Eines Abend während meines Urlaubs in Italien habe ich mit ein paar Freunden darüber gescherzt, wie für lange Zeit Passwörter für den Schutz unserer elektronischen Identitäten zuständig waren. Da wir alle aus unterschiedlichen Regionen stammten, haben wir uns darüber unterhalten, welche Passwortunterschiede da wohl auszumachen sind. Während dieses Gesprächs habe ich mich gefragt, ob es da tatsächlich Unterschiede nach Merkmalen wie Geschlecht, Alter und Herkunft geben sollte.

Der Libero.it leak

Im Jahr 2016 wurde der italienische Email-Dienst LiberoMail Opfer einer Attacke, in dessen Rahmen eine Exfiltration einer Vielzahl der Datenbankeinträge durchgesetzt werden konnte. Nicht ideal implementierte Sicherheitsmassnahmen haben zur Veröffentlichung der Passwörter im Klartext geführt. Inklusive der dazugehörigen Adressen und anderweitiger persönlicher Informationen. Die LiberoMail Benutzerdatenbank wurde für jedermann zugänglich.

Ich habe mich entschieden einen Blick auf die Daten zu werden. Hierzu habe ich die Datenbank bereinigt (abgesehen von Sicherheitsproblemen hatte man auch Probleme in Bezug auf die Normalisierung), in eine eigene Datenbank migriert und mit spezifischen Abfragen ausgewertet.

Das Datenset

Das Datenset besteht aus rund 700’000 Einträgen, wobei nicht immer alle Felder enthalten sind. In vielen Fällen, wie zum Beispiel beim Alter, wurden sie aus Benutzername, Emailadresse oder gar Passwort abgeleitet.

Einige simple Zählungen

Geschlecht und Alter

Die Verteilung von Geschlecht (gewählt durch den Benutzer) und Alter sind in nachfolgender Grafik zu sehen:

Die Analyse

Unter Zuhilfenahme unserer eigens entwickelter Tools konnten wir die Rohdaten säubern und normalisieren, um sie dann in eine relationale Datenbank ablegen zu können.

Im Rahmen der Analyse haben wir folgende Charakteristika berücksichtigt:

Passwort

• Länge: Wie viele Zeichen umfasst ein Passwort
• Komplexität: Wir zählen einen Punkt für jeden Kleinbuchstaben, Grossbuchstaben, Nummer und Interpunktionszeichen im Passwort
• Typische Namen: Basierend auf einer Liste der bekanntesten italienischen Vor- und Nachnamen haben wir geprüft, ob diese im Passwort vorkommen
• Selbstreferenz: Wir haben untersucht, ob das Passwort den Benutzernamen (oder Teile davon) sowie das Geburtsdatum enthält

Benutzer

• Alter: In einigen Fällen geben Benutzer ihr Alter an, in anderen kann dieses aus dem Benutzernamen oder Passwort abgeleitet werden
• Region: Berücksichtigung der vier italienischen Hauptregionen (Nord, Center, South, Islands)

Die Resultate

Passwortlänge

Die folgenden Grafiken illustrieren die Passwortlänge in Bezug auf Geschlecht, Alter und Region.

Bemerkungen:

• Frauen benutzen längere Passwörter
• Die Altersgruppe 20-29 benutzt ebenfalls längere Passwörter
• Eine Passwortlänge von 7 oder 8 Zeichen ist am meisten anzutreffen
• Die Region hat keinen Einfluss auf die Passwortlänge

Passwortkomplexität

Die folgenden Grafiken zeigen auf, wie sich die Passwortkomplexität in Bezug auf Geschlecht, Alter und Region verändert (Punkt für jeden Kleinbuchstaben, Grossbuchstaben, Nummer und Interpunktionszeichen).

Bemerkungen:

• Frauen benutzen längere Passwörter
• Die Altersgruppe 20-29 benutzt ebenfalls längere Passwörter
• Die Region hat keinen Einfluss auf die Passwortlänge

Passwortkomplexität vs. Länge

Nachfolgend wird illustriert, wie sich Passwortkomplexität und Länge gegenüberstehen.

Bemerkungen:

• 25% der 6-stelligen Passwörter haben eine Komplexität von 1
• Die meisten Passwörter mit einer Länge von mehr als 10 Zeichen haben eine Komplexität von 4

Nutzung von bekannten Namen

Die folgende Grafik zeigt auf, inwiefern bekannte Namen (die populärsten Vor- und Nachnamen in Italien) nach Geschlecht und Region bevorzugt werden.

Bemerkungen:

• Frauen bevorzugen bekannte Namen und Passwörtern
• Ganz Besonders Frauen aus Norditalien

Spezielle Passwörter

Nachfolgend wird nun gezeigt, inwiefern Frauen und Männer spezielle Passwörter wie juventus, napoli, amoremio, 123456 einsetzen.

Bemerkungen:

• Die Benutzer von Islands mögen das Passwort 123456 nicht
• juventus und napoli können klar nach Nord/Süd unterschieden werden

Top Passwörter

Die nun gezeigte Grafik listet die Top 20 Passwörter und Top 20 Passwörter mit bekannten Namen auf.

Bemerkungen:

• popopo90 is die phonetische Übersetzung der Hymne von Italia 90

Fazit

Es zeigt sich, dass Frauen zu sichereren Passwörtern tendieren als Männern. Selbst wenn durch Frauen in Norditalien besonders oft bekannte Namen eingesetzt werden. Schön auch den Einfluss von Juventus und Napoli zu sehen, was uns daran erinnern soll, dass Fussball in Italien immer eine besondere Rolle spielt.

Zum Schluss bleibt nur noch anzuraten, dass man auf den alleinigen Einsatz von Passwörtern verzichten und stattdessen immer zusätzlich eine Zwei-Faktor-Authentisierung zum Schutz von sensitiven Daten nutzen sollte. Eine Massnahme, die in der heutigen Zeit nicht mehr wegdiskutiert werden kann.

Über den Autor

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

• https://www.andreafortuna.org/cybersecurity/the-liberomail-users-database-was-breached/