Schokolade für Passwort

Studie: Schokolade für dein Passwort

Schokolade gegen Daten: 2012, als Edward Snowden noch ein Geheimdienst-Mitarbeiter war, der seine Vorgesetzten wegen unwillkommener Bedenken hinsichtlich Menschenrecht und Datenschutz auf die Nerven ging… Dezember 2012 also… Wir stellten uns auf den Münchner Christkindlmarkt und verteilten Adventkalender mit Schokolade an Passanten. Danach baten wir um einen Daumenabdruck. Der Widerstand war gering. Die meisten Passanten lachten, drückten den Daumen in Farbe und pressten ihn dann auf die weiße Leinwand.

Fingerabdruck-Sammlung für einen Adventkalender aus SchokoladeBiometrische Daten wie Fingerabdrücke gelten als besondere Sicherheitsmaßnahme. Sie öffnen Türen zu Geheimlabors, dienen Staaten zur Personen-Identifizierung und schützen Datenbunker. Trotzdem ziert heute unser Büro das Bild, das damals aus Fingerabdrücken entstand. Beweis einer erfolgreichen Social Engineering Attacke – Jener Methode, Passwörter zu angeln, die Cyberkriminelle gern anwenden, um sich das Vertrauen von Mitarbeitern zu erschleichen. Unser Erfolg datiert natürlich vor Snowden, da wusste man noch nicht so genau über die Gefahren im Internet bescheid –  heute sind wir alle viel sicherheitsbewusster!

Wirklich?

Bittersüße Schokolade

Eine Studie kommt zu einem anderen Schluss. Das berichtet die Technology Review. Forscher der Luxemburger Universität gaben 1206 zufällig ausgewählten Passanten eine Tafel Schokolade. Das erste Drittel der Teilnehmer erhielt die Schokolade am Anfang der Befragung, das zweiten Drittel direkt vor der Frage und das letzte Drittel erst am Ende. Die Frage der Forscher? „Wie lautet Ihr Passwort? Verraten Sie es mir?“

Das Ergebnis: Etwa 30 Prozent aller Befragten gaben ihr Passwort bereitwillig preis. 48,3 Prozent verrieten inhaltliche Hinweise. Dabei waren sie weitgehend auch noch ehrlich: Von denen, die anschließend bestätigten, die Wahrheit gesagt zu haben, betraf es zu 38,6 Prozent das komplette Passwort, zu 47,5 Prozent Hinweise.

Social Engineering Geheimnis

Die Bereitschaft, das Passwort zu verraten, hing allerdings vom Zeitpunkt ab, wann die Tafel Schokolade überreicht wurde.

  • 47,9 gaben ihr Passwort preis, nachdem sie kurz vor
  • 39,9 Prozent, nachdem sie gleich am Anfang
  • „nur“ 30 Prozent (29,8 Prozent) , nachdem sie erst am Ende

der Transaktion die Tafel Schokolade bekommen haben. Dieses Ergebnis bestätigt übrigens einen alten Verkaufstrick: Gib dem Kunden zuerst eine Kleinigkeit, dann kauft er später mehr. Mit der Kleinigkeit erschleicht man sich das Vertrauen, das achtlos macht.

2. Faktor als zusätzlicher Riegel zum Schloss

Weil es so einfach ist, Menschen zu überlisten, gilt in der IT-Sicherheitsbranche ein Passwort allein als unsicher. Immer mehr Dienste verlangen daher  ein 2 Faktor Authentifizierung – d. h.

  1. muss man ein Passwort eingeben
  2. bekommt man einen Code, den man zur Bestätigung eintippen muss.

Erst wenn dieser Code stimmt, kann man auf sein Konto zugreifen. Meist versenden Dienste diesen Code per SMS.

Mit dieser kleinen Zusatzfunktion erhöhen Web-Dienste die Passwortsicherheit gewaltig. Banken und besonders sichere Online-Anwendungen bieten auch ein TAN-Verfahren mit einem Token an. Mit diesem kann der Nutzer seinen eigenen Code generieren. So einfach schützen sich sicherheitsbewusste User!

Sonst aber gilt ein Grundsatz, den wir schon als Kinder gelernt haben:

„Nimm keine Süßigkeiten von Fremden!“