Studie der Uni Cambridge
Deutsche Passwörter mit am sichersten
„Das beängstigendste Resultat unserer Studie ist, wie wenig sich die Passwort-Verteilung zu unterscheiden scheint – bei all den verschiedenen von uns isolierten User-Populationen, die eine effektive Security-Variation von nicht mehr als einigen Bits zeigte“, fasst Bonneau zusammen. Im Klartext heißt das zum Beispiel, dass es für die Erfolgsquote von Hackerangriffen fast keine Rolle spielt, ob ein Passwort von einer weiblichen Nutzerin oder eine männlichen Nutzer stammt.
Nutzer kaum zu sicheren Passwörtern zu motivieren
Die mathematisch anspruchsvollen Berechnungen des Wissenschaftlers aus England förderten auf fast allen Ebenen kaum signifikante Unterschiede zu Tage. Getestet wurde sowohl im Hinblick auf Cyberattacken, bei denen Hacker unter Zeitdruck ihre Passwort-Listen bei einer großen Gruppe von Zugängen anwenden wollen, als auch auf Offline-Attacken, bei denen den Angreifern mehr Zeit für gezieltere Versuche bleibt. Die permanente Gefahr ändert nun offensichtlich nichts daran, dass viele Nutzer immer noch leichtfertig durchschaubare Kombinationen aus nur wenigen Buchstaben als Passwort wählen.
„Die Security-Motivation erhöhende Faktoren wie die Registrierung einer Kreditkarte scheinen die Nutzer lediglich von der Wahl der schwächsten Passwörter abzuhalten“, so Bonneau weiter. Auch gezielte Ansprache von Anbieterseite macht offenbar nur einen geringen Unterschied.
So wies Yahoo! bei einem Teil der Nutzer speziell auf die Security-Risiken schwacher Passwörter hin oder erzwang sogar eine Mischung aus Groß- und Kleinbuchstaben sowie Ziffern. Das brachte zwar einen gewissen Effekt, motivierte viele User aber nicht zur Wahl wirklich komplexer Passwörter.
Es sei häufig argumentiert worden, dass Nutzer rational bei der Passwortwahl vorgingen, so Bonneau: leichter zu knackende Codes bei unwichtigen Accounts, besser durchdachte Kombinationen bei kritischen Zugängen. Diese Annahme bestätige sich bei der Analyse der Yahoo!-Daten aber nicht, bemerkt der Forscher. „Das kann auf das zu Grunde liegende Problem mit Passwörtern hinweisen, dass die User nicht steuern wollen oder können, wie leicht ihre Passwörter zu entschlüsseln sind“, schlussfolgert Bonneau.