Auf dieser Seite geht es darum, wie Benutzer sicher authentisiert werden können. Es vielen Gründen sind Passworte (bzw. PIN-Codes) immer noch das dominierende Verfahren. Das gilt sowohl für die Anmeldung auf den zahlreichen Websites, bei denen wir uns registrieren müssen wie auch für das Entsperren von Geräten, sei es Smartphones oder auch Laptops. Dabei gibt es einiges zu bedenken und dies beschreibe ich auf dieser Seite.
Aktuelles April 2020:
Neue Studie der Cisco Talos Intelligence Group zu den Möglichkeiten, Authentisierung mittels Fingerabdruck auszuhebeln. Getestet wurden 6 Geräte: iPad, iPhone, Samsung Galaxy S10, Samsung Galaxy Note 9 und Honor 7X. Alle diese Geräte liesen sich relativ leicht austricksen. Nicht gelungen ist es bei Notebooks mit Windows 10 und Windows Hello. Getestet wurden 3 Verfahren: ein Abdruck des Fingers in Plastilin, ein Fingerabdruckscanner im Zusammenspiel mit einem Arduino Uno und ein hochauflösendes Foto eines Abdrucks mit anschließender Bildbearbeitung. Der so gewonnene Abdruck wurde dann mittels 3D-Druck umgesetzt. Das Gewinnen das Abdrucks vom Foto war am schwierigsten, ist aber in einigen Fällen auch gelungen. Fazit: Für wirklich sicheres Entsperren ist der Fingerabdruck nicht geeignet.
Aktuelles Jan. 2019:
2,3 Milliarden Passworte sind unter dem Namen Collections #1-5 zusammengestellt worden. Ob man selbst dabei ist prüft man indem man eine der beiden Websites aufsucht: Hasso-Plattner-Institut und/oder Have I been Pwned. (Zu "Have I been Pwned" gibt es ein deutschsprachiges Interface bei Experte.de - wenn die eigene Email-Adresse dort gefunden wurde, so muss sieht man auch in welchem der Leaks das war. Wenn die Website bekannt ist, so kann man dort gezielt das Passwort ändern).
Bei 2,3 Milliarden (und wachsend) ist typischerweise fast jeder irgendwo enthalten. Wenn man genug Info bekommt, kann man gezielt diese Passworte ändern. Beim Hasso-Plattner-Institut gibt es auch Listen der häufigsten Passworte.
Ebenfalls Jan. 2019: "Sextortion" mit Hilfe von gestohlenen Passworten.
Ein leider sehr erfolgreicher Trick für den diese (mehr oder weniger) alten Passworte verwendet werden ist der sog. Sextortion-Trick. Es werden Emails versendet die ein echtes Passwort oft bereits im Betreff enthalten und dies als Beweis nehmen, dass der Rechner des Opfers geknackt wäre und dass der Versender des Emails ein Video hätte, das beim Pornkonsum aufgenommen worden wäre. "Und ob man denn wirklich wolle, dass dieses Video alle Kontakte versendet wird?" Daran ist fast alles erlogen, stimmen tut nur, dass der Versender sich aus der Sammlung ein (mehr oder weniger altes) Passwort besorgt hat und jetzt mal schaut, ob der Empfänger darauf hereinfällt. Spätestens so ein Mail sollte man als Anlass nehmen, zumindestens auf allen Website auf denen dieses Passwort verwendet wurde, eine Passwort-Änderung zu machen (und vielleicht gleich zu einem Passwort-Manager zu wechseln.)
Die Zahlungen sollen per Kryptowährung passieren, d.h. sie sind zwar pseudonym, aber nicht anoynm. Es ist zu sehen, wie viel da so gezahlt wurde, hier Sextortion: Follow the Money Part . (der verlinkte Artikel verlinkt weiter auf einen Blockchain-Viewer, d.h. jedermann kann dort die Bewegungen auf den Konten sehen - so öffentlich sind die Bitcoin-Zahlungen.)
Es ist nicht ganz einfach zu sehen, wie viel Geld die Betrüger verdient haben, denn es werden sehr viele unterschiedliche Bitcoin-Adressen verwendet und die Gelder werden verschoben um eine Entdeckung bei der Auszahlung in "richtiges Geld" zu vermeiden. Aber insgesamt scheint es sich um ca. 40 Mio USD zu handeln, die Erpresser warten aber wohl noch, ob der Wert noch mal steigen wird.
Tipps für gute Passworte
Nachdem wir jetzt so viel schreckliches über Passworte gehört haben wird es jetzt etwas positiver: Wie geht man am besten mit den vielen Passworte um die sich nun mal bei intensiver Nutzung des Internets so ansammeln. Auf jeder zweiten Website und bei jedem Shop wird einem angeboten, sich die immer wiederkehrende Eingabe der Daten zu sparen und einen Account anzulegen. Aber nach "Geräten-mit-veralteter-Software" sind schlechte Passworte wohl die größte Schwachstelle, die Benutzer im Web haben können.
Natürlich ist es gut, wenn man sog. starke Passworte einsetzt, aber noch viel viel wichtiger ist es, dass Passworte nicht wiederverwendet werden, sondern jede der Websites ein eigenes Passwort hat. Auf die Frage, wie man sich diese Hundert und mehr Passworte merken soll komme ich dann weiter unten in meinem Text über Passwort-Manager.
Hier jetzt die Erklärung, was ein starkes Passwort ausmacht: mindestens 8 Stellen (als absolutes Minimum, ich empfehle mindestens 12), mit Zahlen - aber die nicht am Ende und mit Großbuchstaben - aber nicht am Anfang des Texts, und auf jeden Fall auch noch mit Sonderzeichen. Das ist aber nur dann eine Herausforderung, solange ich versuche, mit die Passworte alle zu merken, und das geht bei den vielen Passworten, die wir heute auf allen Shopping-Websites (100+ Passworte sind das sicherlich) nicht wirklich. (Für alle, die ihre Passworte wirklich im Kopf behalten wollen, bzw. einige ihrer wichtigsten Passworte, gibt es an anderer Stelle einige Tipps, wie man durch leichte Veränderungen aus schwachen Passworten bessere Passworte machen kann.) Aber eigentlich empfehle ich: 'starke Passworte überall', verwaltet in einem Passwort-Manager.
