So merken Sie sich starke, einzigartige Passwörter

Wir schreiben das Jahr 2016, Lockheed Martin hat im Jahre 2014 angekündigt, große Fortschritte bei der Entwicklung kompakter Fusionsreaktoren zu machen, die unvorstellbar viel Energie aus nur wenig, sauberem und recht leicht erhältlichem Treibstoff liefern können.

Und trotzdem haben wir immer noch das Problem, uns die immer länger werdenden Listen von Passwörtern merken zu müssen, als wäre es noch das Jahr 1999. Wenn wir uns bei zukünftigen Technologien auf einen veralteten Authentifizierungsmechanismus verlassen, sollten wir zumindest eine gute Möglichkeit finden, uns unsere Passwörter merken zu können. Und genau das hat die IT-Fakultät der Carnegie Mellon University getan.

Doch um uns komplizierte Passwörter merken zu können, müssen wir etwas dafür tun:

Leider stellte sich heraus, dass das Merken langer Listen komplizierter Passwörter etwas von uns verlangt, das keiner gerne tut: Lernen. Laut einer Studie, die von Jeremiah Blocki, Saranga Komanduri, Lorrie Cranor und Anupam Datta durchgeführt wurde, verbessert ein System aus Wiederholung und Gedächtnisstützen die Wahrscheinlichkeit, dass sich Anwender ihre Passwörter über einen längeren Zeitraum gut merken können.

Das Passwort-Erstellungselement der Studie erinnert mich an den folgenden XKCD-Comic über starke Passwörter, der aussagt, man solle eher an Sätze denken, als an Wörter mit Leetspeak:

Sie müssen sich nicht den ganzen Satz merken

Die Teilnehmer der Carnegie-Mellon-Studie mussten eine Person aus einem Menü wählen, die mit einer maschinengenerierten, zufälligen Aktion und einem Objekt zusammengebracht wurde. Diese Methode nennt man auch Person-Aktion-Objekt-Geschichte (PAO). Dabei erhält man zum Beispiel so etwas: „Meister Yoda lässt ein Mikrofon fallen“.

Die Gedächtnisstütze hier ist, dass den Teilnehmern der Studie auch ein Bild eines Raums gezeigt wurde, in dem sie sich die Person-Aktion-Objekt-Geschichte vorstellen sollten. Sagen wir einmal, das Bild für unsere Geschichte sei ein Unterwasserlabor. In diesem Fall entsteht ein Satz wie „Meister Yoda lässt in einem Unterwasserlabor ein Mikrofon fallen.“

Sie haben nun also neun Worte und das Passwort, dass Sie daraus erstellen können ist auf jeden Fall stark genug – Sie können das auch mit unserem Passwort Checker überprüfen. Der Sinn dieser Gedächtnistechnik ist, dass Sie sich nicht den ganzen Satz merken müssen.

Die Teilnehmer mit den besten Ergebnisse waren jene, die nach 12 Stunden das Passwort übten:

In der Studie bekamen die Teilnehmer ein Szenerie-Personen-Paar (Meister Yoda in einem Unterwasserlabor) und führten über etwa 100 Tage mit bestimmten Intervallen immer wieder eine Übungsroutine durch, um sich die Aktion und das Objekt merken zu können. Die Zeit zwischen diesen Übungsritualen sowie die Zahl der Passwörter (entweder eines, zwei oder vier) waren bei allen Versuchsgruppen unterschiedlich.

Die Teilnehmer mit den besten Ergebnissen waren jene, die direkt nach 12 Stunden das Passwort übten und dann in steigenden Intervallen von 12×1,5 Stunden (0,5 Tage, 1,75 Tage, 4,15 Tage, 8,15 Tage, 14,65 Tage, 24,65 Tage, 40,65 Tage, 64,65 Tage und 101,65 Tage). In dieser Gruppe erinnerten sich 77,1 Prozent der Teilnehmer in neun Tests über einen Zeitraum von 102 Tagen erfolgreich an alle vier Geschichten.

Ich habe mit Jeremiah Blocki, einem der Forscher, gesprochen und ihn gefragt, ob er von dem Ergebnis überrascht war:

„Ich denke, man kann sagen, dass ich ein bisschen überrascht war. Wenn man mich gezwungen hätte, zu sagen, welche Voraussetzung für das Lernen das beste Ergebnis bringen würde, hätte ich wahrscheinlich auf die 30minX2 getippt, wobei ich mir nicht ganz sicher gewesen wäre. Die 12hrX1,5-Gruppe hatte zwar ein längeres erstes Übungsintervall, doch die Intervalle zwischen den folgenden Übungen erhöhten sich nicht so schnell wie bei der 30minX2-Gruppe. Das Ergebnis zeigt, dass auch die Zeit zwischen den Übungen wichtig ist (nicht nur die Gesamtzahl der vorangegangenen Übungen).“

Übrigens war das Vergessen in den ersten 12 Stunden am stärksten. 94,9 Prozent der Teilnehmer, die sich in den ersten Runden noch an die Geschichten erinnerten, erinnerten sich auch später daran. Und natürlich war die Erinnerungsrate der Teilnehmer, die sich nur eine oder zwei Geschichten merken mussten, besser als die Erinnerungsrate der Teilnehmer mit vier Geschichten.

In der Studie mit dem Titel „Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords“ (PDF) ist noch einiges mehr zu finden. Sie können sich gerne das PDF dazu herunterladen, wenn Sie nicht vor so mancher furchteinflößender Mathematik zurückschrecken.

Was lernen wir daraus?

Zunächst einmal, dass es einfacher ist, sich weniger Passwörter zu merken. Deshalb nutzen auch viele Anwender das gleiche Passwort für mehrere Konten – und das, obwohl sie genau wissen, dass dies keine gute Idee ist. Mit anderen Worten: Passwörter bleiben weiterhin anfällig und fehlerhaft.

Aber es gibt auch gute Nachrichten – Sie können Ihre Passwortnutzung mit einer relativ einfachen Methode verbessern:

• Erstellen Sie Passwortgeschichten, die Sie mit einem Bild verknüpfen können
• Das ist zwar nicht ganz einfach, aber besser als gleiche Passwörter für mehrere Online-Konten zu verwenden
• Lernen Sie Ihre Passwörter früh und immer wieder für den Rest Ihres Lebens. Oder zumindest, bis bei irgendeinem Anbieter Daten gestohlen werden und Sie wieder von vorne anfangen müssen.

Und möge die Macht mit Ihnen sein.

Wir bedanken uns bei unserem Kooperationspartner Kaspersky lab für den zur Verfügung gestellten Inhalt.