Eine Studie zu Passwortsicherheitsfaktoren bei bangladeschischen Regierungswebsites

1. Einleitung

Mit der raschen Digitalisierung öffentlicher Dienstleistungen im Rahmen der Initiative „Digitales Bangladesch“ hat die Regierung von Bangladesch zahlreiche Websites gestartet, um Online-Dienste anzubieten. Die Sicherheit dieser Plattformen, insbesondere der Passwortmechanismen, bleibt jedoch ein kritisches Anliegen. Diese Studie analysiert 36 bangladeschische Regierungswebsites anhand von sechs Passwortsicherheitsheuristiken, um deren Bereitschaft gegenüber Cyberbedrohungen zu bewerten.

2. Inhaltsverzeichnis

• 1. Einleitung
• 3. Hintergrund und verwandte Arbeiten
• 4. Methodik
• 5. Ergebnisse und Analyse
  • 5.1 Richtlinien zur Passworterstellung
  • 5.2 Passwort-Wiederherstellungsmechanismus
  • 5.3 CAPTCHA-Nutzung
  • 5.4 Sicherheitsfragen
  • 5.5 HTTPS-Einführung
  • 5.6 Passwortstärkeanzeige
• 6. Statistische Übersicht
• 7. Wichtige Erkenntnisse
• 8. Technische Details und mathematische Formulierung
• 9. Experimentelle Ergebnisse und Diagrammbeschreibung
• 10. Beispiel eines Analyseframeworks
• 11. Ursprüngliche Analyse
• 12. Zukünftige Anwendungen und Richtungen
• 13. Referenzen
• 14. Expertenkommentar

3. Hintergrund und verwandte Arbeiten

Passwörter bleiben trotz bekannter Schwachstellen der am weitesten verbreitete Authentifizierungsmechanismus. Frühere Studien haben gezeigt, dass schwache Passwortrichtlinien und fehlende HTTPS-Verschlüsselung weltweit häufige Probleme bei Regierungsportalen sind. Diese Studie ist die erste ihrer Art, die sich speziell auf bangladeschische Regierungswebsites konzentriert.

4. Methodik

Wir haben 36 bangladeschische Regierungswebsites ausgewählt, die Registrierungs- und Anmeldedienste anbieten. Jede Website wurde anhand von sechs Heuristiken bewertet: Richtlinien zur Passworterstellung, Passwort-Wiederherstellungsmechanismus, CAPTCHA-Nutzung, Sicherheitsfragen, HTTPS-Einführung und Passwortstärkeanzeige. Die Daten wurden manuell erhoben und gegengeprüft.

5. Ergebnisse und Analyse

5.1 Richtlinien zur Passworterstellung

Nur 12 von 36 Websites (33,3 %) gaben explizite Richtlinien zur Passworterstellung an. Die übrigen 24 Websites (66,7 %) boten keine Anleitung, was zu schwachen Passwortwahlen führte.

5.2 Passwort-Wiederherstellungsmechanismus

28 Websites (77,8 %) boten eine Passwortwiederherstellung per E-Mail an, während 8 Websites (22,2 %) keinen Wiederherstellungsmechanismus hatten oder auf manuelle Eingriffe angewiesen waren.

5.3 CAPTCHA-Nutzung

CAPTCHA wurde auf 20 Websites (55,6 %) implementiert. Die übrigen 16 Websites (44,4 %) verfügten über keinen Bot-Erkennungsmechanismus, was die Anfälligkeit für automatisierte Angriffe erhöht.

5.4 Sicherheitsfragen

Nur 9 Websites (25 %) verwendeten Sicherheitsfragen zur Passwortwiederherstellung. Die meisten Fragen waren vorhersehbar (z. B. „Wie heißt Ihr Haustier?“) und boten nur minimale Sicherheit.

5.5 HTTPS-Einführung

30 Websites (83,3 %) verwendeten HTTPS, aber 6 Websites (16,7 %) arbeiteten weiterhin mit HTTP und übertrugen Anmeldeinformationen im Klartext.

5.6 Passwortstärkeanzeige

Nur 10 Websites (27,8 %) boten eine Echtzeit-Passwortstärkeanzeige. Das Fehlen eines solchen Feedbacks trägt zur Wahl schwacher Passwörter bei.

6. Statistische Übersicht

7. Wichtige Erkenntnisse

• Die Mehrheit der Websites verfügt über keine Richtlinien zur Passworterstellung, was zu schwachen Passwörtern führt.
• Die CAPTCHA-Einführung ist unzureichend, was Websites Brute-Force- und automatisierten Angriffen aussetzt.
• Die HTTPS-Einführung ist relativ hoch, aber nicht universell, was Datenabfangrisiken birgt.
• Passwortstärkeanzeigen werden zu wenig genutzt, wodurch eine Gelegenheit zur Benutzerführung verpasst wird.

