Studie: Deutsche über 55 wählen die sichersten Passwörter

Ein Informatiker der Universität Cambridge hat die Passwortsicherheit von fast 70 Millionen Yahoo-Nutzern untersucht. Die Kennwörter standen ihm dabei nicht im Klartext zur Verfügung. Sie waren für die Studie (PDF) nicht nur anonymisiert, sondern durch Hashing mit einem geheimen und anschließend vernichteten Schlüssel vor möglichem Missbrauch gesichert.

Joseph Bonneau konnte damit die bislang größte Anzahl von Passwörtern analysieren, die von Nutzern selbst gewählt wurden. Er glaubt, aus der großen Datenmenge verlässliche statistische Schlussfolgerungen ableiten zu können. Einen Vorteil gegenüber früheren Studien mit geleakten Passwörtern sieht er darin, dass aufgrund der legalen Herkunft auch demografische Faktoren bekannt waren und verglichen werden konnten.

Für die Studie wurden 70 Millionen Yahoo-Passwörter analysiert (Screenshot: Chris Matyszczyk / News.com).

Zu den teilweise überraschenden Ergebnissen gehört, dass ältere Nutzer zu deutlich sichereren Passwörtern neigen als junge. Menschen ab 55 Jahren wählen demnach doppelt so sichere Passwörter wie unter 25-Jährige. Beim Vergleich verschiedener Nationalitäten ergab sich außerdem, dass deutsche und koreanische Anwender die stärksten Passwörter wählten. Die unsichersten Kennwörter suchten demnach Indonesier aus.

Nutzer, die Kreditkartendaten mit ihrem Konto verbanden, achteten nur geringfügig mehr auf ihre Sicherheit. Zu besonders starken Passwörtern tendierten hingegen diejenigen, die ihr Passwort von Zeit zu Zeit änderten. Ein völlig identisches Passwort wählten 0,14 Prozent aller Nutzer – vermutlich eine über alle Kulturen hinweg naheliegende Zahlenkombination.

Bonneau trug seine Erkenntnisse bei einer Fachtagung über Sicherheit und Privatsphäre in San Francisco vor. Laut New Scientist klassifizierte er die Sicherheit nach Bits, wobei ein Bit einem richtig erkannten Münzwurf entspricht und jedes weitere Bit die Passwortstärke verdoppelt. Die von den Nutzern gewählten Passwörter bewiesen demnach oft nur eine Stärke von weniger als 10 Bits gegen Online-Angriffe, was 1000 Versuchen gegen jedes mögliche Passwort entspricht.

Das erschien ihm deshalb überraschend, weil schon ein zufällig gewähltes Passwort aus Zahlen sowie Klein- und Großbuchstaben eine Stärke von 32 Bits gewährleistet. Er schlägt deshalb vor, wenigstens eine zufällige Zahl mit neun Ziffern vorzugeben, die immerhin 30 Bits und damit ein Vielfaches an Sicherheit bringe: „Ich denke, man kann von den Menschen vernünftigerweise erwarten, sich das zu merken, weil sie es schließlich auch mit Telefonnummern tun“, argumentiert er.

[mit Material von Chris Matyszczyk, News.com]