Neulich habe ich einen interessanten TED Talk von Lorrie Faith Cranor verfolgt. Frau Cranor forscht an der Carnegie Mellon University (CMU) im Bereich von benutzerfreundliche Methoden zum Schutz der Privatsphäre im Internet und der Verbesserung der Web-Sicherheit. Der TED Talk hat den Titel “What’s wrong with your pa$$w0rd?” und beschäftigt sich mit aktuellen Trends rund um die “Passwort-Forschung”.
Frau Cranor hat es gleich am Anfang auf den Punkt gebracht: Es ist schon schwierig genug sich ein gutes Password zu merken, aber was sollen die Benutzer nur machen, wenn sie hunderte Zugänge haben? Um einer Lösung dieser Problematik näher zu kommen, hat sie mit ihrem Team eine Umfrage bei 470 Anwendern durchgeführt und musste feststellen, dass 13 % der Befragten ihr Passwort niederschreiben und 80 % ihr Passwort wiederverwenden. Hier ist aber die Empfehlung der Expertin ganz klar: Schreiben sie sich das Passwort auf und verwahren sie den Zettel an einem sicheren Ort, aber benutzen sie ein und dasselbe Passwort nie für einen weiteren Zugang. Interessant war auch zu sehen, dass die Symbole !, @, #, * über 70% der genutzten Symbole ausmachten.
In einem weiteren Experiment sammelte die Forschergruppe 5000 Passwörter über Amazon Mechanical Turk (das ist ein Amazon Dienst, mit dem man kleine Aufgaben gegen Bezahlung von unbekannten Menschen bearbeiten lassen kann) und versuchten die so gewonnen Passwörter zu kompromittieren. Auch hier waren wieder dieselben 5 Symbole die am meisten genutzten. Außerdem konnten die Forscher herausfinden, dass komplexe Passwörter (also mit Symbolen) genauso robust waren, wie lange Passwörter. Allerdings sind die Anwender von komplexen Passwörtern frustriert, da diese schwer zu merken sind. Somit könnte ein Fazit lauten: Besser lange Passwörter als komplexe, wobei dieses Fazit zu kurz gegriffen ist. Denn eine einfache Wiederholung eines Wortes, z.B. passwortpasswortpasswort, reicht natürlich nicht aus.
Um herauszufinden, was eine sinnvolle Möglichkeit ist, lange und gut merkbare Passwörter zu erzeugen, haben die Forscher folgende Varianten getestet:
- die Verwendung von Passwort-Sätzen
- 4 automatisch generierte Wörter die mittels eines Trennzeichens verbunden werden (Diese Methode ist durch ein XKCD Comic bekannt geworden. Wer solche Passwörter testen will, kann sich diese auf der Webseite gute-passwoerter.de erzeugen lassen. Außerdem lesen Sie doch bitte auch unseren Beitrag: „Korrekt Pferd Batterie Klammer“)
- Sätze in der Form: Substantiv, Verb, Adjektiv, Substantiv
- durch ein Computer generierte kurze aber komplexe Passwörter
- künstliche, aber aussprechbare Wörter
Das Ergebnis war eindeutig: Obwohl die komplexen Passwörter kurz waren, konnten sich die Anwender diese schwer merken. Genauso verhielten sich auch die Passwörter aus vier gängigen Wörtern. Die Sätze in der Form Substantiv, Verb, Adjektiv, Substantiv waren da schon besser, aber durch deren Länge haben sich die Anwender bei der Eingabe der Passwörter häufig vertippt. Gut merken, konnten sich die Anwender diese Passwörter auch nicht. Als einzige Methode konnten die künstlichen, aber aussprechbaren Passwörter einigermaßen überzeugen.
Abschließend haben die Forscher noch ein Experiment mit tatsächlich verwendeten Passwörtern gemacht, wodurch sie zeigen konnten, dass Aufklärung auch im Bereich der Passwörter wichtig ist: Denn Passwörter von Studenten der Informatik waren 1,8 mal stärker, als Passwörter von Wirtschaftswissenschaftlern. Und außerdem kann man generell feststellen, dass alle Anwender folgende Strategie bei der Erstellung von Passwörtern verfolgen:
- Etwas, was leicht zu tippen ist.
- Etwas, was uns an das Passwort oder den Account erinnert.
- Etwas, was uns glücklich macht.
Somit kam Frau Cranor am Schluss zu dem durchaus ernst gemeinten Rat: „Wenn Du Dein Passwort erzeugst, denk an etwas anderes, als an etwas, was Dich glücklich macht!“
Bildquellen
- Login Fenster: achinverma by www.pixabay.com | CC0