8. Technische Details und mathematische Formulierung

Die Passwortentropie $H$ wird berechnet als $H = L \cdot \log_2(N)$, wobei $L$ die Passwortlänge und $N$ die Anzahl der möglichen Zeichen ist. Für ein Passwort der Länge 8 mit 62 Zeichen (a-z, A-Z, 0-9) beträgt die Entropie $H = 8 \cdot \log_2(62) \approx 47,6$ Bits. Für Systeme mit geringem Risiko wird eine Mindestentropie von 30 Bits empfohlen, für sensible Daten 50+ Bits.

9. Experimentelle Ergebnisse und Diagrammbeschreibung

Diagramm 1: Einführungsrate der Heuristiken – Ein Balkendiagramm, das den Prozentsatz der Websites zeigt, die jede Heuristik implementieren. Die HTTPS-Einführung liegt mit 83,3 % an der Spitze, während Sicherheitsfragen mit 25 % Schlusslicht sind. Das Diagramm veranschaulicht deutlich die Diskrepanz in den Sicherheitspraktiken.

Diagramm 2: Verteilung der Passwortstärke – Ein Kreisdiagramm, das zeigt, dass 60 % der Websites Passwörter mit weniger als 8 Zeichen akzeptieren, 30 % 8-12 Zeichen erfordern und nur 10 % 12+ Zeichen vorschreiben.

10. Beispiel eines Analyseframeworks

Fallstudie: Website X (anonymisiert)

• Passwortrichtlinien: Keine vorhanden.
• Wiederherstellung: E-Mail-basiert, keine Sicherheitsfragen.
• CAPTCHA: Nicht implementiert.
• HTTPS: Ja.
• Stärkeanzeige: Nein.
• Risikostufe: Hoch – anfällig für Brute-Force- und Phishing-Angriffe.

11. Ursprüngliche Analyse

Diese Studie offenbart eine beunruhigende Kluft zwischen Politik und Praxis in der E-Government-Sicherheit Bangladeschs. Während die Regierung Fortschritte bei der Digitalisierung von Dienstleistungen gemacht hat, deutet das Fehlen grundlegender Passwortsicherheitsmaßnahmen – wie Richtlinien, CAPTCHA und Stärkeanzeigen – auf eine systematische Unterschätzung von Cyberrisiken hin. Besonders alarmierend sind die 16,7 % der Websites, die noch HTTP verwenden, da dies Benutzeranmeldeinformationen dem Abfangen durch Man-in-the-Middle-Angriffe aussetzt. Laut einem Bericht der Weltbank aus dem Jahr 2021 verlieren Entwicklungsländer jährlich schätzungsweise 0,5 % ihres BIP durch Cyberkriminalität, eine Zahl, die ohne Eingreifen steigen könnte. Die Ergebnisse decken sich mit der breiteren Forschung von Herley und van Oorschot (2012) zur Ökonomie der Passwortsicherheit, die argumentiert, dass das Benutzerverhalten stark vom Systemdesign beeinflusst wird. Das Fehlen von Stärkeanzeigen und Richtlinien verlagert die Sicherheitslast effektiv auf die Benutzer, denen oft die Fachkenntnis fehlt. Ein Vergleich mit ähnlichen Studien in Indien und Pakistan zeigt, dass Bangladesch bei der CAPTCHA-Einführung zurückliegt (55,6 % gegenüber 70 % in Indien), aber bei der HTTPS-Nutzung führend ist (83,3 % gegenüber 65 % in Pakistan). Dies deutet darauf hin, dass Investitionen in die Infrastruktur stattfinden, aber benutzerseitige Sicherheitsfunktionen vernachlässigt werden. Zur Verbesserung sollte die Regierung Mindeststandards für Passwörter vorschreiben, HTTPS für alle Domänen durchsetzen und CAPTCHA als grundlegende Anforderung integrieren. Die Implementierungskosten sind im Vergleich zu den potenziellen Verlusten durch einen Sicherheitsvorfall vernachlässigbar.

12. Zukünftige Anwendungen und Richtungen

Zukünftige Arbeiten sollten das Heuristik-Set um die Einführung der Multi-Faktor-Authentifizierung (MFA), Passwort-Hashing-Algorithmen und Sitzungsverwaltungspraktiken erweitern. Längsschnittstudien, die Veränderungen im Zeitverlauf verfolgen, könnten helfen, die Auswirkungen politischer Maßnahmen zu messen. Darüber hinaus könnten benutzerzentrierte Studien zum Passwortverhalten bangladeschischer Bürger bessere Gestaltungsrichtlinien ermöglichen. Die Integration biometrischer Authentifizierung und passwortloser Systeme (z. B. WebAuthn) stellt eine vielversprechende Richtung dar, um die Sicherheit zu erhöhen, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

13. Referenzen

1. Herley, C., & van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.
2. World Bank. (2021). Cybersecurity and Economic Development: A Global Perspective. Washington, DC.
3. Florencio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th International Conference on World Wide Web, 657-666.
4. Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy, 553-567.
5. Bangladesh Computer Council. (2020). National Cybersecurity Strategy 2020-2025. Dhaka.

14. Expertenkommentar