Prüfsysteme für Passwörter verraten gar nicht, was sicher ist

Infografik: Alles rund ums Passwort
Seitens der Concordia University in Montreal hat man die Systeme, die von verschiedenen großen Unternehmen eingesetzt werden, genauer unter die Lupe genommen. Das Fazit: Die Nutzer können hier eher das Gleiche erwarten, wie beim Frisör oder ihrer Kleiderauswahl - man bekommt vor allem gesagt, was man hören will und nicht, was wirklich ist.

Die Forscher ließen für ihre Untersuchung automatisiert Millionen von mittelmäßigen Passwörtern auf die Algorithmen der Prüfsysteme werfen und werteten aus, wo und wann grüne, gelbe oder rote Rückmeldungen kamen. Dem Test wurden dabei unter anderem die Passwort-Prüfer der Diensteanbieter Google, Yahoo, Twitter und Microsoft/Skype sowie der Passwort-Manager LastPass und 1Password unterworfen.

Die Resultate waren nicht gerade beeindruckend. "Wir fanden heraus, dass die Ergebnisse äußerst inkonsistent sind", erklärte Mohammad Mannan, der am Institute for Information Systems Engineering der Universität eine Assistenzprofessur inne hat. Die gleichen Passwörter wurden von dem einen Dienst als stark bewertet, während ein anderer sie als zu schwach faktisch ablehnte.

Frühere Untersuchungen hatten ergeben, dass die Integration solcher Prüfverfahren in den Registrierungsprozess die Nutzer durchaus dazu bringen, sich zumindest kurz Gedanken zu machen und keine zu schwachen Kennungen zu verwenden. Die jetzige Studie zeigte jedoch, dass dies nicht bedeutet, dass die Anwender am Ende des Tages tatsächlich mit einem besseren Passwort dastehen.

Denn wenn die ausgewählte Zeichenfolge als sicher eingestuft wird, heißt es noch lange nicht, dass sie es auch tatsächlich ist. Das zeigt das Beispiel der Kennung "Password1", die wohl kaum jemand als besonders gut ansehen würde. Der Passwort-Check von Dropbox erkannte die Zeichenfolge in der Tat auch als schwach. Die russische Suchmaschine Yandex hingegen bewertete sie als sicher. In anderen Fällen mag dies andersherum sein.