Passwort-Sicherheit: Der User als Pawlow’scher Hund

Heartbleed-Passwort

Sichere Passwörter zu benutzen ist für viele Anwender ein Graus. Wer soll sich schon lange Zeichenketten merken, wenn das System auch einfache Wörter akzeptiert? Mit einem Trick versuchen Forscher nun, die Faulheit der Nutzer zu überlisten.

Es ist ein Trick in die Mottenkiste: Mit einem Belohnungssystem aus dem Bereich der klassischen Konditionierung will Lance James von Deloitte & Touche die Anwender dazu bringen, sichere Passwörter zu verwenden. Je einfacher ihr Passwort ist, desto häufiger müssen sie es seinem Vorschlag nach wechseln – und wenn es sehr kompliziert ist, wird der Wechsel sehr viel seltener zur Pflicht. Das berichtet die Website Ars Technica.

Lance James nennt dieses Bestrafungs- und Belohungssystem passenderweise Pawlow’sches Passwortmanagement. Der Knackpunkt von James’ System liegt in der Bewertung, was ein gutes und was ein schlechtes Passwort ist. So kann nicht zwangsläufig davon ausgegangen werden, dass ein langes Kennwort mit vielen Zahlen, Groß- und Kleinbuchstaben schlechter zu knacken ist als ein etwas kürzeres, denn viele Hacker gehen einfach nicht mehr mit Brute-Force-Algorithmen vor, bei denen sämtliche Buchstabenkombinationen durchprobiert werden.

Eine ähnliche Idee wie James hatten Forscher an der Uni Stanford, die auf die Anwenderwünsche nach leicht merkbaren Kennwörtern besser eingehen. Ihr System erlaubt bei sehr langen Kennwörtern den Verzicht auf Zahlen und Großbuchstaben und legt einen strengen Maßstab hinsichtlich der zu verwendenden Zeichen nur an, wenn kürzere Kennwörter gewählt werden müssen.

Bild: Shutterstock

Tags :
  1. Ich kann einfach nicht nachvollziehen, warum sich eine absolut einfache Methode, sich auch komplexe und sichere Passwörter zu generieren, einfach nicht durchsetzt. Dabei sind diese Passwörter auch noch gut zu merken.

    Man nehme einen Satz, den man sich gut merken kann. Z. B.

    “Ich bin ’62 geboren und fahre seit dem 18. Lebensjahr ein Auto.”

    Daraus nimmt man nun alle Anfangsbuchstaben, Sonderzeichen und Zahlen:

    Ib’62gufsd18.LeA

    Nun einfach für das Programm, den Dienst, die Webseite oder was auch immer eine eigene Regel hinzunehmen. Z. B. den ersten, dritten und den letzten Buchstaben, diese in Kombination “klein, groß, klein geschrieben” anhängen. Aus “Gizmodo” würde so beispielsweise “gZo”

    Das dann an die “Basis” hängen, ergibt:

    Ib’62gufsd18.LeAgZo

    Et voilà – ein recht sicheres Passwort, kryptisch – dennoch leicht zu merken, obwohl man für jede Seite oder jedes Programm ein anderes Passwort nimmt. Ich “merke” mir auf diese Art und Weise mehrere hundert Passwörter, eine “Sicherung” liegt als Excel-Tabelle auf einer SD-Karte im Tresor.

    Wer will, nimmt nun noch verschiedene Basis-Sätze (je nach Wichtigkeit, Dienst etc.). So dass Passwörter für weniger sicherheitsrelevante Seiten ggf. kürzer sein können.

    Ärgerlich ist das dann, wenn einem das System immer wieder vorschreibt, dass man das Passwort zu ändern hat – auch wenn es eigentlich kryptisch genug ist. Da muss man sich dann für solche Dienste immer wieder neue Regeln ausdenken…

    1. “Ärgerlich ist das dann, wenn einem das System immer wieder vorschreibt, dass man das Passwort zu ändern hat – auch wenn es eigentlich kryptisch genug ist.” sehe ich auch so, aber bei unserem IT-Chef redet man da gegen eine Wand. Das SAP-Passwort ist einmal im Monat zu ändern, das für die Windows-Anmeldung einmal im Quartal. Es muss mindestens X Unterschiede zum alten Passwort geben, und die letzten XY Passwörter dürfen nicht benutzt werden. Ergebnis: in fast jedem Büro kleben gelbe Zettel am Monitor oder unter der Tastatur. Je nach Intelligenz des User steht da das vollständige Passwort, ein Teil des Passworts, eine Anleitung, das Passwort zu bilden, drauf. Worin genau liegt da eigentlich der Sicherheitsgewinn?

      1. Naja, der IT Chef ist ua dafür verantwortlich, dass euer System sicher ist und sich niemand unbefugt Zugang verschaffen kann. Es hat schon seinen Grund, warum man jeden Monat das Passwort wechseln soll. Schreibt der IT Chef das nicht vor und es passiert etwas, hat er fahrlässig gehandelt und ist uU seinen Job los. Schreibt er das aber vor und die Mitarbeiter kleben sich ihr PW an den Bildschirm, dass sind die Mitarbeiter fahrlässig, weil bestimmt in irgendwelchen Richtlinien steht, dass man das nicht darf, und die Mitarbeiter müssen Angst um ihren Job haben, wenn etwas passiert.

  2. websites die mich zwingen ohne grund mein password zu ändern sind für mich eh gestorben sofern ich sie nicht zwingend benötige…

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising