Dashlane deckt beunruhigende Passwort-Muster auf
Berlin, 23. Mai 2018 – Dashlane, die Sicherheitstechnologie zum Schutz von Passwörtern und Identitäten im Netz, gibt die Ergebnisse einer Analyse von mehr als 61 Millionen Passwörtern bekannt. Unterstützt wurde die Untersuchung durch die Forschung von Dr. Gang Wang, Assistenzprofessor im Fachbereich Computerwissenschaften an der Universität Virginia Tech. Die Ergebnisse zeigen, riskante und faule Passwörter sind die Norm.
Das Projekt der Virginia Tech Universität, beschrieben als die „erste groß angelegte empirische Untersuchung zur Wiederverwendung und zu Änderungsmustern von Passwörtern“ führte zu einem wegweisendem Forschungspapier: „The Next Domino to Fall: Empirical Analysis of User Passwords across Online Services“. Dr. Wang, gewährte dem Analytics-Team von Dashlane Zugriff auf eine anonymisierte Version der 61,5 Millionen Passwörter aus dem Projekt, sodass damit weitere Forschungsarbeit zum Thema Passwort-Trends geleistet werden konnte.
Die Experten von Dashlane untersuchten die Daten auf Muster und stellten dabei einfache Fehler heraus, die weiterhin von vielen Menschen begangen werden, die Passwörter in ihrem täglichen Leben verwenden. Die Experten fanden Passwort-Muster über die gesamte Tastatur hinweg, von nicht ganz zufällig ausgewählten Buchstaben und Zahlen bis zu beliebten Marken und Bands. Ebenso aus scheinbar reiner Frustration erstellte Passwörter konnten die Experten identifizieren.
„Für Menschen ist es nicht möglich, sich für die durchschnittlich mehr als 150 verwendeten Konten jeweils ein einzigartiges Passwort zu merken“, erklärt Dr. Wang. „Es ist unvermeidlich, dass User ihre Passwörter wiederverwenden oder nur leicht modifizieren, was jedoch sehr gefährlich ist. Diese Gefahr wurde durch die massiven Datenschutzverletzungen verstärkt, die Angreifern effektivere Mittel für das Erraten und Hacken von Passwörtern an die Hand gegeben haben.“
„Wenn man danach strebt, die bestmögliche Lösung zu finden, ist es wichtig, zunächst das Problem zu verstehen“, sagt Emmanuel Schalit, CEO von Dashlane. „Die von den Wissenschaftlern der Virginia Tech Universität erhobenen und analysierten Daten sind ein Beleg für eine grassierende Wiederverwendung von Passwörtern. In der Folge wirft die weitere Untersuchung dieser Forschung durch Dashlane ein neues Licht auf Passwort-Muster und Gewohnheiten.“
Analyse:
Das allgegenwärtige „Password-Walking“
Die Experten von Dashlane entdeckten eine hohe Anzahl von Passwörtern mit Kombinationen aus Buchstaben, Zahlen und Symbolen, die auf der Tastatur nebeneinander liegen. Diese Praxis, im englischsprachigen Bereich auch als „Password-Walking“ bekannt, verdeutlicht die gleichgültige Einstellung vieler Nutzer gegenüber Passwörtern, wobei anscheinend Bequemlichkeit als wichtiger erachtet wird als die Sicherheit. Mittels des „Password-Walkings“, werden Passwörter erstellt, die alles andere als sicher sind. Die meisten Hacker sind sich der menschlichen Neigung zu Bequemlichkeit bewusst und können daher die Schwächen gängiger Passwörter sehr leicht ausnutzen.
