Die Professorin Lorrie Cranor, Chief Technologist bei der Federal Trade Commission (FTC) hat bei der BSides Security Conference in Las Vegas den Sicherheitsnutzen von häufigen, verpflichtenden Passwortwechseln in Frage gestellt.
Bei ihrem Vortrag in Las Vegas bezog sich Lorrie Cranor auf die zwingend auferlegten Passwortwechsel, für Mitarbeiter von Behörden und Unternehmen. Sie selbst, so Cranor, müsse pflichtgemäß alle 60 Tage ihre sechs bei der FTC genutzten Passwörter ändern. Das Problem bei diesen Wechseln sei, dass Nutzer dazu neigen, ihre Passwörter nach bestimmten Mustern zu ändern. Insgesamt betrachtet werden die Passwörter damit schwächer, so Cranor.
Cranor, die auch eine Professur an der Carnegie Mellon University inne hat, beruft sich bei ihrem Vortrag auf der Bsides Security Conference auf eine schon im Jahr 2010 an der Universität von North Carolina durchgeführten Untersuchung. Dabei hatten die Forscher die Hashes von 10.000 abgelaufenen Accounts untersucht, die Mitarbeiter und Studenten der Universität hinterlassen hatten. Dieser Nutzerkreis war angehalten gewesen, alle drei Monate das Passwort zu wechseln. Den Forschern lagen nicht nur die Daten für die letzten Passwörter vor, sondern für alle vollzogenen Wechsel. Bei der Analyse stellten die Forscher fest, dass die Nutzer dazu neigen, ihre Passwörter nach bestimmten Mustern zu ändern. Aus dem Passwort “tarheels#1“ wird dann etwa “tarheels#11“, “tarheels#111“ und so fort. Auf Basis dieser Ergebnisse und den bei den Änderungen der verwendeten Mustern war es den Forschern möglich, Algorithmen zu entwickeln, die solche methodischen Passwortänderungen einbeziehen können. In einem Versuch gelang es den Forschern, 17 Prozent der Passwörter in nur fünf Versuchen zu knacken. Für Angreifer, die darauf bedacht seien, möglichst wenig Versuche zu benötigen, um nicht geblockt zu werden, sei dies von Vorteil.





