Foto: University of Cambridge
Deutsche Sprache, schwere Sprache – so sagt man. Im Internetzeitalter gewinnt diese alte Einsicht eine positive Bedeutung. Das zeigt eine Studie von Joseph Bonneau vom Computerlabor der Universität Cambridge, der einen Korpus von 70 Millionen Passwörtern auf ihre Sicherheit hin untersucht hat. Die Ergebnisse insgesamt zerstreuen die berechtigen Bedenken um die allgemeine Passwort-Sicherheit leider überhaupt nicht. Aber immerhin sind Passwörter aus dem deutschen Sprachraum im internationalen Vergleich recht schwer zu entschlüsseln.
Besonders schwach schneiden laut Bonneau jene Codes ab, die von Menschen mit indonesischer Muttersprache ausgewählt wurden. „Demgegenüber hatten deutsch- und koreanischsprachige Nutzer relativ starke Passwörter“, heißt es in der Studie.
Ansonsten sind die Ergebnisse der Untersuchung recht ernüchternd. Nach Bonneaus Aussagen handelt es sich dabei „um den größten Korpus an von Nutzern selbst gewählten Passwörtern, der jemals untersucht wurde“. Die Passwörter mit anonymisierten Nutzerdaten wurden von Yahoo! zur Verfügung gestellt.
Bisher habe es großflächige Passwort-Daten für wissenschaftliche Analysen nur in Zusammenhang mit Sicherheitslücken wie bei der Spiele-Website RockYou 2009 gegeben, als 32 Millionen Passwörter bekannt wurden. Kamen diese von der Zocker-Community, bezieht sich die Studie aus Cambridge immerhin auf einen repräsentativeren Querschnitt der Internet-Welt. Bonneau glich seine Resultate mit den Ergebnissen älterer Studien ab.
„Das beängstigendste Resultat unserer Studie ist, wie wenig sich die Passwort-Verteilung zu unterscheiden scheint – bei all den verschiedenen von uns isolierten User-Populationen, die eine effektive Security-Variation von nicht mehr als einigen Bits zeigte“, fasst Bonneau zusammen. Im Klartext heißt das zum Beispiel, dass es für die Erfolgsquote von Hackerangriffen fast keine Rolle spielt, ob ein Passwort von einer weiblichen Nutzerin oder eine männlichen Nutzer stammt.
Nutzer kaum zu sicheren Passwörtern zu motivieren
Die mathematisch anspruchsvollen Berechnungen des Wissenschaftlers aus England förderten auf fast allen Ebenen kaum signifikante Unterschiede zu Tage. Getestet wurde sowohl im Hinblick auf Cyberattacken, bei denen Hacker unter Zeitdruck ihre Passwort-Listen bei einer großen Gruppe von Zugängen anwenden wollen, als auch auf Offline-Attacken, bei denen den Angreifern mehr Zeit für gezieltere Versuche bleibt. Die permanente Gefahr ändert nun offensichtlich nichts daran, dass viele Nutzer immer noch leichtfertig durchschaubare Kombinationen aus nur wenigen Buchstaben als Passwort wählen.
„Die Security-Motivation erhöhende Faktoren wie die Registrierung einer Kreditkarte scheinen die Nutzer lediglich von der Wahl der schwächsten Passwörter abzuhalten“, so Bonneau weiter. Auch gezielte Ansprache von Anbieterseite macht offenbar nur einen geringen Unterschied.
So wies Yahoo! bei einem Teil der Nutzer speziell auf die Security-Risiken schwacher Passwörter hin oder erzwang sogar eine Mischung aus Groß- und Kleinbuchstaben sowie Ziffern. Das brachte zwar einen gewissen Effekt, motivierte viele User aber nicht zur Wahl wirklich komplexer Passwörter.
Es sei häufig argumentiert worden, dass Nutzer rational bei der Passwortwahl vorgingen, so Bonneau: leichter zu knackende Codes bei unwichtigen Accounts, besser durchdachte Kombinationen bei kritischen Zugängen. Diese Annahme bestätige sich bei der Analyse der Yahoo!-Daten aber nicht, bemerkt der Forscher. „Das kann auf das zu Grunde liegende Problem mit Passwörtern hinweisen, dass die User nicht steuern wollen oder können, wie leicht ihre Passwörter zu entschlüsseln sind“, schlussfolgert Bonneau.
Bleibt für deutsche Nutzer der glückliche Umstand, dass die deutsche Sprache so komplex und facettenreich ist. Mit einem global zusammengesetzten Hacker-Werkzeugkasten und 1000 Versuchen liegt die Erfolgsquote der Angreifer laut Studie bei deutschsprachigen Zielscheiben bei 3,5 Prozent. Das ist ein ernst zunehmendes Risiko, wird aber nur bei Chinesen und Koreanern unterboten. Deutlich gefährlicher leben die anderen: Griechen mit 8,6 Prozent, Anglo-Amerikaner mit 7,9 Prozent, auch Franzosen, Italiener und Spanier, vor allem aber Indonesier mit 9,3 Prozent.
Briten leben sicherer als Amerikaner
Arbeiten die Hacker mit einem Deutsch-basierten Wörterbuch, steigt hierzulande das Risiko auf 6,5 Prozent. Auch das ist ein im Vergleich geringer Wert. Mit Wörterbüchern auf anderer Sprachbasis sind die Passwörter deutscher Anwender kaum zu knacken.
Wobei neben sprachlichen offenbar auch andere kulturelle Faktoren zur Wahrscheinlichkeit eines Hacker-Erfolgs beitragen. Darauf verweisen die signifikanten Unterschiede im englischsprachigen Raum. Britische Passwörter sind im Durchschnitt deutlich sicher als US-amerikanische, kanadische oder australische.
Die Studie „The science of guessing: analyzing an anonymized corpus of 70 million passwords” ist bei der Universität Cambridge erhältlich.