Sicherheitsforscher im "Auftrag" von Dashlane... das klingt nach sehr "neutraler" Bewertung.

Keinen Brute-Force-Schutz zu haben, finde ich sehr schwach, weil es so leicht zu realisieren ist. Habe es bei mir selbst programmiert und dafür braucht man keinen Tag. Und wenn man in so disponierter Lage ist wie Apple, dann geht ohne überhaupt nicht!

Aber mit 2nd Factor ist Brute Force doch quasi wirkungslos.

Ich sehe das als Nutzer der Dashlane Produkte sogar als positiv an. Wenn Dashlane weiß, welche Seiten "sicher" oder unsicher sind, weisen Sie mich beim Anlegen eines Passwortes auf diesen Seiten bereits daraufhin, dass es ein Problem gibt.

wie richtig! Dashlane ist keine neutrale Stelle, sondern ein Unternehmen, welches Passwort-Management Produkte anbietet.

Schade, dass die nicht Sky Ticket getestet haben. Denn die wollen ernsthaft eine 4-stellige PIN als Kennwort.

Es ist auch unglaublich, wie viele Anbieter die Anzahl der Zeichen auf weit unter 64 Zeichen beschränken.

Ja, und es ist unglaublich, dass Googles Chrome nur max. 96 ASCII-Zeichen kann, während alle anderen Browser max. 224 können. Und das ist Google seit 2009 als Bug bekannt!

Ja, aber nicht alle nutzen den 2nd Factor.

Die untersuchten Kriterien sind meines Erachtens leicht fragwürdig:
1. Das - mit großem Abstand - wichtigste Sicherheitsmerkmal von Passwörtern ist schlicht und ergreifend die Länge. Daher sind
a) mindestens 8 Zeichen heutzutage viel zu kurz, es hätten mindestens 12 sein müssen, und
b) es hätte geprüft werden sollen, welche Maximallänge die Anbieter zulassen. Allzuhäufig ist bei vielen schon nach 20-25 Zeichen Ende der Fahnenstange.
2. Das bloße Vorhandensein der Anzeige der Stärke ist größtenteils Nonsens:
a) bei den meisten dieser Anzeigen würde 'Pa$$w0rt' (und entsprechende derivate) als verhältnismäßig starkes Passwort angezeigt, während es in Wirklichkeit äußerst schwach ist.
b) Solche Anzeigen halten den Nutzer nicht davon ab, trotzdem schwache Passwörter einzusetzen, sei es aus Bequemlichkeit, Unwissenheit oder einfach Unwillen. Stattdessen wäre es ein Sicherheitsmerkmal, wenn die Anbieter schwache Passwörter tatsächlich strikt ablehnen würden. Aber das machen leider wieder die wenigsten.

Fazit: Ich hätte mir zusätzlich die Kriterien "Maximallänge" und "Ablehnung schwacher Passwörter" gewünscht, für einen deutlich aussagekräftigeren Test.

Also wenn ich meine Apple-ID-Kennwort zu oft falsch eingebe, wird der Account gesperrt und ich muss ihn mit SMS-Code und Rücksetzmail oder Sicherheitsfragen reaktivieren.
Treibt man es mit falschen Kennwort weiter, wird der Account so gesperrt, daß man ihn nur noch mit Anruf bei Apple freigeschaltet bekommt. Die lassen sich dann einen Ausweiskopie zusenden,
Brute Force als Lücke bei der Apple-ID ist völliger Quatsch.
Von wann ist denn diese Untersuchung?

Schade auch, dass keine Kreditkartenanbieter und e-Banking getestet wurden. Die Studie hatte aber wohl einen anderen Fokus.
Ich finde es jedoch sehr bedenklich, dass dort, wo es ums Geld geht, nicht die höchsten Schutzmassnahmen angewendet werden. So akzeptiert z.B. SecureCode für Onlinehandel mit Visa- und MasterCard-Kreditkarten keine Sonderzeichen (und wenn ich mich recht erinnere auch keine Grossbuchstaben). Solche Passwörter gelten seit Jahrzehnten als unsicher, aber dort, wo es um mein Geld geht, soll ich es auch 2017 noch einsetzen...

