Studie der Carnegie Mellon University

Nach einem Hackerangriff sein Passwort ändern? Nein danke.

Uhr
von Yannick Chavanne und Übersetzung: René Jaun

Wird ein Datendiebstahl bekannt, sind Internetnutzer angehalten, ihre Passwörter zu ändern. Doch laut einer Studie der Carnegie Mellon University befolgt die Anweisung kaum jemand. Und wer es tut, dessen neues Passwort ist meistens nicht stärker als das alte.

(Source: Pixabay)
(Source: Pixabay)

Die meisten ändern ihr Passwort nicht, nachdem es kompromitiert wurde. Und wenn sie es tun, ist das neue Passwort oft schwächer als das alte. Zu diesen Ergebnissen kommt eine kürzlich durchgeführte Studie des Security and Privacy Institute der Carnegie Mellon University. Unter den 249 Teilnehmern fanden die Forscher 63, die Konten auf einer Website hatten, die in der Vergangenheit Opfer eines Datenabflusses waren. Die meisten fanden sich unter den drei Milliarden Konten von Yahoo, deren Zugangsdaten Hacker bis Ende 2016 veröffentlichten.

Nur ein Drittel der von diesem Leak betroffenen Nutzern änderte seine Passwörter. Und die Mehrheit von ihnen nahm sich viel Zeit dafür: Nur zwei Studienteilnehmer wechselten sie innerhalb eines Monats, fünf binnen zwei Monaten und acht binnen drei. Zudem war die vorgenommene Änderung oft nicht sehr inspiriert: Mehr als die Hälfte der Teilnehmer wählten ein neues Passwort, das gleich stark oder schwächer als ihr vorheriges war. Das heisst, dass ein Hacker oft weniger Versuche brauchen würde, um das neue Passwort zu knacken.

Es braucht mehr Abwechslung

Besorgniserregend war auch die Erkenntnis, dass die verwendeten Passwörter oft jenen ähnelten, die die Benutzer für andere Konten gesetzt hatten. Wenn Personen nach einem Datenleak ihre Passwörter überhaupt änderten, taten sie dies zwar auf der gehackten Website, aber fast nie (in durchschnittlich 4 von 30 Fällen) auf den anderen Portalen, für die sie dasselbe oder ein ähnliches Passwort nutzen. Die Autoren der Studie fordern Unternehmen, die Opfer eines Cyberangriffs geworden sind, dazu auf, ihre Nutzer zu sensibilisieren. Sie sollten deutlich machen, dass sie auf anderen Websites angreifbar bleiben, wenn sie ihre Passwörter lediglich auf der gehackten Website änderten.

Dass ein Passwort besonders komplex sein muss, wird heutzutage oft angezweifelt. So warnt etwa Microsoft in seinen Empfehlungen für Passwortrichtlinien davor, in Passwörtern Gross-, Kleinbuchstaben, Satzzeichen und Ziffern zu verlangen. "Komplexitätsanforderungen führen dazu, dass sich der Nutzer vorhersehbar verhält, was mehr schadet als nützt", schreibt Microsoft. Welche Kennwörter Sie keinesfalls wählen sollten, finden Sie in dieser Liste der 100 schlechtesten Passwörter.

Webcode
DPF8_181586