Sichere Passwörter zu erstellen, stellt für viele Nutzer immer noch eine Herausforderung dar. Regelmäßig landet etwa "123456" vorn in der Topliste der am häufigsten genutzten Kennwörter. Dass viele Surfer auch gern das gleiche Passwort für mehrere Dienste nutzen, sorgt regelmäßig für Kollateralschäden, wenn Hacker Datenbanken von einem Anbieter knacken.

Der Mangel an Sicherheitsbewusstsein geht aber über diese Problematiken hinaus. Das legt zumindest eine Untersuchung von Forschern der Universität Luxemburg und der International School of Management in Stuttgart nahe. Demnach reicht ein seriöses Auftreten und ein Geschenk wie eine Tafel Schokolade aus, um vielen wildfremden Leuten ihr Passwort zu entlocken, fasst Technology Review zusammen.

Auskunftsfreudige Nutzer

1.206 Passanten wurden hierzu befragt. Die Studenten erklärten dabei, eine Umfrage zum Thema Computersicherheit zu machen. Dabei wurden die Befragten auch gebeten, das Passwort für ihren Rechner aufzuschreiben.

Während der Umfrage wurde auch eine Tafel Schokolade als Geschenk übergeben. Rund ein Drittel der Teilnehmer erhielt dieses noch vor Beginn der Befragung, ein Drittel unmittelbar vor der Bitte um das Kennwort und ein weiteres Drittel nach der Abarbeitung des Fragebogens. Die Ergebnisse stimmen bedenklich.

Im Schnitt gaben 30 Prozent aller Teilnehmer ihr Passwort bekannt. Immerhin 48,3 Prozent verrieten Hinweise auf seine Zusammensetzung – etwa ob ihr Geburtsdatum enthalten ist. Bei jenen Nutzern, die zum Schluss explizit bestätigten, wahrheitsgemäß geantwortet zu haben, lag die Quote für bekanntgegebene Passwörter gar bei 38,5 Prozent.

Prinzip der Gegenleistung funktioniert

Betrachtet man das Detailergebnis, so hat der Moment der Überreichung der Schokolade eine signifikante Auswirkung auf das Verhalten der Befragten. Von jenen, die erst am Schluss beschenkt wurden, schrieben immerhin 29,8 Prozent das Passwort auf. 39,9 Prozent war es bei der Teilnehmergruppe, die die Nascherei ganz am Anfang erhielt. Bei 47,9 Prozent – und damit beinahe jede zweite Person, die den Wahrheitsgehalt ihrer Antworten explizit bestätigte – lag der Wert für die Probanden, denen die Tafel direkt vor der Passwort-Frage überreicht wurde.

Damit konnten die Forscher auch ihre These hinsichtlich des reziproken Verhaltens der Teilnehmer bestätigen. Sie hatten die Vermutung aufgestellt, dass sich die Befragten durch das Geschenk zu einer Gegenleistung – in diesem Fall also die Bekanntgabe des Kennworts – verpflichtet fühlen würden. Das seriöse Auftreten der Befrager im Dienste der Forschung könnte zusätzlich die Sorglosigkeit verstärkt haben.

"Alarmierendes" Ergebnis

Das Ergebnis des Versuchs ist laut den Wissenschaftlern jedenfalls "alarmierend". Es benötige nur geringen Aufwand und keinen besonders komplexen Plan, um per Social Engineering an heikle Logindaten fremder Menschen zu kommen. Selbst Nutzer, deren Antworten sonst auf ein höheres Sicherheitsbewusstsein schließen lässt, seien dafür kaum weniger anfällig als der Rest. (gpi, 28.06.2016)