Onlineshopping: Passwortsicherheit

Drei Eingabeversuche

Seite 1 von 1

KONSUMENT 8/2014 veröffentlicht: 24.07.2014

Inhalt

"Die Zitrone": Sichere Passwörter - die Abwälzung der gesamten Verantwortung auf die Konsumenten ist nicht akzeptabel.

"Mir wird ganz schlecht, wenn ich die Passwörter unserer Kundenkonten anschaue" – so zitierte die Tageszeitung Kurier vor Kurzem Robert Hartlauer zum Thema Datensicherheit und Cybercrime. Abgesehen davon, dass der bekannte Elektrohändler seine Zeit hoffentlich nicht damit verbringt, die Kundenkonten zu durchstöbern, sondern von einer Statistik spricht, hat diese Aussage den Unmut eines unserer Leser erregt, dem wir uns hier anschließen möchten.

Verantwortung auf Konsumenten abgewälzen?

Auch wenn die Verwendung von sicher gestalteten, nicht einfach zu erratenden Passwörtern unbedingt empfehlenswert ist, kann es nicht sein, dass die gesamte Verantwortung auf die Konsumenten abgewälzt wird. Ein Passwort soll in der Praxis immer noch anwendbar sein, und das ist jenseits von 20 Stellen wohl kaum noch der Fall. Deshalb müssen die Anbieter ihren Teil zur Sicherheit beitragen, etwa indem sie alles derzeit Mögliche unternehmen, um den Datendiebstahl oder das Ausspähen von Passwörtern zu verhindern.

Maximal drei Eingabeversuche

Wünschenswert wäre es weiters, die Anzahl der Fehlversuche bei der Eingabe des Passworts zu beschränken. Ein ausreichend sicheres Passwort in Kombination mit maximal drei Eingabeversuchen reduziert die Gefahr des Erratenwerdens erheblich. "Geraten“ wird ja nicht von Personen, sondern von Computerprogrammen im Rahmen sogenannter "Brute-Force-Attacken".

Bei unbeschränkt vielen Eingabeversuchen wird früher oder später jedes Passwort geknackt. Ein gut ausgestatteter Computer generiert immerhin zwei Milliarden Passwörter pro Sekunde(!). Bei Beschränkung auf drei Login-Versuche läge die Wahrscheinlichkeit, es zu erraten, selbst bei einem nur einstelligen Passwort (Groß-, Kleinbuchstabe oder Ziffer) bei 1 : 20.

Achten Sie auf die Https-Verschlüsselung

Abgestellt werden sollte in Onlineshops auch die Eingabe persönlicher Zugangsdaten über Websites, die nicht offensichtlich https-verschlüsselt sind. In der Regel landet man zwar beim nächsten Schritt auf einer verschlüsselten Seite, doch das ist für die Kunden nicht erkennbar und führt zur Verunsicherung. Diese Zitrone versteht sich daher als Aufforderung an alle im Internet tätigen Unternehmen, ihre Einstellung und ihre Sicherheitsvorkehrungen zu überdenken.

Bewertung

Wertung: 4 von 5 Sternen
3 Stimmen

Kommentare

  • MasterCard SecureCode
    von LaGross am 06.08.2014 um 12:04
    Bei sehr sensiblen Daten wähle ich immer ein langes Passwort mit Buchstaben und Zahlen. Bei PayLife kann der MasterCard SecureCode MAXIMAL 12 Zeichen lang sein! Hallo?! Ich wollte das letzte Mal den Code ändern und hatte ein 18 Zeichen Passwort. Pech gehabt. Warum macht man gerade bei Kreditkarten eine maximale Länge? Mindestzeichenanzahl verstehe ich noch aber eine maximale?
  • Ein Tip zum Merken von Passwörter...
    von eblaschko am 24.07.2014 um 15:07
    Stellen sie sich vor, sie stehen auf einen Platz oder einer Einkaufsstraße, die sie gut kennen. Vielleicht in der Nähe ihrer Wohnung oder ihrer Arbeitsstelle. Nachdem sie ihre Augen geschlossen haben, gehen sie in Gedanken an den dortigen Geschäften vorbei und merken sich dabei den Anfangsbuchstaben des jeweilgen Geschäfts (z.B für eine Trafik, ein "T", Friseur "F" usw.) Nachdem sie an 6 oder 7 Geschäften vorbeigegangen sind ergibt das die erste Buchstabengruppe z.B "TFOLHBI". Nehmen sie ein Sonderzeichen wie # oder % um diese erste Gruppe mit dem nächsten Spaziergang "gfpffu" zu verbinden. Beim dritten "Spaziergang haben sie bereits ein für sie leicht merkbares Passwort mit 23 Zeichen! Wenn sie dann noch bei Bedarf irgendwo das Fabrikat und die Nummer ihres Haus- oder Wohnungsschlüssel einfügen (z.B. VVVV21L6789) sind es bereits 34 Zeichen. Um dieses "Passwort" zu knacken, braucht man schon eine erhebliche Rechnerkapazität! Das gesamte "gedachte" und nachvollziehbare Passwort wäre in diesem Beispiel: TFOLHBI#gfpffu%BOMMPLA%VVVV21L6789
Bild: VKI