine Art der Zwei-Faktor- oder Multi-Faktor-Authentifizierung anbot.