Ein wichtiger Punkt, der bei Passworten beachtet werden sollte, ist, dass die Kritikalität von Passworten nicht überall gleich ist. Dafür muss man das Risiko abschätzen, was passieren kann, wenn ein Betrüger mein Passwort kennt. Sofort sagen vermutlich viele, dass das Passwort für ihr Bankkonto das wichtigste ist. Das stimmt aber nur begrenzt. Denn alle europäischen Banken haben mittlerweile eine sog. 2-Faktor-Authentisierung eingerichtet (sie wurden durch die EU zu 'ihrem Glück' gezwungen), daher eröffnet der Verlust des Bankenpassworts noch nicht den Zugriff auf mein ganzes Geld.
Ganz kritisch sind aber die Email-Konten und zwar, weil Email-Konten für Passwort-Recovery /Passwort-Rücksetzung genutzt werden. Dh, wenn ein Angreifer möglichst viele Konten eines Menschen "knacken" will, so wird er versuchen, an ein Email-Konto zu kommen und dann auszuprobieren, ob er darüber nicht alle anderen Passworte zurücksetzen kann. Ein drastisches Beispiel ist der Hack ganz vieler Konten eines bekannten Tech-Journalisten: Er hat über Passwort-Rücksetzungen sein Amazon-, Apple-, Gmail-, plus Twitter-Konto verloren und weil der Angreifer auch seinen iCount-Account geknackt hat, auch alle Fotos seiner Kinder . Der wirkliche Schutz gegen solche Angriffe ist das Einrichten von 2-Faktor-Authentisierung, die aus diesem Grund für alle Email-Konten dringend angeraten wird.
Zurück zu Passwort-Qualität: Die einzigen wirklich guten Passworte sind solche, die noch niemand je genutzt hat. Das testet man recht einfach, indem man checkt, ob das Passwort bereits in den mehr als 2,3 Milliarden geknackten Passworten enthalten ist. Denn Angreifer testen routinemäßig alle diese jemals genutzten Passworte durch. Und weil die Angreifer alle jemals verwendeten Passworte durchprobieren ist es am sichersten, ein noch nie verwendetes Passwort zu nutzen.
Denn die größte Gefahr für Passworte stellen nicht unachtsame Benutzer dar, sondern Website-Betreiber die sich die Passwort-Dateien abnehmen lassen. Fast jede Woche lässt sich irgendwo auf der Welt ein Betreiber seine/ihre Passworte abnehmen. Und die "Finder" der Passworte probieren diese dann bei allen gängigen Diensten aus. D.h. wenn z.B. der Betreiber einer Dating-Website Ihr Passwort "verliert", so wird die gleiche Kombination aus Benutzername (=Email-Adresse) und Passwort sofort bei temu, amazon, ebay, netflix, gmail, apple, hotmail, gmx durchprobiert.
Ob das eigene Passwort bereits bekannt ist, testet man auf haveibeenpwned.com. Hier die
Hinter der Website steht eine Sammlung von vielen Millarden gestohlener und geknackter Passworte.
Ein wichtiger Faktor für ein "gutes" Passwort ist, dass es in keiner dieser Listen verwendet wurde, weil diese Listen die Basis für Brute-Force Angriffe sind.
Hier mein Tipp:
Geben sie auf https://haveibeenpwned.com/Passwords ein beliebiges PW ein, das sie für sicher halten, und sehen sie, ob es bei den irgendwann mal geknackten Passworten dabei ist. Falls es dabei ist, so sollten sie es nicht mehr nutzen.
Außerdem kann man seine eigene Email-Adresse auf der Website angeben und sehen, ob sie in einem der vielen Leaks als Benutzernname dabei war.
Die beste Möglichkeit, für jede Website ein eigenes Passwort zu haben, sind sog. Passwortmanager. Dies sind Programme die alle ihre Passworte in verschlüsselter Form speichern. Dh, ich muss mir nur noch das eine (Master-)Passwort des Passwortmanagers merken und dann habe ich alle anderen im Zugriff, egal wie komplex sie sind. Diese Passwort-Manager schlagen einem bei Bedarf Passworte vor, die nur aus Zufallsfolgen bestehen und absolut nicht zu merken sind. Oft nehme ich dann die Folge und verdoppele sie noch mal. Ich muss es mir weder merken, noch eintippen, denn diese Passwort-Manager fügen typischerweise die Passworte (mehr oder weniger) automatisch in die Login-Felder ein.
Die meisten dieser Lösungen bieten die (optionale) Funktionalität, dass alle ihre Passworte in der Cloud gespeichert werden. Der Vorteil dieser Option ist, dass sie auf diese Weise die Passworte auf allen ihren Geräten im Zugriff haben. Der Nachteil ist, dass Angreifer sehr aktiv versuchen, in diese Cloud-Systeme einzudringen. Daher ist eine Speicherung nur auf dem lokalen Gerät bei ihnen zu Hause ganz deutlich sicherer als jede Cloud-Lösung. Aber: Alles ist sicherer, als schwache Passworte oder wiederverwendete Passworte. Hier ein Test von Passwort-Managern aus 2025. (Das Resumé des Tests: Einige der Passwort-Manager haben Verbesserungsmöglichkeiten, aber jeder ist immer noch besser, als keinen Passwort-Manager zu nutzen.)
In diesem Test werden auch die 'eingebauten' Passwort-Manager in den Web-Browsern wie Chrome oder Firefox inkludiert. Und die schneiden gar nicht schlecht ab. Wichtig ist bei Passwort-Manager in Web-Browsern, dass diese Passwort mit einem Master-Passwort geschützt werden (dies ist manchmal optional, sollte aber genutzt werden).
Im Passwortmanager kann ich nicht nur meine Passworte abspeichern, sondern vieles mehr, das später einmal hilfreich sein könnte: zB die Email-Adresse, die ich bei der Registrierung verwendet habe (das muss ja nicht ihre Hauptadresse sein, sollte es vielleicht auch gar nicht), natürlich das Passwort, aber auch die Sicherheitsfrage und ihre Antwort (falls abgefragt), ein zusätzlicher PIN-code, falls notwendig, Helpdesk Tel-Nr., das (falsche) Geburtsdatum, das sie dort evt. eingegeben haben, welche Handynummer sie für Passwort-Rücksetzen hinterlegt haben, Kreditkartennummern, die bei diesem Account dort hinterlegt sind, etc. etc.
So eine zentrale Stelle in der ALLE Accounts gesammelt werden können, kann sehr hilfreich sein. ZB wenn sie aus irgendeinem Grund den Mail-Anbieter oder die Telefonnummer ändern wollen und wissen wollen, so sie diese Infos alles im Web hinterlassen haben (ich
Hier geht es zur Gesamtserie "Wie bin ich im Internet sicher unterwegs?"
