Forscher fanden heraus, dass die Benutzung von längeren und komplexeren Passwörtern – also eine stärke Passwortrichtlinie – die Verwendung des gleichen Passworts bei verschiedenen Online-Diensten einschränkt.
Drei Akademiker der Indiana University untersuchten die Auswirkungen der Passwort-Erstellungsregeln auf die Passwortwiederverwendung. Dazu analysierten sie zunächst die Passwortrichtlinien von 22 Universitäten in den USA, und später dann etwa 1,3 Milliarden Benutzernamen-Passwort-Kombinationen. Diese waren aufgrund früherer Datenschutzverletzungen online verfügbar. Die Forschenden fanden fast 7,4 Millionen Login-Daten, deren Domain-Name in Verbindung mit einer Universität steht.
"Basierend auf E-Mail-Adressen, die zur Domain einer Universität gehören (wir überprüften die .edu-Domain-Adressen), wurden Passwörter erstellt und anhand der von einer Universität vorgeschriebenen Passwortrichtlinie getestet", so die Forscher.
Am Ende stellten die Forscher fest, dass mit höherer vorgeschriebenen Passwort-Mindestlänge eine geringere Wahrscheinlichkeit einhergeht, dass die User das Passwort auch auf einer anderen Webseite einsetzen.
"Es gibt einen eindeutigen Trend über die verschiedenen Universitäten hinweg, dass eine höhere Mindestlänge erforderlich ist, um die Wahrscheinlichkeit der Passwort-Wiederverwendung zu verringern", heißt es in der Studie “Factors Influencing Password Reuse: A Case Study”.
Auffallend positiv schnitt die Indiana University (IU) ab – Hier schreibt die Passwortrichtlinie mindestens 15 Zeichen vor. Wie von L. Jean Camp zusammengefasst – eine der drei Forschenden hinter der Studie – hinderte die strikte Passwortrichtlinie fast alle IU-Benutzer (99,98 Prozent) an der Wiederverwendung des Passworts.
„Universitäten mit niedrigerer Passwortrichtlinie wiesen einen deutlich höheren Quotienten in Bezug auf die Wiederverwendung auf – bis zu 40 Prozent“, sagte Camp. „Niedrigere Anforderungen“ an das Kennwort bedeutete, dass bloß sieben Zeichen aus Buchstaben und Ziffern zur Erstellung eines Passworts ausreichten.
Ein ähnliches Bild ergibt sich, wenn man auf die untersuchte Komplexität der Passwörter blickt. Die Universitäten, die komplexere Passwörter vorschrieben, unterlagen einer weitaus geringeren Wahrscheinlichkeit der Wiederverwendung eines Passworts als die vergleichsweise weniger strikten. Bei letzterem entsprach die höchste Komplexitätsstufe mindestens einem Kleinbuchstaben, einem Großbuchstaben, einer Ziffer und einem Sonderzeichen.
In Anlehnung an die Ergebnisse aus ihrer Untersuchung empfehlen die drei Forscher vier Ratschläge für Unternehmen sowie die breite Masse:
- Erhöhung der minimalen Passwortlänge auf mehr als acht Zeichen,
- Erhöhung der gesamten Passwortlänge,
- Verbot der Benutzung des User-Namens innerhalb des Passworts,
- Einführung einer Multi-Faktor-Authentifizierung