Sie wurden in die Irre geführt, was ein gutes Passwort ausmacht

Das Passwort muss Groß- und Kleinbuchstaben sowie mindestens eine Ziffer enthalten. Eine übliche Schelte, die von Websites oder Software ausgeteilt wird, wenn Sie ein Konto eröffnen oder ein Passwort ändern – und eine, die neue Forschungsergebnisse nahelegen, ist irreführend.

Eine Studie, in der hochmoderne Techniken zum Erraten von Passwörtern getestet wurden, ergab, dass das Erfordernis von Zahlen und Großbuchstaben in Passwörtern nicht viel dazu beiträgt, sie stärker zu machen. Das Verlängern eines Passworts oder das Einfügen von Symbolen war viel effektiver.

Angriffe sind jetzt raffinierter und diese Best-Practice-Gegenmaßnahmen sind etwas unsynchronisiert, sagt Matteo Dell’Amico, ein Forscher bei Symantec Research. Er arbeitete mit Maurizio Filippone am französischen Forschungsinstitut zusammen Eurecom . Das Paar stellte sich vor ein Papier über ihre Arbeit auf der ACM Computer and Communications Security Conference letzte Woche.



Empfehlungen, dass wir eine Mischung aus Groß- und Kleinbuchstaben, Symbolen und Zahlen in Passwörter aufnehmen, stammen von der Idee, dass die Wahrscheinlichkeit einer richtigen Vermutung durch Software verringert wird, die systematisch jede Kombination von Zeichen ausprobiert, sagt Dell’Amico. Auf der gleichen Grundlage funktionieren Passwortzähler, die Feedback zur Stärke eines Passworts geben.

Aber die neueste Software zum Erraten von Passwörtern ist intelligenter als nur zufälliges Raten. Stattdessen wird es anhand von durchgesickerten Listen mit Millionen von Passwörtern trainiert, um Vermutungen anzustellen, bei denen die am häufigsten verwendeten Passwörter – oder in Passwörtern gefundenen Muster – zuerst ausprobiert werden. Software zum Erraten von Passwörtern kann verwendet werden, um zu versuchen, falsch verschlüsselte Passwörter aufzudecken, die online durchgesickert sind, wie die 130 Millionen von Adobe im Jahr 2013, oder um direkt auf passwortgeschützte Software oder Geräte zuzugreifen, die das Erraten von Versuchen nicht einschränken.

Dell’Amico und Filippone haben eine neue Methode entwickelt, um die Stärke eines Passworts zu messen, die dies berücksichtigt. Sie trainierten Angriffssoftware, erstellten damit Listen mit Passwörtern und erfanden eine Möglichkeit, diese zu verwenden, um jedem beliebigen Passwort eine Art Erratbarkeitspunktzahl zuzuweisen. Sie verwendeten 10 Millionen durchgesickerte Passwörter, um verschiedene Arten von Angriffssoftware zu trainieren, und testeten ihre Ratemethode an weiteren 32 Millionen Passwörtern.

Die Ergebnisse zeigen, dass es besser ist, ein Passwort länger zu machen oder Symbole hinzuzufügen, als es durch das Hinzufügen von Großbuchstaben oder Zahlen zu verstärken. Das liegt daran, dass Menschen dazu neigen, am Anfang von Passwörtern Großbuchstaben und Zahlen am Ende hinzuzufügen, und Methoden zum Angriff auf Passwörter können sich das zunutze machen, sagt Dell’Amico. Grundsätzlich müssen Sie Ihre Passwörter weniger vorhersehbar machen, sagt er. Die neue Methode könnte verwendet werden, um genauere Möglichkeiten zu schaffen, den Menschen ein Gefühl für die Stärke eines Passworts zu vermitteln, sagt Dell’Amico.

Ein guter Weg, dies zu tun, ist wichtig, hat sich aber seit langem als schwer fassbar erwiesen, sagt Mark Burnett, ein Sicherheitsforscher, der eine der in der Studie verwendeten Passwort-Forschungsdatenbanken veröffentlicht hat. Ich habe noch keinen Weg gesehen, der perfekt ist, aber das ist wahrscheinlich der beste Versuch, den ich je gesehen habe, sagt er. Diese Art der Recherche hilft uns, schlauer zu sein, was Passwörter stärker macht, welche Ratschläge wir geben, und zu sehen, wo wir von jetzt an hingehen müssen.

Burnetts Rat für das nächste Mal, wenn Sie ein Passwort auswählen oder ändern, ist, dass Sie, sobald Sie eines gefunden haben, einen Weg finden sollten, es länger zu machen, vielleicht indem Sie ein oder zwei Wörter hinzufügen. Sein Rat für die Computerindustrie ist, Alternativen zur Verwendung von Passwörtern zu finden, die so weit verbreitet sind, wie wir es heute tun. Passwörter werden immer länger und wir kommen an den Punkt, an dem sie ihre Nützlichkeit verlieren werden, sagt er.

verbergen