Sich verschiedene Passwörter für alle Accounts zu merken ist schwer. Daher verwenden Nutzer häufig das gleiche Passwort für mehrere Dienste. © RUB, Kramer

IT-Sicherheit Wie man Internetnutzer dazu bringt, ihr Passwort zu ändern

Manche große Firmen kaufen geklaute Zugangsdaten auf dem Schwarzmarkt, um ihre eigenen Nutzer zu schützen. Die spielen großteils aber nicht mit.

Wer im Internet unterwegs ist, hat häufig zig Accounts für E-Mail, Banking, Shopping und Soziale Medien – und häufig gleiche oder ähnliche Passwörter für viele dieser Dienste. Das Problem: Wenn Angreifer von einem der Dienste Zugangsdaten stehlen, können sie mit den erbeuteten Kombinationen aus E-Mail-Adressen und Passwörtern auch bei vielen anderen Anbietern versuchen, sich einzuloggen.

„Große Dienste wie Facebook oder Google kaufen auf dem Schwarzmarkt solche gestohlenen Zugangsdaten, um ihre eigenen Nutzer zu schützen“, erzählt Maximilian Golla, Doktorand in der Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit. Die Dienste überprüfen, ob bei ihnen selbst die gleichen Zugangsdaten eingetragen sind, die sie auf dem Schwarzmarkt erworben haben, und warnen ihre Nutzer.

Viele Leute verstehen die Benachrichtigungen nicht.


Maximilian Golla

„Der User wird benachrichtigt, dass er sicherheitshalber sein Passwort ändern sollte“, sagt der Forscher. „Nur verstehen viele Leute diese Benachrichtigungen gar nicht.“ Das ist eines der Ergebnisse einer Nutzerstudie, die Maximilian Golla und Prof. Dr. Markus Dürmuth von der RUB mit Kollegen der University of Chicago und University of Maryland durchführten.

Studie mit 180 Nutzern

Die Forscherinnen und Forscher trugen zunächst 24 verschiedene Benachrichtigungstexte zusammen, die große Dienste nutzen. Für ihre Studie wählten sie sechs repräsentative Texte aus dem Fundus aus.

Beispiel für einen Warnhinweis, den die Forscher bei ihrer Recherche fanden © Facebook

Anschließend nutzte das Team die Texte für eine Befragung von 180 Studienteilnehmern. Diese sollten sich vorstellen, dass sie einen Account bei dem fiktiven Dienst „Acme Co“ besitzen und dass dieser Dienst ihnen wichtig sei, vergleichbar mit den Accounts für E-Mail oder Banking. Anschließend zeigten sie ihnen eine auf das Design von „Acme Co“ angepasste Version der sechs Benachrichtigungen, die sie im Internet gefunden hatten, und stellten einige Fragen.

Besorgt und verunsichert

Die meisten Teilnehmer reagierten besorgt und verunsichert auf die Benachrichtigung. Ein Großteil von ihnen vermutete dahinter Ursachen, die außerhalb ihrer Kontrolle lagen. Nur knapp ein Fünftel der Befragten kam darauf, dass das Problem etwas mit der Wiederverwendung ihres Passworts bei mehreren Diensten zu tun haben könnte.

Lediglich ein Drittel der Teilnehmerinnen und Teilnehmer reagierte auf die Benachrichtigung mit der Absicht, das Passwort zu ändern – und wenn, dann wollten sie es nur geringfügig modifizieren. Eine solche Änderung würde aber kaum mehr Sicherheit bringen. Denn Angreifer, die Zugangsdaten erbeutet haben und diese auf anderen Plattformen ausprobieren, versuchen es in der Regel auch mit Variationen der Passwörter.

Vorschläge für effizientere Formulierungen

Basierend auf den Ergebnissen haben die Forscher Vorschläge abgeleitet, wie die Benachrichtigungen besser formuliert werden könnten, damit die User sie verstehen und auch zur Tat schreiten. So sollte die Benachrichtigung via E-Mail und zusätzlich auf dem Smartphone als Push-Nachricht erfolgen. Wichtig ist laut den Forschern auch, dass die Nachricht explizit das zugrunde liegende Problem – die Wiederverwendung des Passworts – als Ursache benennt, und anschließend ein Passwortwechsel erzwungen wird. Außerdem sollte der Betreiber den Nutzer unterstützen, damit die Situation in Zukunft nicht noch einmal eintritt, zum Beispiel durch Verwenden eines Passwort-Managers.

Bei besonders sicherheitskritischen Accounts, wie E-Mail oder Social Media, könnte der Betreiber auch dazu raten, die sogenannte Zwei-Faktor-Authentifizierung zu aktivieren (siehe Infokasten). Des Weiteren sollte der Betreiber empfehlen, dass der Nutzer auch bei anderen Diensten, bei denen er ähnliche Passwörter verwendet hat, das Passwort anpasst, und zwar so, dass es sicher ist.

Besonders sichere Passwörter erzeugen

Passwort-Manager: Viele User verwenden für unterschiedliche Accounts Passwörter, die sich nur in einem kleinen Bestandteil unterscheiden. Der Stamm des Passwortes ist immer gleich, aber für Facebook wird beispielsweise die Endung -fcb angehängt, für Googlemail -ggm. Solche Tricks können Passwort-Rater schnell durchschauen. Wer wirklich auf der sicheren Seite sein will, sollte einen Passwort-Manager nutzen. Er speichert für jede Seite ein computergeneriertes, langes Passwort. Passwort-Manager existieren als eigenständige Software für PCs und Smartphones und sind in viele moderne Browser bereits standardmäßig integriert. Ein Nachteil ist, dass diese Login-Daten nicht automatisch auf verschiedenen Geräten zur Verfügung stehen, es sei denn, man ist im Browser angemeldet.

Single-Sign-on: Für mehr Sicherheit sorgen kann auch das Single-Sign-on-Verfahren. Dabei meldet sich ein Nutzer mit denselben Zugangsdaten auf mehreren Plattformen an; an der RUB ist das für viele Dienste mit der Login-ID realisiert. Bei externen Diensten kann man sich mittlerweile häufig mit dem Account bestimmter Social-Media-Plattformen einloggen, so braucht man nur ein Passwort für viele Anwendungen, und das ist im Fall des Missbrauchs schnell geändert. Allerdings ermöglicht diese Methode dem Dienst, bei dem das Passwort liegt, Daten über die Nutzeraktivitäten zu sammeln.

Zwei-Faktor-Authentifizierung: Besondere Sicherheit bringt außerdem die sogenannte Zwei-Faktor-Authentifizierung, bei der der Login nur in einem zweistufigen Verfahren möglich ist. Das kann zum Beispiel so funktionieren: Gibt ein Nutzer sein Passwort auf einer Webseite ein, bekommt er zunächst einen Zahlencode auf seinem Handy angezeigt. Erst, wenn er auch diesen Code eingegeben hat, erhält er Zugriff auf den Account. Das ist zwar umständlich, kann aber sinnvoll sein, um besonders wichtige Accounts zu schützen.

Originalveröffentlichung

Maximilian Golla, Miranda Wei, Juliette Hainline, Lydia Filipe, Markus Dürmuth, Elissa Redmiles, Blase Ur: “What was that site doing with my Facebook password?” Designing Password-Reuse Notifications, ACM Conference on Computer and Communications Security (ACM CCS), Toronto, Kanada, 2018

Veröffentlicht

Montag
14. Januar 2019
10:42 Uhr

Von

Julia Weiler

Teilen