Was ist ein Passwort im Allgemeinen? Viele behandeln dies als eine Art Verpflichtung. Zum Beispiel bekam er bei der Arbeit einen neuen Computer und es ist notwendig, ein Passwort einzugeben – ein sehr komplexes Passwort. In diesem Fall ist die Person mit der Tatsache unzufrieden, dass die Sicherheitsrichtlinien des Unternehmens sie dazu verpflichten, jeden Tag ein komplexes Passwort einzugeben. Anders sieht es aus, wenn Sie auf Ihrem Smartphone ein Passwort festlegen müssen. Hier wacht ein Geheimagent in jedem auf und die Leute beginnen, Passwörter zu erfinden, die sie, wie sie denken, zuverlässig vor besonderen Diensten auf der Welt schützen. Und es spielt keine Rolle, dass das Telefon nur Bilder Ihrer geliebten Katze enthält, aber all dies wird von Fingerabdrücken, Gesicht und manchmal sogar Netzhautverschlüssen begleitet. Die Menschen bieten zwar einen solchen Schutz, sind jedoch in Bezug auf die Sicherheit unverantwortlich.
Benutzer verstehen nicht, wo das Kennwort komplex sein sollte und wo nicht.
Wie Benutzer über ihre Passwörter denken
Laut einer aktuellen Studie nehmen die meisten Menschen die Änderung von Passwörtern nach einer Datenverletzung nicht zu ernst. Laut einer Studie, die vor einiger Zeit vom Institut für Sicherheit und Datenschutz der Carnegie Mellon University (CyLab) vorgelegt wurde, ändert etwa ein Drittel der Benutzer normalerweise ihr Passwort, nachdem sie einen massiven Hack eines Dienstes angekündigt haben.
Es scheint, dass dies nicht so wenig ist, weil es ein ganzes Drittel ist. Aber wir müssen verstehen, dass weitere zwei Drittel einfach nicht glauben, dass jemand Zugriff auf ihre Daten erhalten könnte und diese entweder für ihre eigenen Zwecke verwenden oder einfach die Seite eines anderen für ihre illegalen Handlungen verwenden wird.
Die Forscher analysierten den Internetverkehr, der über das Security Behavior Observatory (SBO) der Universität gesammelt wurde. Diese Gruppe kann sich registrieren, um ihren Browserverlauf zu teilen und verschiedene Studien zu unterstützen. Daten zu 249 Teilnehmern wurden zwischen Januar 2017 und Dezember 2018 gesammelt. Danach wurden sie verarbeitet und zusammengefasst, um eine Schlussfolgerung zu ziehen.
Wie oft sollten Sie Ihr Passwort aktualisieren?
63 Benutzer der Teilnehmer an der Studie hatten Konten in den Diensten, in denen massive Datenlecks verzeichnet wurden. Von diesen 63 Benutzern gingen nur 21 zu gehackten Websites, um ihr Passwort zu ändern. Darüber hinaus haben nur 15 dieser Benutzer dies innerhalb von drei Monaten nach der Ankündigung getan. Und das alles trotz der Tatsache, dass die Probleme massiv abgedeckt waren und eine so große Anzahl von Menschen einfach nicht anders konnte, als über das Hacken Bescheid zu wissen.
Es gibt noch einen weiteren interessanten Punkt im Zusammenhang mit der Komplexität von Passwörtern. SBO-Daten enthielten Informationen zu Kennwörtern, die Benutzer festgelegt haben. Das CyLab-Team analysierte auch die Komplexität der neuen Passwörter. Die Forscher fanden heraus, dass von 21 Personen, die ihr Passwort geändert haben, nur ein Drittel es in ein sichereres geändert hat. Andere erstellten ein neues Passwort, das bestenfalls so komplex war. Andere machten das neue Passwort noch einfacher.
Benutzer überschätzen häufig die Wichtigkeit einiger Passwörter und unterschätzen die Wichtigkeit anderer.
Forscher glauben, dass häufige Datenlecks auf die Tatsache zurückzuführen sind, dass Benutzer häufig einfach die Sicherheitsregeln für Kennwörter nicht befolgen. Sie legen nicht nur keine komplexen Kennwörter für den Zugriff auf Dienste fest, sondern legen auch für alle Konten, über die sie verfügen, dieselben Kennwörter fest. Bei fast allen Websites, auf denen Sie sich registrieren, wird empfohlen, nicht dieselben Kennwörter festzulegen. Das einzige Problem ist, dass es in den meisten Fällen in der Benutzervereinbarung geschrieben ist. Aber liest es jemand? Benutzer folgen also dem Weg des geringsten Widerstands, wenn sie glauben, dass niemand sie mit Sicherheit hacken wird. Und wenn es hackt, dann ist es nicht so beängstigend. Sehr gruselig.
Sicheres Passwort
Infolgedessen sind Benutzerdaten sehr einfach zu stehlen. Wenn Sie ein Konto haben, in dem E-Mail das Login ist und an anderen Stellen dasselbe Login-Passwort-Paar verwendet wird, ist es eine Frage der Technik, Sie zu hacken. Insbesondere wenn man bedenkt, dass der durchschnittliche Benutzer ungefähr die gleichen Tools verwendet wie andere.
Nehmen Sie Passwörter einfach etwas ernster.
Vor diesem Hintergrund erscheint die Autorisierung nach Telefonnummer oder E-Mail-Adresse, wenn Sie den gesendeten Code jedes Mal eingeben müssen, nicht so unnötig kompliziert. Es kann länger dauern, aber die Sicherheit wird auf einem viel höheren Niveau sein.
Es ist besonders wichtig, wichtige Konten zu schützen. Zum Beispiel dieselbe E-Mail, ein Konto auf Facebook, das für viele ein Geschäftstool ist, und Daten, einzelne Dienste – zum Beispiel staatliche Dienste. Es gibt auch solche Konten, die für einige nicht wichtig sind, aber mehr als für andere. Beispielsweise bedeutet ein Konto auf einer Website wie unserer für einen einfachen Benutzer nur, dass er Kommentare schreiben und Benachrichtigungen erhalten kann. Für Autoren bedeutet dies jedoch den Zugriff auf die gesamte Website.
Persönliches Konto ohne Passwort
Es gibt jedoch auch Orte, an denen ich einfach nicht verstehe, warum alles so kompliziert ist oder mich zwingt, ein schwieriges Passwort zu wählen. Ein einfaches Beispiel ist, wenn ich mich auf der Website eines der großen Elektronikgeschäfte registriert habe, um mich zu einem Bonuskonto zu machen, da ich oft Elektronik kaufe und manchmal sogar in diesem Geschäft. Bei der Registrierung konnte ich das Passwort eingeben, mit dem das System erst zum dritten Mal eingerichtet wurde.
Selbst wenn ich dort ein paar tausend Bonus-Rubel habe, bin ich mir nicht sicher, ob jemand versuchen wird, sie zu stehlen, weil sie möglicherweise nicht da sind. In jedem Fall können Sie mich einfach im Vollbildmodus warnen, dass „das Passwort einfach ist, wir übernehmen keine Verantwortung für das Hacken“ und das war's.
Ich verstehe, wann solche Komplexität für ein Unternehmenskonto verwendet wird. Das Passwort dort muss jeden Monat geändert werden, damit es sich nicht wiederholt, aber einige Dienste gehen einfach zu weit. Sogar das Smartphone warnt einfach davor, dass das Passwort “1111” zu einfach ist und gibt Ihnen das Recht zu entscheiden, ob Sie es verlassen möchten. Smartphones haben jedoch viel wertvollere Daten. Einige Bankkarten sind etwas wert.