Richtige Passworte von richtigen Menschen
Angriffe auf Websites haben interessantes statistisches Material über die Passworte zu Tage gefördert, die von den Benutzern genutzt wurden. Jan. 2019 ist die größte Sammlung auf 2,3 Milliarden Passworte angewachsen. Hier jetzt einige typische Beispiele aus früheren Hacks, aktuelle Passwortlisten sind beim Hasso-Plattner-Institut . Dort kommt das beliebeste Passwort "123456" aber mittlerweile auf fast 5%.
flirtlife.de
MySpace.com
Passwort
Anzahl
Passwort
in %
123456
1375
password1
0.22%
ficken
404
abc123
0.11%
12345
367
myspace1
0.11%
hallo
362
password
?
123456789
260
blink182
?
schatz
253
qwerty1
?
12345678
215
fuckyou
?
daniel
215
123abc
?
askim
184
baseball1
?
nadine
177
football1
?
1234
176
123456
?
passwort
173
soccer
0.04%
sommer
159
monkey1
?
baby
159
liverpool1
?
frankfurt
159
princess1
?
jordan23
?
slipknot1
?
superman1
?
iloveyou1
?
monkey
0.02%.
Eine sehr interessante Studie von Microsoft Research untersuchte die Passwort-Nutzung von 500 000 Benutzern. Sie finden dabei u.a., dass der durchschnittliche Web-Nutzer auf 25 Websites Passworte verwendet, die er/sie auch bei anderen Website nutzt und dass für Websites mit gemeinsamen Passworten im Schnitt 3,9 unterschiedliche Passworte verwendet werden. Wenig überraschend ist, dass die schwächeren Passworte bei einer größeren Zahl von Websites verwendet werden. Die dort beobachteten Webnutzer gaben pro Tag im Schnitt 8,5 mal diese mehrfach genutzten Passworte ein. Die Zahl der vergessenen Passworte bei yahoo.com wird mit 4% pro Quartal abgeschätzt und 0,4% der Benutzer scheinen pro Jahr auf eine Phishing-Website hereinzufallen (dieser Wert wird in anderen Untersuchungen ähnlich abgeschätzt).
Bei den 4-stelligen PIN-codes ist es nicht besser. In der Regel reichen 11 Versuche und wenn der Angreifer 6 Versuche hat so kann er damit 9% aller PINs knacken. Hier ein Artikel in der Süddeutschen zu den 20 schlechtesten PIN-Codes.
Biometrie als scheinbare Lösung des Passwort-Problems
Um es gleich vorher zu sagen: Nein, die Biometrie ist keine Lösung, denn sie hat zwei schwerwiegende Probleme bei der Authentisierung:
Das erste Problem ist das schwerwiegendste: Wenn die biometrische Authentisierung geknackt ist, z.B. sind die biometrischen Daten in der Öffentlichkeit, dann gibt es keine Möglichkeit eines "Passwort-Resets"
Das zweite Problem ist, dass es nur sehr wenige Verfahren gibt, die wirklich sicher sind. Fast alles was am Markt derzeit eingeführt wird ist auszutricksen, vor allem Fingerabdrücke und Gesichtserkennung.
Unser Gesicht zeigen wir jeden Tag und unsere Stimme ist auch nicht geheim (Stimmen sind schon aus Anrufbeantworter-Nachrichten entnommen worden), und bei Fotos mit guter Auflösung kann auch die Iris gut erkannt werden. Sicherer sind Retina-Scan und die Venenstruktur der Hände, aber die lassen sich nicht so einfach in ein Smartphone integrieren. Daher wird dort hauptsächlich mit Fingerabdruck, Gesicht und Retina experimentiert. Und diese Geräte lassen sich recht leicht austricksen: Ärzte täuschten Scanner mit Silikon-Fingern bei der Erfassung der Arbeitszeit.
In dem folgenden Artikel erklärt ein Mitglied des CCC warum Bezahlen mit Selfie und Fingerabdruck nicht sicher ist. Er erklärt z.B. wie er die Lebenderkennung bei der Gesichtserkennung von Mastercard mit einem Stabilo-Stift überlisten kann. Er empfielt Venenscanner, aber die sind (derzeit) auf eingebaute Geräte begrenzt, z.B. für den Eintritt in Hochsicherheitsbereiche.
Wenn es aber mal gelungen ist, das biometrische Verfahren bei einem konkreten Bürger auszutricksen, z.B. durch einen künstlichen Fingerabdruck, der über den Betrüger-Finger gestreift wird, so sind wir bei dem Problem, dass wir der Person, deren Fingerabdruck 'gestohlen' wurde, keine neuen Fingerabdrücke verpassen können. D.h. alle Systeme, bei denen mit den Fingerabdrücken ein Zugang möglich ist, stehen dem Angreifer offen, oder die 'echte Person' wird ausgeschlossen.
Hier noch ein weiteres Problem der Biometrie. Bei einem Passwort ist die Eingabe des Nutzers entweder richtig, oder sie ist falsch, die Entscheidung ist binär. Es gibt kein "fast richtig". Biometrische Verfahren sind analog, d.h. es gibt eigentlich nie "ganz richtig", denn die akutelle Messung des Gesichts oder des Fingerabdrucks stimmt immer nur "ungefähr" mit den gespeicherten Werten überein. Daher werden Schwellwerte eingestellt, bei deren Überschreitung ein "richtig" angenommen wird.
Es gibt dabei 2 Arten von Fehlern: False Positive sind Übereinstimmungen obwohl es unterschiedliche Personen sind (z.B. weil sich die Merkmale relativ ähnlich sehen oder der Schwellwert auf "unkritisch" gestellt wurde), False Negative sind die Ergebnisse von Prüfungen, bei denen die richtige Person abgewiesen wird, weil die akutelle Messung anders ausgefallen ist, als die gespeicherten Werte. Es gibt kein biometrisches Verfahren, bei dem dieses Problem nicht auftritt. Abhängig davon wie wichtig es ist, dass keine Fehler der einen oder anderen Art auftreten wird der Schwellwert geeignet eingestellt. Dabei ist es so, dass wenn man die False Negative reduziert (damit die Benutzer nicht frustriert sind, dass sie ihr eigenes Gerät nicht entsperren können), sich automatisch die False Positive erhöhen (d.h. Angreifer können auch mit schlampigen Replikationen zum Zug kommen).
