Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple-ID erreicht bei Sicherheit nur 4 von 5 Punkten

Sicherheitsforscher im Auftrag von Dashlane, einer Lösung zur Kennwortverwaltung, haben insgesamt 48 bekannte Webdienste bezüglich des Schutzes der Kennwörter hin untersucht. Darunter befand sich auch Apple, welches unter anderem über die Apple-ID-Einstellungen eine Anmeldung im Web-Browser erlaubt.


Im Studienergebnis erreicht Apple allerdings nicht die volle Punktzahl. So erfüllt die Webseite zur Apple-ID nur 4 von 5 Anforderungen und erreicht damit keinen Spitzenplatz. Positiv hervorgehoben werden bei Apple unter anderem die strikten Vorgaben für das Kennwort und die zugehörige Darstellung der jeweiligen Kennwortsicherheit. Ebenso erhält Apple einen Punkt für die Verfügbarkeit einer 2-Faktor-Anmeldung.

Kritisiert wird allerdings der fehlende Brute-Force-Schutz, also der Schutz vor dem systematischen Erraten eines Kennwortes. Hierbei handelt es sich um Angriffe, bei denen automatisiert eine große Zahl von Kennwörtern durchprobiert wird. Üblicherweise wird hierbei nach einigen Fehlversuchen der Login vom jeweiligen Internet-Anschluss oder ein Login mit dem Konto für kurze Zeit blockiert, um Angreifer von weiteren Versuchen abzuhalten.

Brute-Force-Schutz scheint aber der Studie zufolge nur selten vorhanden zu sein. Mit GoDaddy, QuickBooks und Stripe hatten nur drei Dienste die volle Punktzahl erreicht. Besonders schlecht schnitten übrigens Netflix, Pandora, Spotify und Uber ab, die bei Kennwörtern weder Vorgaben noch zusätzliche Schutzfunktionen anbieten. Diesbezüglich erreicht bemerkenswerterweise auch Amazon AWS, welches bei vielen Cloud-Diensten zum Einsatz kommt, eine schlechte Platzierung und kann sich allein durch 2-Faktor-Anmeldung etwas weiter oben platzieren.

Nachfolgend ein Auszug des Studienergebnisses:
Webdienst Mindestens 8 Zeichen Alphanumerisch Anzeige der Stärke Brute-Force-Schutz 2-Faktor-Anmeldung
Amazon 🔒 🔒
Amazon AWS 🔒
Apple 🔒 🔒 🔒 🔒
Dropbox 🔒
eBay 🔒 🔒
Facebook 🔒 🔒 🔒
GitHub 🔒 🔒 🔒
Google 🔒 🔒 🔒
LinkedIn 🔒 🔒
Microsoft 🔒 🔒 🔒 🔒
Netflix
PayPal 🔒 🔒 🔒 🔒
SoundCloud 🔒
Spotify

Kommentare

NordMoleX11.08.17 11:02
Sicherheitsforscher im "Auftrag" von Dashlane... das klingt nach sehr "neutraler" Bewertung.
+2
MacRudi11.08.17 11:37
Keinen Brute-Force-Schutz zu haben, finde ich sehr schwach, weil es so leicht zu realisieren ist. Habe es bei mir selbst programmiert und dafür braucht man keinen Tag. Und wenn man in so disponierter Lage ist wie Apple, dann geht ohne überhaupt nicht!
-1
dan@mac
dan@mac11.08.17 11:48
Aber mit 2nd Factor ist Brute Force doch quasi wirkungslos.
+7
gvg11.08.17 11:59
NordMoleX
Sicherheitsforscher im "Auftrag" von Dashlane... das klingt nach sehr "neutraler" Bewertung.
Ich sehe das als Nutzer der Dashlane Produkte sogar als positiv an. Wenn Dashlane weiß, welche Seiten "sicher" oder unsicher sind, weisen Sie mich beim Anlegen eines Passwortes auf diesen Seiten bereits daraufhin, dass es ein Problem gibt.
+1
Mostindianer11.08.17 12:00
NordMoleX
Sicherheitsforscher im "Auftrag" von Dashlane... das klingt nach sehr "neutraler" Bewertung.

wie richtig! Dashlane ist keine neutrale Stelle, sondern ein Unternehmen, welches Passwort-Management Produkte anbietet.
+1
maczock11.08.17 12:22
Schade, dass die nicht Sky Ticket getestet haben. Denn die wollen ernsthaft eine 4-stellige PIN als Kennwort.

Es ist auch unglaublich, wie viele Anbieter die Anzahl der Zeichen auf weit unter 64 Zeichen beschränken.
+2
MacRudi11.08.17 12:57
Ja, und es ist unglaublich, dass Googles Chrome nur max. 96 ASCII-Zeichen kann, während alle anderen Browser max. 224 können. Und das ist Google seit 2009 als Bug bekannt!

Ja, aber nicht alle nutzen den 2nd Factor.
0
Walter Plinge11.08.17 13:53
Die untersuchten Kriterien sind meines Erachtens leicht fragwürdig:
1. Das - mit großem Abstand - wichtigste Sicherheitsmerkmal von Passwörtern ist schlicht und ergreifend die Länge. Daher sind
a) mindestens 8 Zeichen heutzutage viel zu kurz, es hätten mindestens 12 sein müssen, und
b) es hätte geprüft werden sollen, welche Maximallänge die Anbieter zulassen. Allzuhäufig ist bei vielen schon nach 20-25 Zeichen Ende der Fahnenstange.
2. Das bloße Vorhandensein der Anzeige der Stärke ist größtenteils Nonsens:
a) bei den meisten dieser Anzeigen würde 'Pa$$w0rt' (und entsprechende derivate) als verhältnismäßig starkes Passwort angezeigt, während es in Wirklichkeit äußerst schwach ist.
b) Solche Anzeigen halten den Nutzer nicht davon ab, trotzdem schwache Passwörter einzusetzen, sei es aus Bequemlichkeit, Unwissenheit oder einfach Unwillen. Stattdessen wäre es ein Sicherheitsmerkmal, wenn die Anbieter schwache Passwörter tatsächlich strikt ablehnen würden. Aber das machen leider wieder die wenigsten.

Fazit: Ich hätte mir zusätzlich die Kriterien "Maximallänge" und "Ablehnung schwacher Passwörter" gewünscht, für einen deutlich aussagekräftigeren Test.
+2
nykel11.08.17 14:32
Also wenn ich meine Apple-ID-Kennwort zu oft falsch eingebe, wird der Account gesperrt und ich muss ihn mit SMS-Code und Rücksetzmail oder Sicherheitsfragen reaktivieren.
Treibt man es mit falschen Kennwort weiter, wird der Account so gesperrt, daß man ihn nur noch mit Anruf bei Apple freigeschaltet bekommt. Die lassen sich dann einen Ausweiskopie zusenden,
Brute Force als Lücke bei der Apple-ID ist völliger Quatsch.
Von wann ist denn diese Untersuchung?
+2
00Pippo11.08.17 15:08
Schade auch, dass keine Kreditkartenanbieter und e-Banking getestet wurden. Die Studie hatte aber wohl einen anderen Fokus.
Ich finde es jedoch sehr bedenklich, dass dort, wo es ums Geld geht, nicht die höchsten Schutzmassnahmen angewendet werden. So akzeptiert z.B. SecureCode für Onlinehandel mit Visa- und MasterCard-Kreditkarten keine Sonderzeichen (und wenn ich mich recht erinnere auch keine Grossbuchstaben). Solche Passwörter gelten seit Jahrzehnten als unsicher, aber dort, wo es um mein Geld geht, soll ich es auch 2017 noch einsetzen...

Schade auch, dass in dem Beitrag nicht die ganze Tabelle gezeigt wird oder zumindest auch die, welche besser als Apple waren. Beim Überfliegen bekommt man den falschen Eindruck, dass Apple doch ganz vorne dabei ist, da kein Unternehmen gelistet, der mehr Punkte hat.
+1
breaker
breaker11.08.17 16:27
^^
Dito, würd bei meiner Bank auch gern ein sicheres Passwort fürs onlinebanking hinterlegen - aktuell: max. 5 stellig, nur Groß/Kleinschreibung und Zahlen möglich, keine Sonderzeichen möglich. Eine 2-Faktor Anmeldung wäre auch nice.
+1
Mecki
Mecki11.08.17 16:30
Alphanumerisch? Was sollen denn das für Sicherheitsforscher sein? Habe ich nur Buchstaben a-z zur Auswahl, dann sind 4 Zeichen 26^4 (ca. 1/2 Mio) Kombinationen. Gut, ich kann natürlich sagen, da müssen auch Großbuchstaben und Ziffern vorkommen, also a-z, A-Z und 0-9, dann sind es 62^4 (14 Mio) Kombinationen. Deutlich besser. Aber hätte ich das Passwort auf 6 Zeichen erweitert, dann sind es nur bei Kleinbuchstaben schon 26^6 (308 Mio) Kombinationen. Länge bringt deutlich mehr als irgend einen Zeichensatz vorzugeben. Ein Passwort wird nicht viel sicherer, nur weil ich Nutzer zwinge Großbuchstaben oder Ziffern zu nutzen (das war mal so 19xx), es wird viel sicherer, wenn ich nicht nur popelige 8 Zeichen nutzen, weil das ist deutlich zu kurz. Unter 12 Zeichen braucht man heute gar nicht anfangen, wenn das Ding auch nur im Ansatz BruteForce standhalten können muss.
0
MacRudi11.08.17 17:46
Mecki: gerundet sind 62^4 15 Mio, also Faktor 32 Unterschied. Es macht schon einen Unterschied, ob im Roulette-Spiel 32 Felder sind oder nur eins!

4 Stellen
26 Zeichen: 0,5 Mio
62 Zeichen: 15 Mio
224 Zeichen: 2.517 Mio

6 Stellen
26 Zeichen: 309 Mio
62 Zeichen: 56.800 Mio
224 Zeichen: 126.324.652 Mio

8 Stellen
26 Zeichen: 209 Milliarden
62 Zeichen: 218 Billionen
224 Zeichen: 6.338 Billiarden

12 Stellen
26 Zeichen: 95 Billiarden

Bei vierstelligem Passwort ist der Unterschied zwischen 26 Zeichen und 224 Zeichen "nur" Faktor 5.500.
Bei achtstelligem Passwort ist der Unterschied zwischen 26 Zeichen und 224 Zeichen bereits 30 Mio.

12stellig mit 26 Zeichen ist gegenüber 8stellig mit 224 Zeichen also um den Faktor 66 unsicherer.

Ich nehm lieber 8 Zeichen aus einem größeren Zeichenvorrat als 13 Kleinbuchstaben bei ähnlicher Sicherheit.
0
Walter Plinge11.08.17 18:40
MacRudi

Das stimmt allerdings leider nur, wenn alle Zeichen gleich wahrscheinlich sind. Nur gilt das gerade in Bezug auf Sonderzeichen leider nicht. Zum einen werden auf der Tastatur schwer erreichbare Zeichen nur selten eingesetzt, zum zweiten werden in der Regel nicht alle Sonderzeichen erlaubt, sondern nur einige wenige und zum dritten neigen Nutzer dazu Sonderzeichen als Buchstabenersatz zu verwenden ($ für s, € für e, @ für a, etc.), wegen der leichteren Merkbarkeit. Letzteres beeinflusst ebenfalls die Wahrscheinlichkeit, je nach verwendeter Sprache.

Im Ergebnis erhöht die Verwendung von Sonderzeichen die Sicherheit nicht relevant, wenn sie nicht völlig zufällig gewählt werden. Das wiederum macht man in aller Regel mit einem Passwortmanager, und dann kann man auch gleich längere Passwörter wählen.
0
MacRudi11.08.17 19:46
Da ich mir meine Passworte merke, sind weniger Stellen für mich besser. Klar, der User kann mit jedem Zeichenvorrat ein schwaches Passwort wählen. Wenn er keine Sonderzeichen verwendet, dann ist es nicht sicherer. Wenn er hingegen viele verwendet, ist es sicherer als ein vom Passwortmanager mit gleicher Wahrscheinlichkeit für alle Zeichen generiertes Passwort.
0
OliB13.08.17 16:41
Zum Thema Passwortstärke:
0
HorstNa14.08.17 09:55
Einen Brute-Force-Schutz braucht man bei Username und Kennwort, bei 2 Faktor Authentifizierung sollte das überflüssig sein. Für den ersten Fall sollte Apple das realisieren, ist doch einfach gemacht.
0
Mecki
Mecki16.08.17 20:15
OliB
Zum Thema Passwortstärke:
Diese Tipp ist leider Unfug und wurde auch schon von diversen Sicherheitsforschern zerlegt. Erst letzte Woche habe ich genau so ein Passwort geknackt aus 4 deutschen Wörtern (ich hatte nur den MD5 davon, so wie es leider immer noch in vielen alten Passwortdatenbanken der Fall ist). Du kannst bei Amazon GPU Cruncher Mieten, die gibt es schon ab 90 US Cent die Stunde. Wenn du Wörter nimmst, die in einem Wörterbuch vorkommen, dann hast du verloren weil Wörterbuchattacken sind super billig. Du müsstest die Wörter schon irgendwie abwandeln, so dass man sie so in keiner Wörterbuchliste der Welt findet. Schick mir einfach mal den MD5 oder SHA-1 von 2 englischen Wörtern (3 kriege ich vielleicht auch noch hin), alle klein geschrieben und aus dem gebräuchlichen Sprachgebrauch (wie im Tipp) und sagen wir mal mit Leerzeichen getrennt, ich sag dir welche das waren und zwar nur mit meinem 5 Jahre alten Notebook ohne brauchbare GPU. Natürlich würde es mit 4 Wörtern Tage dauern aber wenn ich mir einen von Amazon miete, dann dauern auch 4 keinen einzigen Tag (ich kann nur diese Woche nicht schon wieder einen mieten). Bis 6 Wörtern ist so ein Angriff durchführbar (wie lange er mit 5 oder 6 dauert kann ich dir aber nicht sagen), du müsstest mindestens 7 nehmen, dann kann ich ihn nicht mehr durchführen. Allerdings für die NSA sind wahrscheinlich sogar 8 Wörter ein Kinderspiel, die haben Supercomputer, dagegen sind selbst die schnellsten Server bei Amazon pillepalle.

Viel besser als der Tipp ist folgender: Merk dir einen längeren Satz, der muss nicht komplex sein, nur lang. Und dann nimm den ersten Buchstaben eines jeden Wortes. Hier ist das beste geht mit der statistischen Verteilung von Buchstaben zu arbeiten. Aber du braucht die Verteilung von Anfangsbuchstaben einer Sprache, die nichts mit der Gesamtverteilung zu tun haben muss (nur weil E der häufigste Buchstabe im Deutschen ist muss er nicht der häufigsten Anfangsbuchstabe sein). Nimm z.B. einen Liedtext: "HuGvsiWEwsfuasbk" Was das ist? "Hänsel und Gretel, verliefen sich im Wald. Es war so finster und auch so bitter kalt." Super einfach zu merken. Natürlich muss es kein Lied sein, kann ein Zitat sein, vielleicht ein Filmzitat oder aus einem Gedicht oder der erste/letzte Satz eines Buches, oder was frei erfundenes. Hauptsache ihr könnt es euch merken.

Daran beißen sich Hacker die Zähne aus, weil die arbeiten entweder mit Wörterbüchern (weswegen der obere Tipp quatsch ist) oder mit Markow Ketten, die zwar auch nur Brute Force sind, aber deutlich schneller Treffer liefern als normaler Brute Force, weil sie mit statistischen Wahrscheinlichkeiten raten. Dazu füttert man einfach echte Passwörter echter Nutzer in das System und er probiert dann alle Zeichenkombinationen von z.B. 8 Zeichen durch, aber nicht zufällig und auch nicht alphabhetisch, sondern von wahrscheinlich zu unwahrscheinlich und das funktioniert erstaunlich gut in der Praxis (oft hat der gerade mal 2% des Werteraums probiert und schon purzeln nur so die Treffer raus). Aber beide Verfahren versagen bei Anfangsbuchstaben (Markow hilft auch dann noch, aber weitaus weniger als wenn man meint ein super sicheres Passwort gewählt zu haben - so was wie kra%muxi z.B. sieht super sicher aus, wird aber eine Markow Kette sehr früh vorschlagen).
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.