IT-Sicherheit Wie man Internetnutzer dazu bringt, ihr Passwort zu ändern
Manche große Firmen kaufen geklaute Zugangsdaten auf dem Schwarzmarkt, um ihre eigenen Nutzer zu schützen. Die spielen großteils aber nicht mit.
Wer im Internet unterwegs ist, hat häufig zig Accounts für E-Mail, Banking, Shopping und Soziale Medien – und häufig gleiche oder ähnliche Passwörter für viele dieser Dienste. Das Problem: Wenn Angreifer von einem der Dienste Zugangsdaten stehlen, können sie mit den erbeuteten Kombinationen aus E-Mail-Adressen und Passwörtern auch bei vielen anderen Anbietern versuchen, sich einzuloggen.
„Große Dienste wie Facebook oder Google kaufen auf dem Schwarzmarkt solche gestohlenen Zugangsdaten, um ihre eigenen Nutzer zu schützen“, erzählt Maximilian Golla, Doktorand in der Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit. Die Dienste überprüfen, ob bei ihnen selbst die gleichen Zugangsdaten eingetragen sind, die sie auf dem Schwarzmarkt erworben haben, und warnen ihre Nutzer.
Viele Leute verstehen die Benachrichtigungen nicht.
Maximilian Golla
„Der User wird benachrichtigt, dass er sicherheitshalber sein Passwort ändern sollte“, sagt der Forscher. „Nur verstehen viele Leute diese Benachrichtigungen gar nicht.“ Das ist eines der Ergebnisse einer Nutzerstudie, die Maximilian Golla und Prof. Dr. Markus Dürmuth von der RUB mit Kollegen der University of Chicago und University of Maryland durchführten.
Studie mit 180 Nutzern
Die Forscherinnen und Forscher trugen zunächst 24 verschiedene Benachrichtigungstexte zusammen, die große Dienste nutzen. Für ihre Studie wählten sie sechs repräsentative Texte aus dem Fundus aus.
Anschließend nutzte das Team die Texte für eine Befragung von 180 Studienteilnehmern. Diese sollten sich vorstellen, dass sie einen Account bei dem fiktiven Dienst „Acme Co“ besitzen und dass dieser Dienst ihnen wichtig sei, vergleichbar mit den Accounts für E-Mail oder Banking. Anschließend zeigten sie ihnen eine auf das Design von „Acme Co“ angepasste Version der sechs Benachrichtigungen, die sie im Internet gefunden hatten, und stellten einige Fragen.
Besorgt und verunsichert
Die meisten Teilnehmer reagierten besorgt und verunsichert auf die Benachrichtigung. Ein Großteil von ihnen vermutete dahinter Ursachen, die außerhalb ihrer Kontrolle lagen. Nur knapp ein Fünftel der Befragten kam darauf, dass das Problem etwas mit der Wiederverwendung ihres Passworts bei mehreren Diensten zu tun haben könnte.
Lediglich ein Drittel der Teilnehmerinnen und Teilnehmer reagierte auf die Benachrichtigung mit der Absicht, das Passwort zu ändern – und wenn, dann wollten sie es nur geringfügig modifizieren. Eine solche Änderung würde aber kaum mehr Sicherheit bringen. Denn Angreifer, die Zugangsdaten erbeutet haben und diese auf anderen Plattformen ausprobieren, versuchen es in der Regel auch mit Variationen der Passwörter.
Vorschläge für effizientere Formulierungen
Basierend auf den Ergebnissen haben die Forscher Vorschläge abgeleitet, wie die Benachrichtigungen besser formuliert werden könnten, damit die User sie verstehen und auch zur Tat schreiten. So sollte die Benachrichtigung via E-Mail und zusätzlich auf dem Smartphone als Push-Nachricht erfolgen. Wichtig ist laut den Forschern auch, dass die Nachricht explizit das zugrunde liegende Problem – die Wiederverwendung des Passworts – als Ursache benennt, und anschließend ein Passwortwechsel erzwungen wird. Außerdem sollte der Betreiber den Nutzer unterstützen, damit die Situation in Zukunft nicht noch einmal eintritt, zum Beispiel durch Verwenden eines Passwort-Managers.
Bei besonders sicherheitskritischen Accounts, wie E-Mail oder Social Media, könnte der Betreiber auch dazu raten, die sogenannte Zwei-Faktor-Authentifizierung zu aktivieren (siehe Infokasten). Des Weiteren sollte der Betreiber empfehlen, dass der Nutzer auch bei anderen Diensten, bei denen er ähnliche Passwörter verwendet hat, das Passwort anpasst, und zwar so, dass es sicher ist.