Daher spricht sehr viel für gute Passworte, in Verbindung mit einem zweiten Faktor wenn es sicherer sein soll. Und deswegen handelt der Rest des Texts von richtigen Passworten, wie sie angegriffen werden und wie man sie richtig nutzt.
Passwort-Cracking - technischer, kann gern übersprungen werden
Um wirklich zu klären, wie gute Passworte aussehen sollten, hat Arstechnica in 2013 auch so einen Crack-Test durchführen lassen. Hier eine Zusammenfassung der Ergebnisse (mit einigen Ergänzungen meinerseits):
Normalerweise werden starke Passworte immer dann benötigt, wenn der Angreifer die Möglichkeit zu beliebig vielen Versuchen hat. Wenn nach 3 Versuchen blockiert wird, so sollten auch etwas schächere Passworte ausreichen. Deswegen ist es durchaus akzeptabel, wenn Bankomatkarten, die nach 3 Versuchen gesperrt sind, mit nur 4 numerischen Stellen gesichert sind (man braucht 5000 Versuche um die Hälfte zu "cracken").
Schächere Passworte reichen aber nur dann, wenn garantiert werde kann, dass die Angreifer nicht an die gehashten Passworte kommen - deswegen der Tipp: IMMER sichere, d.h. mindestens 8-stellige Passworte mit Zahlen, Buchstaben und Sonderzeichen verwenden (siehe die vielen Beispiele weiter oben).
[Einschub: Extrem starke Passworte werden gebraucht für MS Office Dateien, PDF-Dateien, Zip-Dateien, PGP-Dateien und für Windows- und andere Benutzer-Accounts (auch auf Websites), da dort die Gefahr besteht, dass ein Angreifer das Objekt selbst im Zugriff hat und sehr leicht mit Brute Force gegen die verschlüsselte Datei testen kann. Bei so etwas rate ich zu deutlich über 100 Zeichen (die man sehr sicher aufbewahren sollte - denn merken kann sich die niemand).]
Wenn Angreifer gehashte Passwort-Dateien erobern können, so setzen sie spezielle Crack-Programme ein, die versuchen, über sog. Brute Force-Angriffe die Zeichenkombination zu erraten, die zu dem gefundenen Hash gehört. Das war früher ein mühsamer langwieriger Prozess, heute werden dafür Grafikkarten eingesetzt. So kann eine AMD Radeon HD7970 GPU 8,2 Milliarden Passworte pro Sekunde durchprobieren (vorausgesetzt es wurde ein schwacher Algorithmus wie MD5 verwendet). Dafür war vor einigen Jahren noch ein Supercomputer notwendig. Und die PCs der Cracker haben oft mehr als 1 Grafikkarte eingebaut.
Mit so etwas dauert ein Brute Force gegen bis zu 6-stellige Passworte mit groß, klein, Zahlen und Sonderzeichnen nur einige Minuten (die Zahl der Versuche ist: Summe von 956 + 955 + 954 + 953 + 952 + 95). Daher sind 6 Stellen ganz klar "out". Dann versuchen die Cracker alle 7- und 8-stelligen mit "nur klein" und "nur groß". Das sind jeweils 268 + 267 Versuche, d.h. weniger als 1 Minute. Als nächstes "nur Zahlen", bis zu 12 Stellen, in wenigen Minuten.
Dann kommen die Wortlisten: Früher starteten solche Programme mit einer Liste der 1000 beliebtesten Passworte (siehe obige Listen) und probierten dann jeweils 100 beliebte Anhänge wie 123. (das knackt 24% aller Passworte). Dann folgte ein Wörterbuchangriff (spezifisch für die Sprache des Opfers) - 5000 Wörter, 10 000 Namen, dabei werden auch wieder jeweils bis zu 2 Zahlen angehängt, die 1. Position groß und klein geschrieben und beliebte Ersetzungen durchprobiert (o wird 0, s wird $, a wird @, i wird !). Dann folgten Ketten von sinnlosen, aber aussprechbaren Silben wie lefril oder robgan. Diese und alle Wörterbuch-Einträge werden dann mit längeren Zahlenfolgen und Sonderzeichen kombiniert, aber dabei wird die Zeit für das Durchprobieren natürlich immer länger.
Die Angreifer haben riesige Sammlungen von echt-genutzten Passworten und sie nutzen Listen mit bis zu 100 Mio Passworten. Für diese langen Listen versuchen sie auch die üblichen 'Tricks': Anfangsbuchstabe groß oder klein, Zahlen wie 123 am Ende anhängen, a durch @ ersetzten, etc.
Das ergänzen sie durch eine Methode, die auf sog. Markov-Ketten [wiki] beruht. Dabei werden die Erkenntnisse aus den ersten schnell gecrackten (einfachen) Passworten genutzt. Diese Methode nutzt aus, dass Passworte aller Nutzer einer Website sich sehr oft ähneln (siehe meine obigen Beispiele von flirtlife.de vs. MySpace.com und RockYou.com). Für jede Stelle werden dann nicht alle 95 möglichen Zeichen geprüft, sondern nur ca. 65 (Z.B. ist die Wahrscheinlichkeit sehr hoch, dass nach der 1. Stelle nur noch kleine Buchstaben kommen. Ebenso stehen fast immer Zahlen am Ende des Passworts. Wenn mal eine gewisse Zahl von Passworten für diese Website erkannt wurde, so können diese 'Erkenntnisse' wieder beim Knacken des Rests helfen.
Ein simpler Lösungsvorschlag daher: Großschreibung in der Mitte des Wortes und nicht am Anfang, Zahlen und Symbole in der Mitte des Wortes oder zwischen 2 Worten und vor allem aber das Speichern von komplizierten Passworten in sicheren Programmen zur Passwort-Speicherung.
Ein anderer Angriff geht über sog. Rainbow-Tables [wiki]. Dieser Angriff wird eingesetzt, wenn eine Datei der Passworte vorliegt, die mittels eines Hashs [wiki] geschützt ist. Hier werden die vorberechneten Ergebnisse mit der geklauter Passwort-Datei verglichen. Schutz dagegen liegt in sauberer Programmierung im zu schützenden System (damit die Angreifer die Datei oder die Datenbank-Tabelle mit den Passworten gar nicht erst entführen können) und vor allem darin, dass die Passworte zuerst mit einem Zufalls-Salz verlängert werden (mehr dazu weiter unten).