Die meisten von uns kennen Varianten dieses Phänomens, so zum Beispiel die Buchstabenabfolge „qwertz“ und die Zahlenreihe „1234567“. Die Experten von Dashlane deckten weitere Kombinationen auf, die sehr häufig verwendet werden:
- 1q2w3e4r
- 1qaz2wsx
- 1qazxsw2
- zaq12wsx
- !qaz2wsx
- 1qaz@wsx
Diese Passwörter bestehen allesamt aus Tasten, die sich auf der linken Seite einer Standardtastatur (US-Version) befinden. Dies bedeutet, dass Benutzer das gesamte Passwort einfach mit ihrem kleinen oder Ringfinger eingeben können. So praktisch dies auch sein mag, ist die Einsparung einiger Sekunden sicher nicht den Verlust von kritischen finanziellen und/oder persönlichen Daten aufgrund eines Konto-Hacks wert.
Die Verbreitung des Phänomens „Password Walkings“ ist beunruhigend und sollte alle, die ein solches Passwort verwenden, dazu anregen, einen genaueren Blick auf die eigenen Passwort-Praktiken zu werfen. Wirklich zufällige und einzigartige Passwörter sind für die Passwort-Sicherheit unentbehrlich. Das Eingeben von ein paar nebeneinander liegenden Zeichen ist dagegen alles andere als ausreichend.
Liebe und Hass: Eine Geschichte von zwei Passwörtern
Ein weiteres wiederkehrendes Schema, das die Dashlane-Experten aufdeckten, ist eine Verbindung von Passwörtern mit dem Thema Liebe sowie aggressiver und vulgärer Sprache. Leidenschaftliche Sprache war an beiden Enden des Spektrums beliebter als eher gemäßigte oder moderate Ausdrücke. Die zehn am häufigsten auf Liebe/Hass bezogenen Passwörter:
- iloveyou
- f*ckyou
- a**hole
- f*ckoff
- iloveme
- trustno1
- beautiful
- ihateyou
- bullsh*t
- lovelove
Die am häufigsten verwendeten Markennamen
Süße Sünden wie Coca-Cola und Skittles machen sich in allen Bereichen unseres Lebens breit, so auch bei Passwörtern. Auch moderne Sünden, möchte man soziale Netzwerke, hierzu zählen, werden häufig als Passwörter verwendet. Die zehn am häufigsten auf Marken bezogene Passwörter sind:
- myspace *verzeichnete im Jahr 2016 großes Datenleck
- mustang
- linkedin *verzeichnete im Jahr 2016 großes Datenleck
- ferrari
- playboy
- mercedes
- cocacola
- snickers
- corvette
- skittles
Musik und Filme
Es überrascht nicht, dass auch Popkultur-Referenzen weit verbreitet sind. Die Verwendung von Passwörtern, die Namen oder gebräuchliche Redewendungen verwenden, sind keine sichere Praxis. Die zehn am häufigsten auf Popkultur bezogenen Passwörter sind:
- superman
- pokemon
- slipknot
- starwars
- nirvana
- blink182
- spiderman
- greenday
- rockstar
- bigdaddy
Champions League-Passwörter
Und schließlich steht auch wieder das Finale der Champions League auf dem Programm. Vor diesem Hintergrund sollten Fußballfans davon absehen, ihrer Leidenschaft für das Lieblingsteam in ihren Passwörtern Ausdruck zu verleihen. Dashlane fand eine Vielzahl von sportbezogenen Begriffen in den untersuchten Daten. Die folgenden regelmäßigen Champions League-Teilnehmer zeigten sich jedoch häufiger als alle anderen Teams:
- liverpool
- chelsea
- arsenal
- barcelona
- manchester
Best Practices für mehr Sicherheit
Zum Glück gibt es ein paar einfache Maßnahmen, die jeder ergreifen sollte, um die Online-Sicherheit zu verbessern und die Wahrscheinlichkeit, dass Passwörter in einer dunklen Ecke des Internets enden, zu minimieren.