Schade auch, dass in dem Beitrag nicht die ganze Tabelle gezeigt wird oder zumindest auch die, welche besser als Apple waren. Beim Überfliegen bekommt man den falschen Eindruck, dass Apple doch ganz vorne dabei ist, da kein Unternehmen gelistet, der mehr Punkte hat.

^^
Dito, würd bei meiner Bank auch gern ein sicheres Passwort fürs onlinebanking hinterlegen - aktuell: max. 5 stellig, nur Groß/Kleinschreibung und Zahlen möglich, keine Sonderzeichen möglich. Eine 2-Faktor Anmeldung wäre auch nice.

Alphanumerisch? Was sollen denn das für Sicherheitsforscher sein? Habe ich nur Buchstaben a-z zur Auswahl, dann sind 4 Zeichen 26^4 (ca. 1/2 Mio) Kombinationen. Gut, ich kann natürlich sagen, da müssen auch Großbuchstaben und Ziffern vorkommen, also a-z, A-Z und 0-9, dann sind es 62^4 (14 Mio) Kombinationen. Deutlich besser. Aber hätte ich das Passwort auf 6 Zeichen erweitert, dann sind es nur bei Kleinbuchstaben schon 26^6 (308 Mio) Kombinationen. Länge bringt deutlich mehr als irgend einen Zeichensatz vorzugeben. Ein Passwort wird nicht viel sicherer, nur weil ich Nutzer zwinge Großbuchstaben oder Ziffern zu nutzen (das war mal so 19xx), es wird viel sicherer, wenn ich nicht nur popelige 8 Zeichen nutzen, weil das ist deutlich zu kurz. Unter 12 Zeichen braucht man heute gar nicht anfangen, wenn das Ding auch nur im Ansatz BruteForce standhalten können muss.

Mecki: gerundet sind 62^4 15 Mio, also Faktor 32 Unterschied. Es macht schon einen Unterschied, ob im Roulette-Spiel 32 Felder sind oder nur eins!

4 Stellen
26 Zeichen: 0,5 Mio
62 Zeichen: 15 Mio
224 Zeichen: 2.517 Mio

6 Stellen
26 Zeichen: 309 Mio
62 Zeichen: 56.800 Mio
224 Zeichen: 126.324.652 Mio

8 Stellen
26 Zeichen: 209 Milliarden
62 Zeichen: 218 Billionen
224 Zeichen: 6.338 Billiarden

12 Stellen
26 Zeichen: 95 Billiarden

Bei vierstelligem Passwort ist der Unterschied zwischen 26 Zeichen und 224 Zeichen "nur" Faktor 5.500.
Bei achtstelligem Passwort ist der Unterschied zwischen 26 Zeichen und 224 Zeichen bereits 30 Mio.

12stellig mit 26 Zeichen ist gegenüber 8stellig mit 224 Zeichen also um den Faktor 66 unsicherer.

Ich nehm lieber 8 Zeichen aus einem größeren Zeichenvorrat als 13 Kleinbuchstaben bei ähnlicher Sicherheit.

MacRudi

Das stimmt allerdings leider nur, wenn alle Zeichen gleich wahrscheinlich sind. Nur gilt das gerade in Bezug auf Sonderzeichen leider nicht. Zum einen werden auf der Tastatur schwer erreichbare Zeichen nur selten eingesetzt, zum zweiten werden in der Regel nicht alle Sonderzeichen erlaubt, sondern nur einige wenige und zum dritten neigen Nutzer dazu Sonderzeichen als Buchstabenersatz zu verwenden ($ für s, € für e, @ für a, etc.), wegen der leichteren Merkbarkeit. Letzteres beeinflusst ebenfalls die Wahrscheinlichkeit, je nach verwendeter Sprache.

Im Ergebnis erhöht die Verwendung von Sonderzeichen die Sicherheit nicht relevant, wenn sie nicht völlig zufällig gewählt werden. Das wiederum macht man in aller Regel mit einem Passwortmanager, und dann kann man auch gleich längere Passwörter wählen.

Da ich mir meine Passworte merke, sind weniger Stellen für mich besser. Klar, der User kann mit jedem Zeichenvorrat ein schwaches Passwort wählen. Wenn er keine Sonderzeichen verwendet, dann ist es nicht sicherer. Wenn er hingegen viele verwendet, ist es sicherer als ein vom Passwortmanager mit gleicher Wahrscheinlichkeit für alle Zeichen generiertes Passwort.