Social Engineering der Passwort-Rücksetzungs-Prozesse
Hier ein weiterer Angriffstyp der bei vielen der heutigen Cloud-Dienste sehr effektiv ist: Social Engineering der Prozesse zur Rücksetzung eines vergessenen Passworts. Das ist die eigentliche Achilles-Ferse vieler Cloud-Dienste wie Webmailer, Speicherdienste, Social Networks, aber auch Online Shops.
Ein eindrucksvolles Beispiel aus 2012 ist ein Angriff über Amazon, Gmail und Apple auf Twitter- und Gmail-Accounts des Wired-Mitarbeiters Mat Honan, das ich an anderer Stelle ausführlich dokumentiert habe (siehe voriger Link).
Dieser Artikel zeigt sehr dramatisch, wie sehr bei den heutigen Cloud-Diensten das Zurücksetzen der Passworte zum riesigen Sicherheitsproblem geworden ist. Unter dem Stichwort Cloud Security beschreibe ich dann, wie man sich am besten gegen solche Angriffe schützt.
Ein Thema aus meinen Vorträgen: Passworte haben viele Failure-Modes (das ist Techno-Sprech für "es gibt viele Möglichkeiten, wie das in die Hose gehen kann") und wir konzentrieren uns üblicherweise bei den Passwortregeln oft auf genau die falschen. Hier ein Beispiel aus 2009 (das über eigentlich ständig wiederholt wird) von einem Angriff auf ein Twitter-Konto. Ein französischer IT-Mann hatte zu viel Zeit und es fiel im dafür nichts besseres ein, als zu versuchen, Twitter anzugreifen. Und zwar nicht die Websites, sondern die Firma selbst.
Hintergrund: Twitter nutzt den Gmail-Service "gmail for domains", d.h. die Firmenaccounts der Twitter-Mitarbeiter lauten zwar auf @twitter.com, aber liegen auf Gmail. Und Gmail (bzw. eine Reihe von Angestellten) nutzen auch Google-Apps für ihre Textverarbeitung.
1. Angriffsschritt: gründliche Recherche über Twitter-Mitarbeiter auf der Twitter Homepage und den Social Networking Websites. Er findet dabei viele interessante Details, auch z.B. Email-Adressen (siehe Social Engineering)
2. Angriffsschritt: der Hacker versucht das Passwort von Privat-Gmail-Accounts von Twitter-Mitarbeitern zu erraten, Trial and Error. Dabei findet er, dass bei der Passwort-Rücksetzung "Forgot your Password?" in einem Fall die Meldung kommt "Password sent to secondary account ******@h******.com". Der Hacker geht auf hotmail und probiert verschiedene Adressen aus. Er bekommt die Meldung, dass eine davon abgelaufen sei und zur Neu-Registrierung verfügbar ist. Dies tut der Hacker, d.h. er hat jetzt einen neuen Hotmail-Account, der aber als Secondary Email für die Passwort-Recovery einer anderen Person eingetragen ist. Zurück auf Gmail lässt er sich das neue Passwort auf seinen neuen Hotmail-Account senden
3. Angriffsschritt: Durch den vorigen Schritt ist das Gmail-Passwort geändert worden (das Opfer könnte nun den Angriff merken). Der Hacker durchsucht die Emails, auf die er jetzt Zugriff hat und findet dort Hinweise auf Passworte auf anderen Websites. Ein Passwort scheint auf vielen Websites genutzt zu werden. Er ändert den Gmail-Account auf dieses Passwort, in der Hoffnung, dass der Twitter-Mitarbeiter nun nicht mehr ausgesperrt ist.
4. Angriffsschritt: Jetzt geht der Hacker mit demselben Passwort auch in den Firmen-Account des Mitarbeiters und dort findet er eine Fundgrube von Dokumenten in Email-Anhängen.
5. Angriffsschritt: Mit Hilfe dieser Informationen und der bereits in Schritt 1 gewonnenen knackt der Hacker jetzt einen Firmen-Email Account nach dem anderen. Hauptwerkzeug sind die Secret Questions zur Passwort-Rücksetzung, deren Problematik bereits oft diskutiert wurde. Der Benutzer hat zwar evtl. ein sicheres Passwort gewählt, andererseits bietet der Service einen Alternativ-Zugang über eine simple Frage wie "Geburtsname der Mutter" oder "Name des Haustiers" (zu finden auf der Social Networking Seite des Betreffenden). (Anmerkung: Solche Rücksetzungen finde ich zum Glück heute, in 2025, immer seltener.)
6. Angriffsschritt: Der Hacker greift auf die gleiche Weise auch die Accounts weiterer Mitarbeiter (inklusive des Managements) an. Da findet er auf AT&T (Anrufliste), Amazon (Liste der Käufe), MobileMe (for more personal emails) und iTunes (die die volle Kreditkartennummer). Beim Registrar GoDaddy hätte er die Domaine twitter.com zusperren können. Niemand bei twitter hat bis zu diesem Zeitpunkt irgendetwas gemerkt.
Irgendwie kam dann etwas von "geknackten Twitter-Accounts" in die Presse, der Pressesprecher erkärt, dass keine dienstlichen Accounts betroffen wären. Daraufhin sendet der Hacker 301 vertrauliche Dokumente an die Presse.
Was lerne ich daraus? Erstmal ist es eine weitere Bestätigung, dass die Sicherheit der Authentifizierung nicht allein in starken Passworten liegen kann, siehe Do Strong Web Passwords Accomplish Anything?. Der Angreifer hat nicht ein einziges Passwort wirklich raten müssen, die Schwachstellen lagen an anderer Stelle, wie so oft.
Zweitens lerne ich daraus, dass Cloud Computing, der neueste Hype in der IT, an dieser Stelle eine dicke Achilles-Ferse hat: Wenn dies ein internes Firmen-Email System gewesen wäre, so hätte des Knacken eines Privat-Accounts selbst dann nicht viel gebracht, wenn dort das gleiche Passwort verwendet würde. Dann wäre nämlich immer noch ein Eindringen in das Firmen-Netz notwendig gewesen (was zwar auch kein grundsätzliches Problem darstellt, aber die Hürde doch deutlich höher legt).
Das gilt genauso für Google Apps wie Textverarbeitung, etc. Wenn ein Unternehmen seine Dokumente auf diese Weise im Web bearbeitet, so hängt die Sicherheit der Dokumente ausschließlich von der Qualität jedes einzelnen Passworts (und der Passwort-Prozesse, siehe Rücksetzungen) ab. Dann ist es mir aber immer noch lieber, die Dateien liegen auf den internen Servern.
