Specific Criticism of CVSS4
Marc Ruef
Der Beitrag Distribution of passwords between men and women stellt statistisches Grundmaterial bezüglich der geschlechterspezifischen Nutzung von unsicheren Passwörtern zur Verfügung. Dabei wurden insgesamt 873’000 Passwörter von männlichen (734’000) und weiblichen Benutzern (139’000) untersucht.
Als erstes ist zu sehen, welche Passwortlänge von Männern und Frauen bevorzugt wird. Auf den ersten Blick ist zu erkennen, dass grundsätzlich sehr ähnliche Passwortlängen angestrebt werden. Die durchschnittliche Passwortlänge bei allen Benutzern lag bei 6.94 Zeichen. Mit 31.5% sind 6-stellige Passwörter am meisten vertreten. Frauen tendieren eher zu etwas kürzeren Passwörtern. Mit 2% sind dreistellige Passwörter die ersten, bei denen eine Häufung zu beobachten ist. Die längsten Passwörter sind mit ebenfalls 2% für 12 Zeichen zu beobachten.
Es ist interessant zu sehen, dass Passwortlängen vorzugsweise in Zweierschritten zunehmen. So sind 6-stellige und 8-stellige Passwörter eindeutig beliebter, weder 7-stellige Passwörter. Eine Beobachtung, die ebenfalls durch Acunetix im Rahmen der Analyse der im Oktober verteilten Passwörter von Hotmail bestätigt wurde. Diese Eigenart der Passwortwahl wird voraussichtlich mit der Rhythmik der Eingaben sowie dem Hang zu gleichmässigen/symmetrischen Konstrukten zusammenhängen.
Weiterhin ist zu sehen, welche Form von personenbezogenen Daten als Passwörter verwendet werden. Frauen pflegen mit 67.46% ihren Vornamen zu verwenden, wobei dies “nur” bei 54.97% der Männer der Fall ist. Der Nachname scheint hingegen bei den Männern wichtiger zu sein, denn sie verwenden bei 28.48% eben diesen, wohingegen sich Frauen lediglich bei 22.06% der Fälle für diesen entscheiden. Die schwächere Bindung der Frau an ihren Nachnamen scheint auf Grund der vorwiegenden Übernahme des Familiennamen des Ehepartners absehbar zu sein. Männer benutzen sodann ebenso mit 7.89% vorwiegend die Kombination aus Vor- und Nachname, Frauen lediglich 5.90%. Postleitzahlen treten erstaunlich oft auf, wobei Männer 2.23% und Frauen 1.63% benutzen. Eine grosse geschlechtsspezifische Abweichung ist bei der Wahl der Telefonnummer als Passwort zu verzeichnen. Männer pflegen bei ganzen 5.15% und Frauen lediglich bei 1.97% darauf zurückzugreifen.
Diese Betrachtungen zeigen, dass sich statistische Abweichungen zwischen den Geschlechtern identifizieren lassen. Dies ist in erster Linie in akademischer Hinsicht interessant, kann geschlechtsorientierte Bruteforce- oder Social Engineering-Angriffe jedoch nur in sehr geringem Mass optimieren lassen. Diese Studie hilft jedoch dabei zu erkennen, welche grundlegenden Merkmale Passwörter haben und welche Angriffsmuster möglichst hohe Chancen auf Erfolg mit sich führen können.
In Anlehnung an diese Analyse wurde im Beitrag Passwortlänge der Cracker die Passwortlänge von normalen Benutzern mit denen von Crackern verglichen. Dabei konnten einige interessante Abweichungen ausgemacht werden.
We are going to monitor the digital underground for you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!