Zum Thema Passwortstärke:

Einen Brute-Force-Schutz braucht man bei Username und Kennwort, bei 2 Faktor Authentifizierung sollte das überflüssig sein. Für den ersten Fall sollte Apple das realisieren, ist doch einfach gemacht.

Diese Tipp ist leider Unfug und wurde auch schon von diversen Sicherheitsforschern zerlegt. Erst letzte Woche habe ich genau so ein Passwort geknackt aus 4 deutschen Wörtern (ich hatte nur den MD5 davon, so wie es leider immer noch in vielen alten Passwortdatenbanken der Fall ist). Du kannst bei Amazon GPU Cruncher Mieten, die gibt es schon ab 90 US Cent die Stunde. Wenn du Wörter nimmst, die in einem Wörterbuch vorkommen, dann hast du verloren weil Wörterbuchattacken sind super billig. Du müsstest die Wörter schon irgendwie abwandeln, so dass man sie so in keiner Wörterbuchliste der Welt findet. Schick mir einfach mal den MD5 oder SHA-1 von 2 englischen Wörtern (3 kriege ich vielleicht auch noch hin), alle klein geschrieben und aus dem gebräuchlichen Sprachgebrauch (wie im Tipp) und sagen wir mal mit Leerzeichen getrennt, ich sag dir welche das waren und zwar nur mit meinem 5 Jahre alten Notebook ohne brauchbare GPU. Natürlich würde es mit 4 Wörtern Tage dauern aber wenn ich mir einen von Amazon miete, dann dauern auch 4 keinen einzigen Tag (ich kann nur diese Woche nicht schon wieder einen mieten). Bis 6 Wörtern ist so ein Angriff durchführbar (wie lange er mit 5 oder 6 dauert kann ich dir aber nicht sagen), du müsstest mindestens 7 nehmen, dann kann ich ihn nicht mehr durchführen. Allerdings für die NSA sind wahrscheinlich sogar 8 Wörter ein Kinderspiel, die haben Supercomputer, dagegen sind selbst die schnellsten Server bei Amazon pillepalle.

Viel besser als der Tipp ist folgender: Merk dir einen längeren Satz, der muss nicht komplex sein, nur lang. Und dann nimm den ersten Buchstaben eines jeden Wortes. Hier ist das beste geht mit der statistischen Verteilung von Buchstaben zu arbeiten. Aber du braucht die Verteilung von Anfangsbuchstaben einer Sprache, die nichts mit der Gesamtverteilung zu tun haben muss (nur weil E der häufigste Buchstabe im Deutschen ist muss er nicht der häufigsten Anfangsbuchstabe sein). Nimm z.B. einen Liedtext: "HuGvsiWEwsfuasbk" Was das ist? "Hänsel und Gretel, verliefen sich im Wald. Es war so finster und auch so bitter kalt." Super einfach zu merken. Natürlich muss es kein Lied sein, kann ein Zitat sein, vielleicht ein Filmzitat oder aus einem Gedicht oder der erste/letzte Satz eines Buches, oder was frei erfundenes. Hauptsache ihr könnt es euch merken.

Daran beißen sich Hacker die Zähne aus, weil die arbeiten entweder mit Wörterbüchern (weswegen der obere Tipp quatsch ist) oder mit Markow Ketten, die zwar auch nur Brute Force sind, aber deutlich schneller Treffer liefern als normaler Brute Force, weil sie mit statistischen Wahrscheinlichkeiten raten. Dazu füttert man einfach echte Passwörter echter Nutzer in das System und er probiert dann alle Zeichenkombinationen von z.B. 8 Zeichen durch, aber nicht zufällig und auch nicht alphabhetisch, sondern von wahrscheinlich zu unwahrscheinlich und das funktioniert erstaunlich gut in der Praxis (oft hat der gerade mal 2% des Werteraums probiert und schon purzeln nur so die Treffer raus). Aber beide Verfahren versagen bei Anfangsbuchstaben (Markow hilft auch dann noch, aber weitaus weniger als wenn man meint ein super sicheres Passwort gewählt zu haben - so was wie kra%muxi z.B. sieht super sicher aus, wird aber eine Markow Kette sehr früh vorschlagen).