Es ist unumstritten, dass für eine sichere Nutzung von Internet-Diensten unterschiedliche Passworte für jede Website verwendet werden müssen. Aber ohne Hilfsmittel ist dies kaum zu schaffen. Die Lösung dafür ist ein Passwort-Manager. Auf diese Weise muss ich mir nur 1 starkes Passwort merken und alle anderen merkt sich der Passwort-Manager für mich. Außerdem erzeugt die Software schön lange Zufallsfolgen und setzt diese dann auch noch automatisch in die Login-Felder ein.
Es gibt dafür eine Reihe von Lösungen, ich verwende Passwort Safe von Bruce Schneier. Ich finde die Software sehr bequem - ich kann über einen Doppelklick auf vielen Websites direkt einloggen, die Software ist kostenlos (und nicht unter den meistgenutzten Lösungen, sie ist daher vermutlich nicht so sehr im Fokus der Angreifer - weiter unten sind mehrere Übersichten verlinkt.)
Es gibt mittlerweile auch in vielen der Web-Browser, z.B. in den Firefox, fest eingebaute Passwort-Manager. Ob das eine gute Idee ist, das ist unter den "Experten" umstritten. Aber auf jeden Fall ist es 100x besser, als gleiche Passworte auf mehr als 1 Website zu verwenden - Recycling ist gut, aber nicht bei Passworten! Ganz wichtig ist bei Speicherung im Web-Browser, dass auch dort ein Master-Passwort gesetzt werden muss (was Firefox leider nicht erzwingt).
Es gibt Angebote, die nur für einzelne Plattformen zur Verfügung stehen und andere, die die Passworte auch mit mobilen Geräten synchronisieren. Das ist sehr bequem, setzt aber voraus, dass die verschlüsselte Datenbank mit den Passworten irgendwo im Internet stehen muss.
Ich persönlich bleibe lieber auf der sicheren Seite und verwende getrennte Lösungen (ich brauche auf dem Smartphone auch nicht alle meine vielen Passworte, weil ich mein Shopping am PC erledige). Damit bleibt die verschlüsselte Datenbank mit den Passworten jeweils nur auf 1 Gerät und ist dort sehr viel schlechter angreifbar. Eine Synchronisation zu anderen Geräten (in der Regel über eine Cloud-Lösung) schwächt die Gesamtsicherheit, ist aber sehr bequem.
Hier einige der Angebote: z.B. KeePassXC - cross-platform, kostenlos, Enpass cross-platform (auf Smartphones nur die Lite Version kostenlos, KeePass kostenlos, nur Desktop, Password Safe kostenlos, nur Desktop. Für weitere Produkte, siehe rechts oben im Testbericht.
Es wurden 150 Websites untersucht und nur 3 davon haben Passwort-Sicherheit vollständig implementiert: verschlüsselte Übertragung, Hashing statt Abspeichern-in-Klartext und Verhinderung von Brute-Force Passwort-Probing oder Username-Probing.
Der 'Stand der Technik' beim Schutz von Passworten ist ein mehrmaliges Hashen [wiki] mit einem sog. Salt [wiki]. Ein einmaliger Hash (der über einen mathematischen Algorithmus aus einem Text einen Zeichenfolge fester Länge macht, aus dem der Originaltext nur mit sehr erheblichem Aufwand wieder zu gewinnen ist) lässt sich wie oben bei den Tricks der Angreifer erklärt wurde, bei kurzen Passworten mit eingeschränktem Zeichensatz mit einem Brute-Force Angriff gegen alle möglichen (oder wahrscheinlichen) Kombinationen leicht knacken. Die sog. Rainbow-Tables [wiki] erleichtern dies noch dadurch, dass die Hashs der gängigen Passworte bereits alle vorberechnet sind.
Um dies zu erschweren wird "gesalzen". D.h. das Passwort wird durch eine längere Zufallsfolge verlängert - dadurch entsteht ein viel längeres Passwort das 'geknackt' werden müsste. Diese Zufallsfolge wird zusammen mit dem "gesalzenem" Hash des Passworts für jeden Nutzer separat abgespeichert. Nun trotzdem klappt der Trick mit den Rainbow-Tables nicht mehr, der kann dies heute für kurze und gängige Passworte erledigen (wenn auch der Hash bekannt ist).
Um es den Angreifern aber noch mal zu erschweren (indem man die benötigte Rechenzeit hochschraubt) kann der Verteidiger das 'Hashen' nicht nur einmal über das Passwort + Salt laufen lassen, sondern in einer Schleife ganz oft. Das Ergebnis des Hashs wird wieder gehasht und das z.B. 256 mal. Der Brute-Force Angreifer muss dies auch tun und sein Angriff ist nun 256 mal so langsam.
Aber die beste Lösung für die Verteidigung ist, die schnellen Hash-Algorithmen wie SHA-256 ganz zu vermeiden, und Password-Based Key Derivation Function 2 (PBKDF2 [wiki]) oder Bcrypt [wiki] zu verwenden, die extra langsam sind:
Normally, cryptographic function are programmed to be fast, however, for password-hashing, the slowliness of the function slows done the attacker more than the good guy. When the user enters a password, it does not matter much whether the hashing takes less than 1 millisecond or more than 100 milliseconds, for the attacker that wants to crack 160 million passwords through brute force and needs to try huge number of possible passwords (as in the LinkedIn, eHarmony and Last.fm cases), it matters a lot.
Und hier jetzt ein sehr drastischer Artikel dazu, wie man es nicht machen darf: Lessons in website security anti-patterns by Tesco. Tesco ist eine große englische Supermarktkette, und deren Website demonstriert fast alle Fehler, die jemand bei der Verarbeitung von Passworten machen kann.
Provokante Thesen zu sicheren Passworten, bereits 2017 (endlich) bestätigt durch die NIST
Es gibt zum Thema Passworte eigentlich in jedem Artikel die gleichen Passwort-Regeln:
Starke Passworte nutzen
Häufiges Ändern dieser Passworte
Unterschiedliche Passworte für unterschiedliche Zwecke
Niemals aufschreiben
Diese Regeln finden wir zwar überall, auch in allen Standards, aber wie sinnvoll sind sie wirklich und wieviel Schutz bieten sie wirklich?
