Wie man Internetnutzer dazu bringt, ihr Passwort zu ändern

Wer im Internet unterwegs ist, hat häufig zig Accounts für E-Mail, Banking, Shopping und Soziale Medien – und häufig gleiche oder ähnliche Passwörter für viele dieser Dienste. Das Problem: Wenn Angreifer von einem der Dienste Zugangsdaten stehlen, können sie mit den erbeuteten Kombinationen aus E-Mail-Adressen und Passwörtern auch bei vielen anderen Anbietern versuchen, sich einzuloggen.

„Große Dienste wie Facebook oder Google kaufen auf dem Schwarzmarkt solche gestohlenen Zugangsdaten, um ihre eigenen Nutzer zu schützen“, erzählt Maximilian Golla, Doktorand in der Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit. Die Dienste überprüfen, ob bei ihnen selbst die gleichen Zugangsdaten eingetragen sind und warnen ihre Nutzer.

„Der User wird benachrichtigt, dass er sicherheitshalber sein Passwort ändern sollte“, sagt der Forscher. „Nur verstehen viele Leute diese Benachrichtigungen gar nicht.“ Das ist eines der Ergebnisse einer Nutzerstudie, die Maximilian Golla und Prof. Dr. Markus Dürmuth von der RUB mit Kollegen der University of Chicago und University of Maryland durchführten.

Besorgt und verunsichert

Die meisten Teilnehmer reagierten besorgt und verunsichert auf die Benachrichtigung. Ein Großteil von ihnen vermutete dahinter Ursachen, die außerhalb ihrer Kontrolle lagen. Nur knapp ein Fünftel der Befragten kam darauf, dass das Problem etwas mit der Wiederverwendung ihres Passworts bei mehreren Diensten zu tun haben könnte.

Lediglich ein Drittel der Teilnehmerinnen und Teilnehmer reagierte auf die Benachrichtigung mit der Absicht, das Passwort zu ändern – und wenn, dann wollten sie es nur geringfügig modifizieren. Eine solche Änderung würde aber kaum mehr Sicherheit bringen. Denn Angreifer, die Zugangsdaten erbeutet haben und diese auf anderen Plattformen ausprobieren, versuchen es in der Regel auch mit Variationen der Passwörter.

Vorschläge für effizientere Formulierungen

Basierend auf den Ergebnissen haben die Forscher Vorschläge abgeleitet, wie die Benachrichtigungen besser formuliert werden könnten, damit die User sie verstehen. So sollte die Benachrichtigung via E-Mail und zusätzlich auf dem Smartphone als Push-Nachricht erfolgen. Wichtig ist laut den Forschern auch, dass die Nachricht explizit das zugrunde liegende Problem – die Wiederverwendung des Passworts – als Ursache benennt, und anschließend ein Passwortwechsel erzwungen wird.

Bei besonders sicherheitskritischen Accounts, könnte der Betreiber auch dazu raten, die sogenannte Zwei-Faktor-Authentifizierung zu aktivieren. Des Weiteren sollte der Betreiber empfehlen, dass der Nutzer auch bei anderen Diensten, bei denen er ähnliche Passwörter verwendet hat, das Passwort anpasst, und zwar so, dass es sicher ist.

Originalveröffentlichung

Maximilian Golla, Miranda Wei, Juliette Hainline, Lydia Filipe, Markus Dürmuth, Elissa Redmiles, Blase Ur: “What was that site doing with my Facebook password?” Designing Password-Reuse Notifications, ACM Conference on Computer and Communications Security, Toronto, Kanada, 2018

Mehr Informationen finden Sie hier.