Passwort-Test von CNBC: Unverschlüsselt und unverantwortlich
In einem Artikel des Nachrichtensenders CNBC konnten Leser die Sicherheit ihrer Kennwörter testen. Was kann dabei schon schiefgehen? Eine ganze Menge, wie Sicherheitsforscher aufzeigen.
(Bild: dpa, Julian Stratenschulte)
Die Intention eines mittlerweile nicht mehr verfügbaren CNBC-Artikels ist durchaus löblich: Neben vielen Informationen zu sicheren Passwörtern konnten Leser auch die Stärke des eigenen Kennworts testen. Doch bei einer näheren Betrachtung der Umsetzung fiel die Sicherheitsforscherin Adrienne Porter Felt vom Google-Chrome-Sicherheitsteam aus allen Wolken.
Bei einer derartigen Analyse will man eigentlich nicht, dass das eigene Passwort den eigenen Computer verlässt. Etwa das Tool zxcvbn führt den Check auf einem Client im Webbrowser durch und kommt zum Beispiel bei Dropbox zum Einsatz.
Schlimmer geht immer
Der Test von CNBC setzt Felt zufolge auf eine serverseitige Analyse und das Passwort werde unverschlüsselt via HTTP übertragen. Aber selbst wenn HTTPS zum Einsatz kommen würde, wäre unklar, was mit dem Passwort nach der geschützten Übertragung passiert.
(Bild: Screenshot)
Bei der Übertragung soll das Passwort im Klartext in einer URL zu sehen sein. In diesem Fall könnten Parteien, wie etwa Werbetreibende, für die dieser Link zugänglich ist, das Kennwort einsehen, prangert der Sicherheitsforscher Ashkan Soltanie an.
Zudem soll das CNBC-Tool die analysierten Passwörter in einer Google-Tabelle abspeichern, warnt Kane York von Let's Encrypt. Unter dem Eingabefelds des Checks behauptet CNBC, dass die Passwörter nicht gespeichert werden. Mittlerweile hat CNBC den gesamten Artikel offline genommen. (des)