Natürlich gibt es keinen Zweifel, dass starke Passworte besser sind als starke Passworte. Andererseits habe ich deutliche Problem, wenn ich alle 4 Regeln gleichzeitig einhalten will. Wenn ich komplexe Passworte nutze, sie monatlich ändern muss und mir nicht aufschreiben darf, dann ist eigentlich sichergestellt, dass ich von meinen 25 häufigst genutzten Passworten nach einem Urlaub mindestens 20 vergessen habe.
Ein Unternehmen kann versuchen dieses Problem durch eine Single-Signon-Lösung (SSO) zu entschärfen, aber viele meiner Passworte hängen nicht mit meinem Arbeitgeber zusammen, sondern betreffen verschiedene Websites wie z.B. Internet-Banking, Webmail-Zugänge, Zeitschriften-Abos, etc. für die mir ein Firmen-SSO überhaupt nicht hilft.
Hier eine Aufzählung der häufigsten "Failure Modes" von Passworten:
Phishing (der Benutzer gibt es auf einer falschen Website ein)
Keylogging (der PC des Benutzer ist infiziert)
Brute-force Angriff auf den Benutzer-Account
Brute-force Angriff, aber quer über alle Benutzer-Accounts
Provokation Nummer 1: Die Konzentration auf starke Passworte ist kontraproduktiv
Die Liste der Failure Modes weiter oben zeigt auf Platz 1 und 2 Angriffe, bei denen ein starkes Passwort genau überhaupt nichts hilft. Starke Passworte helfen beim Angriff Nummer 3, das stimmt. Andererseits kann ich den in vielen Fällen viel leichter vereiteln, z.B. in dem nach einer bestimmten Zahl von Fehlversuchen der Account gesperrt ist (oder besser, der nächste Login-Versuch erst nach einer langen Verzögerung möglich ist). Wenn nach 3 oder 6 Versuchen der Account gesperrt ist, so ist selbst eine 4 stellige PIN-Nummer ziemlich sicher, immerhin wird sie für Bankomaten für ausreichend gehalten. D.h. die Anforderungen an die Passwort-Qualität (und damit den Stress für den Anwender) kann deutlich reduziert werden, wenn eine vernünftige Lösung für Brute-Force Angriffe implementiert wird.
Bleibt noch der Brute-Force Angriff über alle Benutzer-Accounts. Dabei versucht der Angreifer immer das gleiche Passwort (z.B. "passwort") gegen alle Benutzer-Accounts. Bei jedem Account wird nur 1 Versuch gemacht, d.h. die Account-Sperre spricht nicht an. Dieser Angriffe war früher gegen eBay sehr beliebt, weil eBay die vollständigen Benutzernamen an vielen Fällen auf ihrer Website angezeigt hatte. Nach 100 oder allerspätestens 1000 Versuchen war immer ein Account gefunden, bei dem das Passwort "passwort" ist (siehe obige Liste der beliebtesten Passworte).
Die Antwort dagegen: Erstens, die Benutzer-Accounts nicht veröffentlichen. Zweitens dafür sorgen, dass die Benutzer-Accounts öffentlich bekannt sind (z.B. weil die Email-Adressen genutzt werden). Und drittens, dafür sorgen, dass die Account-Namen lang genug (und dadurch nicht "dicht") sind. Es ist nämlich in diesem Fall die Summe aus Passwort-Länge und Account-Namen-Länge (bzw. deren Komplexität), die die Sicherheit ausmacht und nicht das Passwort allein. Ein kurzes Passwort und ein langer Account-Name sind einfacher zu merken (der Benutzer darf sich den nämlich wirklich aufschreiben oder abspeichern) und die Sicherheit ist die gleiche.
Wenn eine Bank 10 Millionen Kunden hat und 8-stellige Verfügernummern, dann kommt der Angreifer bei jedem 10. Versuch auf eine gültige Verfügernummer. Wenn diese aber 9-stellig ist, so braucht er ca. 100 Versuche, um 1 Account richtig geraten zu haben (außer, die Nummern werden aufsteigend vergeben).
Mein Fazit: Dies ist kein Argument, schwache Passworte zu erlauben.
Ein älterer Artikel (der leider nicht mehr Online ist - warum löschen so viele Publikationen ihre Web-Archive?) fragt Why isn't everyone hacked every day? Die Wissenschaftler gehen von dem Paradoxon aus, dass die große Mehrzahl der Passworte lächerlich schwach sind, aber "nur" 5% der Internetnutzer jedes Jahr "gehackt" werden (z.B. indem ihr Email- oder TikTok-Account übernommen wird). Die Argumentation ist, dass es kein Problem sei, den Namen des Lieblingshundes als Passwort zu nehmen, weil die Angreifer, sofern sie nur auf Geld aus sind, immer nur Angriffe suchen, die "skalieren". Skalieren bedeutet, dass der Angriff automatisiert ausgeführt werden kann, sonst rechnet sich das nicht, und die Angreifer könnten gleich einer ehrlichen Arbeit nachgehen.
So weit stimmt das Argument auch, aber ich persönlich möchte eigentlich nicht zu den 5% gehören, die ihre Accounts verlieren. Nehmen wir das Beispiel der veröffentlichten Passworte nach Anonymous Angriffen in Österreich. Bei einem Angriff hatte der Webentwickler die Passworte der Mitglieder gleich im Klartext abgespeichert, da hilft auch ein starkes Passwort nicht. Im anderen Fall aber waren die Passworte mit MD5 "gehasht" worden, und dann waren alle die Nutzer geschützt, die ein starkes Passwort hatten, denn dieses konnte nicht geknackt werden. D.h. hier haben starke Passworte geholfen und schwache Passworte den Benutzer geschadet (Anonymous hatte nämlich dem Rest der Welt vorgeschlagen, mal zu prüfen, ob diese Benutzer das gleiche Passwort auch auf Facebook oder GMX verwenden).
Und der zweite Fall, bei denen ein schwaches Passwort wie "bello" nicht gut ist, sind alle jene, bei denen die Motivation für den Angriff Rache, Eifersucht, Neugier und andere starke Emotionen eine Rolle spielen oder wo es um gezieltes Bullying geht. In all diesen Fällen kennt Angreifer/Angreiferin vermutlich die Person und kann sehr wohl auf die Idee kommen, "bello" mal auszuprobieren.
Fazit: Es zahlt sich sehr wohl aus, aus dem "bello" so etwas wie "--be--llO+++" oder =be1234LLo=" zu machen. Und es ist wichtig, auf GMX und Facebook (usw.) Variationen wie z.B. "FB--be--llO++" zu verwenden.
