Seit Jahren predigen Security-Forscher, dass Nutzer im Internet möglichst starke Passwörter verwenden sollen, um Hackern die Arbeit nicht zu leicht zu machen. Die Anwender sind aber nicht allein schuld, vielmehr besitzen zahlreiche Websites allzu laxe Passwortrichtlinien. Zu diesem Ergebnis kommt nun eine neue Cybersecurity-Studie der Georgia Tech. Der Untersuchung zufolge halten drei von vier der weltweit beliebtesten Websites die Mindestanforderungen nicht ein und ermöglichen es Millionen von Nutzern so, schwache Passwörter zu erstellen.

Für die Studie entwickelten Assistenzprofessor Frank Li und Doktorand Suood Al Roomi von der School of Cybersecurity and Privacy der Georgia Tech einen Algorithmus, der automatisch die Passwortpolitik einer Website bestimmt. Mithilfe von Machine Learning konnten die beiden so die Konsistenz der Längenanforderungen und Einschränkungen für Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen, Kombinationen und Anfangsbuchstaben erkennen. Sie konnten auch sehen, ob Websites Wörterbuchwörter oder bekannte verletzte Passwörter zuließen.

Über 20.000 Websites untersucht

Zum Einsatz kam das Tool im Google Chrome User Experience Report (CrUX), einer Datenbank mit einer Million Websites. Bei über 20.000 Websites in der Datenbank war die Methode zur Ableitung von Passwortrichtlinien erfolgreich. Den Autoren zufolge war die Erhebung damit 135-mal größer als frühere Arbeiten, die sich auf manuelle Methoden und kleinere Stichprobengrößen stützten.

Die Ergebnisse zeigten dabei, dass viele Websites:

• sehr kurze Passwörter zulassen,

• häufige Passwörter nicht blockieren, sowie

• überholte Anforderungen wie komplexe Zeichen verwenden.

Die Forscher fanden außerdem heraus, dass nur wenige Websites die Standardrichtlinien vollständig befolgen, während die meisten sich an veraltete Richtlinien aus dem Jahr 2004 halten.

Unterschiedlichste Schwachstellen

Im Detail ergab die Untersuchung, dass zwölf Prozent der untersuchten Websites keinerlei Anforderungen an die Länge der Passwörter stellen. Mehr als die Hälfte der untersuchten Websites akzeptierten Passwörter mit sechs oder weniger Zeichen, wobei 75 Prozent nicht das empfohlene Minimum von acht Zeichen verlangten. Etwa 12 Prozent der Websites hatten keine Längenanforderungen, und 30 Prozent unterstützten keine Leer- oder Sonderzeichen.

Nur 28 Prozent der untersuchten Websites setzten eine Passwortsperrliste durch. Dadurch sind Tausende von Websites anfällig für Cyberkriminelle, die mit Hilfe von gängigen Passwörtern in ein Benutzerkonto einzudringen versuchen (Passwort Spraying).

Der vollständige Bericht wird auf der ACM Conference on Computer and Communications Security (CCS) in Kopenhagen, Dänemark, vorgestellt.