Skip to content

Apple ID Webseite mit gutem Ergebnis bei Sicherheits-Check

Geschrieben von Florian Schimanke am

Der für seine Passwort-Manager Apps bekannte Entwickler Dashlane hat eine Gruppe von Sicherheitsforschern damit beauftragt, die Passwortsicherheit von diversen Webseiten zu testen. Dabei kamen insgesamt fünf verschiedene Sicherheitskriterien für die Passwortsicherheit zum Einsatz, aus denen sich abschließend ein punktebasiertes Ranking zusammensetzte. Untersucht wurden dabei die folgenden Kategorien: Mindestens acht Zeichen, Zahlen und Buchstaben, Vorhandensein eines Stärkeindikators, Aushalten von Brute Force Angriffen und 2-Faktor Authentifizierung. Die Webseite zur Verwaltung der eigenen Apple ID schnitt dabei mit einem Score von 4 aus maximal 5 möglichen Punkten ab und erhielt das Prädikat "Good" von den Testern.

Einen Abzug gab es lediglich beim Brute Force Angriff, bei dem Apple weder die Eingabe eines CAPTCHA-Codes oder eine automatische Sperrung des Kontos, beispielsweise nach 10 falschen Eingaben anbietet. Die volle Punktzahl konnten die hierzulande eher weniger bekannten Webseiten von GoDaddy, Stripe und QuickBooks einheimsen. Erschütternd ist hingegen das untere Ende des Rankings. Hier tummeln sich mit einer Punktzahl von 0/5 so namhafte Anbieter wie Netflix, Pandora, Spotify, Uber und Amazon Web Services. Auf Amazon, Dropbox, Google, Instagram, LinkedIn, Netflix, Spotify, Uber und Venmo lassen sich beispielsweise Passwörter erstellen, die lediglich aus dem Kleinbuchstaben a bestehen.

via Dashlane

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

AstraLaVista am :

Wenn man annehmen m\366chte, dass die Passwort-policies insgeheim das Nutzerverhalten und die Nutzerw\374nsche widerspiegeln, dann sieht man mal, dass Sicherheitsgedanken und Bequemlichkeit nicht unbedingt zusammenpassen.

Bei der DKB z.B. Habe ich auf eine Mail an den Kundensupport (Hinweis, dass 5 Zeichen und nur Buchstaben und Zahlen doch ein wenig lax f\374r Banking seien) den Hinweis erhalten, dass sie dies f\374r v\366llig ausreichend erachten. \ud83d\ude48\ud83d\udc4d\ud83c\udfff

Frage an Experten hier: ist es denn Serverseitig so schwierig / aufw\344ndig -'s teuer die Passwort-Policies f\374r Nutzer hochzuschrauben?

DM am :

Das kommt drauf an, wie das Feld in dem das Passwort hinterlegt ist gespeichert ist... Ich kenne das mit der DKB und meines Erachtens ist das auch kein gutes Zeichen, wie die Datenbank Struktur dahinter ist... Normalerweise werden Passwörter im Hash-Verfahren gespeichert. Also eine mathematische Berechnung die nur ein eine Richtung funktioniert, damit man nicht mit rückwärts wieder heraus rechnen kann. Diese Hash's sind auch immer gleich groß, egal ob dein Passwort 3 Zeichen oder 100 Zeichen lang ist. Man machte nur eine Policy davor, damit sie nicht zu einfach sind.
Was die DKB mit es reicht wahrscheinlich meint, ist das du Dir eine Alias-Kennung selber erstellst, welche ja schon individuell ist und einen dazu gehörigen PIN. Die Wahrscheinlichkeit, das jemand diese Kombination in 3 Versuchen errät, ist sehr gering. Meist sind die Konten nämlich nach 3 falschen Versuchen komplett gesperrt und man kommt nicht mehr ran, bis die Bank es manuell wieder frei schaltet. Das hatte ich aus versehen mal mit dem Konto meiner Freundin bei der Volksbank geschafft, weil ich einen Zahlendreher hatte...

SOe am :

Nicht so aufwendig und teuer wie seinen Kunden zu erklären, dass die Kundendaten entwendet wurden.

Aber die beiden Malwareattacken auf Windows XP (Abstand von vier Wochen, beides Mal die gleiche Lücke) zeigten, dass die Verantwortlichen in Unternehmen sich für alles interessieren. Außer für die IT-Sicherheit.

DM am :

Bei der DKB? Oha \ud83d\ude33

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen