Unsicherer Passwort-Test

Der Dienst Teste (d)ein Passwort der Softwarefirma AceBit bietet Nutzern die Möglichkeit, die Sicherheit ihrer Passwörter zu prüfen. Dafür hat die Firma den Dienst komplett überarbeitet. Leider stellt der Service aber selbst ein Sicherheitsproblem dar: Die eingegebenen Passwörter werden an den Firmen-Server geschickt und nicht etwa direkt im Browser getestet.

Das Unternehmen versichert zwar, dass die Website nicht dazu entwickelt wurde, "Passwörter zu stehlen", die eingegebenen Passwörter würden "nicht gespeichert". Dadurch, dass alle zu erledigenden Berechnungen vom Server des Unternehmens vorgenommen werden, lässt sich das aber kaum vermeiden. Ein sicherer Umgang mit sensiblen Daten ist das nicht. Die einfachen Kalkulationen lassen sich auch lokal im Browser ausführen – ohne, dass dabei das Passwort ungefragt ins Netz geschickt wird. Für ein Statement war AceBit telefonisch bisher nicht zu erreichen. Eine E-Mail-Anfrage wurde bisher auch nicht beantwortet.

Viel besser stellte sich bei einem ähnlichen Dienst aber auch die Konkurrenz nicht an. Intel lässt die Passwort-Knackzeit bei seinem Dienst Test your Password Skills zwar mit JavaScript lokal auf dem eigenen PC berechnen, allerdings sind die Testergebnisse anzuzweifeln. Passwörter aus Wörterbüchern sollen erst in mehreren tausend Jahren, Passwörter aus wild gemischten Zeichen und Zahlen schon innerhalb von zwei Stunden zu knacken sein.

[Update: 14.06.2013, 15 Uhr:] AceBit weist nun bei "Teste (d)ein Passwort" darauf hin, dass alle getesteten Passwörter an ihren Server geschickt werden. Passwörter, die tatsächlich verwendet werden, soll man dort nun nicht mehr eingeben.

[Update: 14.06.2013, 15:15 Uhr:] Wir konnten nun mit AceBit sprechen. Noch während des Gesprächs erreichte uns eine Nachricht von einem Leser. Auf der Seite "Teste (d)ein Passwort" soll eine Cross-Site-Scripting-Lücke lauern (XSS). Getestet wurde mit dem Opera, Version 12.15. Die Pressestelle von AceBit wurde direkt informiert.

(kbe)