Ein Informatiker der Universität Cambridge hat die Passwortsicherheit von fast 70 Millionen Yahoo-Nutzern untersucht. Die Kennwörter standen ihm dabei nicht im Klartext zur Verfügung. Sie waren für die Studie (PDF) nicht nur anonymisiert, sondern durch Hashing mit einem geheimen und anschließend vernichteten Schlüssel vor möglichem Missbrauch gesichert.

Joseph Bonneau konnte damit die bislang größte Anzahl von Passwörtern analysieren, die von Nutzern selbst gewählt wurden. Er glaubt, aus der großen Datenmenge verlässliche statistische Schlussfolgerungen ableiten zu können. Einen Vorteil gegenüber früheren Studien mit geleakten Passwörtern sieht er darin, dass aufgrund der legalen Herkunft auch demografische Faktoren bekannt waren und verglichen werden konnten.


Für die Studie wurden 70 Millionen Yahoo-Passwörter analysiert (Screenshot: Chris Matyszczyk / News.com).

Zu den teilweise überraschenden Ergebnissen gehört, dass ältere Nutzer zu deutlich sichereren Passwörtern neigen als junge. Menschen ab 55 Jahren wählen demnach doppelt so sichere Passwörter wie unter 25-Jährige. Beim Vergleich verschiedener Nationalitäten ergab sich außerdem, dass deutsche und koreanische Anwender die stärksten Passwörter wählten. Die unsichersten Kennwörter suchten demnach Indonesier aus.

Nutzer, die Kreditkartendaten mit ihrem Konto verbanden, achteten nur geringfügig mehr auf ihre Sicherheit. Zu besonders starken Passwörtern tendierten hingegen diejenigen, die ihr Passwort von Zeit zu Zeit änderten. Ein völlig identisches Passwort wählten 0,14 Prozent aller Nutzer – vermutlich eine über alle Kulturen hinweg naheliegende Zahlenkombination.

Bonneau trug seine Erkenntnisse bei einer Fachtagung über Sicherheit und Privatsphäre in San Francisco vor. Laut New Scientist klassifizierte er die Sicherheit nach Bits, wobei ein Bit einem richtig erkannten Münzwurf entspricht und jedes weitere Bit die Passwortstärke verdoppelt. Die von den Nutzern gewählten Passwörter bewiesen demnach oft nur eine Stärke von weniger als 10 Bits gegen Online-Angriffe, was 1000 Versuchen gegen jedes mögliche Passwort entspricht.

Das erschien ihm deshalb überraschend, weil schon ein zufällig gewähltes Passwort aus Zahlen sowie Klein- und Großbuchstaben eine Stärke von 32 Bits gewährleistet. Er schlägt deshalb vor, wenigstens eine zufällige Zahl mit neun Ziffern vorzugeben, die immerhin 30 Bits und damit ein Vielfaches an Sicherheit bringe: „Ich denke, man kann von den Menschen vernünftigerweise erwarten, sich das zu merken, weil sie es schließlich auch mit Telefonnummern tun“, argumentiert er.

[mit Material von Chris Matyszczyk, News.com]

ZDNet.de Redaktion

Recent Posts

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

10 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

10 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

1 Tag ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

1 Tag ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

1 Tag ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

1 Tag ago