Die überwiegende Mehrheit der Onlinepasswörter ist viel zu einfach. So einfach, dass 1 % von ihnen schon mit zehn Versuchen erraten werden kann. 

Das hat Joseph Bonneau von der University of Cambridge herausgefunden, der 70 Millionen anonyme Yahoo-Passwörter in einer der größten Auswertungen überhaupt mit statistischen Methoden analysiert hat. Ganz gleich, ob es um Passwörter ging, die auch zu Bezahlfunktionen führten, hatten die NutzerInnen durch alle Bevölkerungsgruppen hinweg unsichere Passwörter. Auch die aktive Aufforderung, sichere Passwörter zu verwenden, brachte kaum Verbesserungen mit sich.

Kleine Unterschiede gab es aber doch: Ältere NutzerInnen hatten tendeziell sicherere Passwörter als junge. Koreanisch- und Deutschsprachige hatten ebenfalls stärkere Passwörter, die schwieriger zu knacken waren. 

Verrückterweise hatten selbst Menschen, deren Accounts schon mal gehackt worden waren, sich nicht für sicherere Passwörter entschieden.

Das grundsätzliche Problem aber ist schon klar: man ist bei 20 Diensten angemeldet, soll eigentlich für jeden ein eigenes, ewig langes, abstraktes Passwort mit Sonderzeichen haben und das auch noch alle drei Monate wechseln. Für viele stellt dies offenbar ein unmögliches Unterfangen dar.

Experten empfehlen, sich statt einem einzelnem Wort abstrakte Wortfolgen auszudenken (z.B. Hühnerfrikassee gehen Autobahn verdammt). Da die meisten Menschen sich aber lieber Sätze ausdenken, die sie sich selbst gut merken können, sind auch Kennwortsätze meist unsicher.

Vielleicht hilft die Empfehlung eines Bischofs der Church of England, der jüngst die Bibel als perfekte Passwortquelle empfohlen haben soll. Die Anfangsbuchstaben biblischer Sätze kombiniert mit Kapitel- und Versangabe könnte durchaus zu langen und sicheren Passwörtern führen. Wer allerdings bekanntermaßen gläubiger Christ ist, könnte dann von Hackern schnell enttarnt werden, die dann vermutlich mir nichts-dir nichts eine Bibel-Passwort-Datenbank anlegen würden, meinen Kritiker.

Tja, dann hilft dem armen passwortgeplagten Nutzer wohl nur noch um den Schutz des Schwarms beten, dass sein Account trotzdem verschont bleibt. Zum Glück gibst es ja auch noch Millionen andere Menschen mit unsicheren Passwörtern ;-).

Lies im Netz

• Online insecurity