- Ein einzigartiges Passwort für jedes Online-Konto verwenden
- Passwörter erstellen, die über das Minimum von acht Zeichen hinausgehen
- Passwörter mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen erstellen
- Passwörter vermeiden, die gängige Begriffe oder Redewendungen, Umgangssprache, Ortsbezeichnungen oder Namen enthalten
- Einen Passwort-Manager für das Erstellen, Speichern und Verwalten von Passwörtern verwenden
- Niemals eine ungesicherte WLAN-Verbindung verwenden
Methodik
Die Forscher der Virginia Tech Universität unter Leitung von Dr. Wang haben im Januar 2017 eine Reihe von öffentlich zugänglichen Passwortdatensätzen aus dem Internet gesammelt. Die Datensätze wurden von verschiedenen Online-Foren und Datenarchiven erhoben. Die daraus resultierenden 107 Datensätze (61,5 Millionen Passwörter) ermöglichten den Forschern, zu analysieren, wie Nutzer ihre Passwörter für unterschiedliche Online-Dienste wiederverwenden und modifizieren. Das Analyseergebnis zeigt, dass Nutzer ihre vorhandenen Passwörter oft nur leicht anpassen und diese Änderungsmuster leicht vorhersagbar sind. Das Ziel dieser Forschung ist es, ein tieferes Verständnis darüber zu gewinnen, wie schwache Passwörter generiert werden. Die darauf basierenden Erkenntnisse sollen einen Beitrag für die Konzeption besserer Passwort-Management-Tools leisten. Weitere Informationen finden Sie unter http://people.cs.vt.edu/gangwang/pass.pdf.
Dashlane analysierte den Passwort-Datensatz, um die am häufigsten verwendeten Zeichenfolgen bestehend aus mindestens sieben Zeichen zu finden. Man ordnete die Top 250 Teilzeichenfolgen für jede Zeichenfolgenlänge, bevor dann jeder dieser kleineren Datensätze manuell untersucht wurde, um die auffälligsten Muster und Schemata zu finden. Der Abschnitt „Password Walk“ der Analyse erfolgte automatisiert mit Inspiration durch http://github.com/Rich5/Keyboard-Walk-Generators.
Über Dr. Wang:
Gang Wang ist Assistenzprofessor im Fachbereich Computerwissenschaften an der Universität Virginia Tech (Virginia Polytechnic Institute and State University). Er erlangte seinen Abschluss als Ph. D. von der UC Santa Barbara im Jahr 2016 und seinen BE von der Tsinghua University im Jahr 2010. Sein Forschungsinteresse umfasst Sicherheit und Datenschutz, die Erfassung und Messung von Cyberkriminalität und menschliche Faktoren im Bereich Sicherheit. Er wurde ausgezeichnet mit dem National Science Foundation Young Investigator Award (NSF CAREER 2018), dem Google Faculty Research Award (2017) und dem SIGMETRICS Best Practical Paper Award (2013). Über seine Arbeit wurde in Medien wie die New York Times, Boston Globe, CNN, MIT Technology Review, ACM TechNews, The Sun und New Scientist berichtet.
Über Dashlane:
Dashlane ist die führende und patentierte Sicherheitstechnologie zum Schutz von Passwörtern und Identitäten im Netz. Mit Hilfe eines Passwort-Managers generiert und schützt Dashlane alle Passwörter und Daten des Benutzers und speichert diese nur lokal ab. Die „digitale Brieftasche“ („digital Wallet“) verwaltet alle digitalen Transaktionen und Informationen sowie Kreditkartennummern, Ausweisdokumente und Adressen. Bereits über acht Millionen Nutzer weltweit schützen ihre digitale Identität mit der AES-256-Verschlüsselungs-Technologie von Dashlane. Die App kann kostenlos auf dem Desktop-PC und auf mobilen Geräten angewendet werden. Dashlane wurde 2012 von Bernard Liautaud in Zusammenarbeit mit Alexis Fogel, Guillaume Maron und Jean Guillou gegründet. Der Hauptsitz des US-amerikanischen Unternehmens befindet sich in New York City, eine weitere Niederlassung gibt es in Paris. Zu den Investoren zählen Rho Ventures, FirstMark Capital und Bessemer Venture Partners. Von dem Apple Store und Google Play wurde Dashlane als „Best (App) of 2015“ ausgezeichnet. Weitere Informationen finden Sie auf www.dashlane.com.