Provokation Nummer 2: Monatliche Passwort-Änderungen sind kontraproduktiv - ich stimme aus vollem Herzen zu
Extrem lästig ist es auf jeden Fall wenn das toll ausgedachte Passwort nach spätestens 90 Tagen (sehr oft aber 30 Tagen) wieder vergessen werden und ein neues gemerkt werden muss. In dem Artikel wird sehr schön diskutiert, dass ein Passwort viele "failure modes" hat und das Cracken durch einen Passwort-Cracker nur eines von vielen ist, und vermutlich nicht mal das häufigste Problem.
Wenn es gecrackt werden kann (z.B. weil der Laptop gestohlen wurde), dann normalerweise in weniger als 1 Tag. Warum also 30 Tage oder gar 90 Tage? Die erzwungene Passwort-Änderung bei jedem der betroffenen Accounts jeden Monat bringt bei mir immer einen erheblichen Zorn mit sich, denn oft werden meine cleveren Passwort-Entwürfe ohne gute Erklärung zurückgewiesen. Und natürlich muss ich mir aufschreiben, wie die vielen neuen Passwort alle heißen.
Wenn auch ein 8-stelliges Passwort in viel weniger als 30 Tagen geknackt ist, warum also nicht alle 60 Sekunden ein neues Passwort? Ja, so etwas gibt es wirklich und wird sogar sehr häufig eingesetzt, ein One-Time-Passwort (OTP). Oft als kleines Gerät (Token), das alle 60 Sekunden eine neue 6-stellige Zahlenfolge präsentiert. Oder über SMS, die sog. Mobile TAN. Und das bedeutet, dass ich mehr Sicherheit habe und mir weniger merken muss.
Provokation Nummer 3: Das größte Problem sind die "Secret Questions"
Ein Angriff auf Twitter zeigt den vermutlich gefährlichsten Failure-Modus von Passworten: Die automatische Rücksetzung über sog. "Secret Questions". Der Artikel (siehe Link) gibt viele Hintergründe und weitere Links zu diesem Thema.
Was meines Erachtens im Artikel mit den 10 Regeln vollkommen fehlt, das ist eine Risikobetrachtung (die die meisten von uns intuitiv tun). Es gibt low-risk Web-Accounts (z.B. für den Zugang zu Zeitungen und Zeitschriften die ich abonniert habe oder ähnliches) bei dem ein simples Passwort keinen Schaden anrichten kann. Dann gibt es high-risk Websites, dazu gehören für mich die Email-Accounts und alles was mit Finanzen zu tun hat, z.B. Internetbanking. Für letztere brauche ich natürlich unterschiedliche starke Passworte. Vertrauliche Daten gehören für mich grundsätzlich nicht ins Internet, auch nicht in der Form von Cloud-Computing wie Google Apps. Dort sind nämlich Passworte der einzige Schutzmechanismus und das ist, wie hier deutlich gezeigt, ein oft zu schwacher Schutz.
Don Norman, ein sehr renomierter Experte zu Fragen der Usability, schreibt auch zum Thema Passwort-Regeln When Security Gets in the Way (2. Teil des Artikels, ab der Tabelle). Er bringt Beispiele, wie Sicherheitsdesign die Benutzbarkeit bisher weitgehend ignoriert.
Es entwickelt sich in 2009 eine wachsende Schule, die sagt, dass in manchen Aspekten die Benutzer die Vernünftigen sind und die Sicherheitsabteilungen unsinnige Forderungen aufstellen. Hier ein guter Artikel dazu: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Cormac Herley legt am Beispiel von Passwort-Regeln dar, dass die Nicht-Einhaltung einiger dieser Regeln (wie ich auf meiner Seite zu Passworten auch aufzeige) sehr oft viel Mühe spart und das Risiko nicht wirklich erhöht (z.B. die Forderung, Passworte alle 4 Wochen zu ändern - warum eigentlich 4 Wochen?).
Okt. 2016: Über drei Milliarden Accounts gekapert berichtet heise.de. Damit meinen sie aber keinen neuen Raubzug, sondern das sind Datensätze mit geklauten Accounts die im Netz kursieren, ein Großteil davon ist für jeden durchsuchbar. Quellen sind z.B. Yahoo (500 Millionen Datensätze), eBay (145 Mio.) LinkedIn (177 Mio.) oder YouPorn (1,3 Mio). Oft sind die Daten auch bereits aufbereitet, d.h. geknackt und die Passworte liegen dann in Klartext vor. Im linken Block ein Link auf eine Website, wo man schauen kann, ob man dabei ist.
ACHTUNG: Die Tatsache, dass der letzte Eintrag zu Passwort-Diebstählen vom Okt 2016 ist heißt nicht, dass seitdem keine Passwort gestohlen wurden. NEIN. Jede Woche gibt es Berichte über größere Mengen von Passworten die gestohlen wurden, an anderer Stelle verlinke ich auf eine ständig aktualisierte Übersicht über Passwort-Verluste.
Juni 2016: An anderer Stelle ein Interview mit einem russischen Hacker, der derzeit eine Sammlung von 800 Mio Passworten anbietet und behauptet, eine weitere Milliarde zu besitzen. Die Daten sind meist alt (2012 und 2013) aber weiterhin verwendbar, weil kaum jemand Passworte ändert und die alten Passworte auf vielen weiteren Accounts verwendet werden. Auch Zuckerberg und andere Prominente hat es erwischt.
Warum immer wieder schwache Passworte?
Hier eine interessante Untersuchung aus 2016 zu den Gründen, warum Nutzer simple Passworte wählen, bzw. das gleiche Passwort auf vielen Websites. 95% der Nutzer wissen wie in gutes Passwort aufgebaut ist. 91% weiß, dass es riskant ist, Passworte mehrmals zu nutzen. Aber 61% der Nutzer (und 55% der wissenden Nutzer) tun es trotzdem. Warum eigentlich?
Die Psychologen finden in der Untersuchung einen Typ A und einen Typ B von Nutzern. Typ A sagt, sie hätten ein so cleveres Passwort-System, dass für sie kein Risiko besteht. Dies sind die Nutzer, die selbst die Kontrolle behalten wollen. Typ B (über 50% der Nutzer) erklärt, dass die Wiedernutzung von schwachen Passworten bei ihnen kein Problem ist, weil sie ihre Internet-Aktivitäten so einschränken, dass ihnen nicht viel passieren kann, u.a. weil ihre Accounts keinen wirklichen Wert darstellen.