Warum Autokorrektur für Passwörter eine großartige Idee ist

Die meisten von uns mussten schon einmal ein Passwort erneut eingeben, weil wir uns vertippt haben. Vielleicht wurden Sie sogar nach zu vielen Tippfehlern von einem Konto gesperrt.





Neue Forschungsergebnisse zeigen, dass diese Frustrationen mit demselben Ansatz vermieden werden könnten, der auch zur Korrektur von Tippfehlern in Textnachrichten und Dokumenten verwendet wird: Autokorrektur.

Forscher analysierten Anmeldungen beim Datenspeicherdienst Dropbox, um zu beweisen, dass das Einlassen von Personen, selbst wenn sie ein paar Zeichen falsch verstehen, Kopfschmerzen reduzieren kann, ohne die Sicherheit erheblich zu beeinträchtigen.

Das ist aus unserer Sicht eine ziemlich große Sache, sagt Ari Juels , Professor am Jacobs Technion-Cornell Institute an der Cornell Tech in New York City. Websites sollten ihre Passwortrichtlinien ändern, um das Leben der Benutzer einfacher zu machen. Die Sicherheitsverschlechterung ist ziemlich gering.



Auf den ersten Blick klingt es nach einer schlechten Idee, Passwörter mit Tippfehlern ein Konto entsperren zu lassen. Schließlich muss ein Angreifer, der versucht, Ihr Passwort zu erraten, es nicht genau richtig machen. Facebook wurde dafür kritisiert, dass es Benutzern erlaubt, sich anzumelden, selbst wenn sie die Groß- und Kleinschreibung des ersten Zeichens ihres Passworts falsch verstehen oder versehentlich die Feststelltaste aktiviert haben.

Aber Jules und Mitarbeiter von Cornell Tech, MIT und Dropbox sagen, dass die Idee nicht gefährlich ist, wenn sie so implementiert wird, dass berücksichtigt wird, wie Menschen Passwörter auswählen und welche Tippfehler sie machen. Ihr Papier wurde letzte Woche auf dem IEEE Symposium on Security and Privacy vorgestellt.

Sie sammelten Daten zu Tippfehlern, indem sie 24 Stunden lang die Anmeldungen bei Dropbox analysierten, das Hunderte Millionen Benutzer hat. Fast 10 Prozent der fehlgeschlagenen Anmeldeversuche sind auf eine Handvoll leicht korrigierbarer Tippfehler zurückzuführen, wie z. B. das Festhalten der Feststelltaste. Ungefähr 3 Prozent der Benutzer, die nicht in ihre Konten gelangten, hätten dies tun können, wenn die Autokorrektur die drei häufigsten Tippfehler abgedeckt hätte: Festhalten der Feststelltaste, Verwenden der falschen Groß- und Kleinschreibung für das erste Zeichen oder Löschen des letzten Zeichens.



Vergleicht man diese Daten mit Mustern von Passwörtern, die durch Datenschutzverletzungen aufgedeckt wurden, wie z. B. die 32 Millionen, die vom Social-Gaming-Unternehmen RockYou durchgesickert sind, legt dies nahe, dass die Korrektur dieser häufigen Fehler einem Angreifer, der versucht, Passwörter zu erraten, keinen großen Vorteil verschafft. In den meisten Fällen sind die kostenlosen Vermutungen, die durch das Akzeptieren von Tippfehlern entstehen, nicht viel wert. Angreifer verwenden Passwortlisten, um zuerst gängige Passwörter auszuprobieren, und das Anwenden von Tippfehlerkorrekturen auf diese Passwörter erzeugt normalerweise Junk, nicht ein weiteres gängiges Passwort.

Das Akzeptieren häufiger Tippfehler könnte einem Angreifer jedoch einen Vorteil bei einigen Passwörtern verschaffen. Wenn Ihr Passwort beispielsweise 12345 lautet und ein Angreifer 123456 errät, könnte er eindringen. Um sich vor solchen Fällen zu schützen, haben Juels und seine Mitarbeiter zwei Tippfehler-tolerante Passwortprüfprogramme entwickelt, die Tippfehler bei bestimmten Passwörtern, bei denen dies riskant sein könnte, nicht akzeptieren. basierend auf Informationen aus geleakten Passwortlisten.

Diese Checker wurden in Szenarien getestet, in denen simuliert wurde, was passieren würde, wenn einem Angreifer 1.000 Versuche gegeben würden, das Passwort eines Kontos zu erraten (in der Praxis unwahrscheinlich, da Unternehmen falsche Anmeldungen einschränken). Der Angreifer hatte nie einen Vorteil von mehr als 0,2 Prozent. Die Forscher sagen, dass dies darauf hindeutet, dass die Vorteile für Personen, die versuchen, auf ihre Konten zuzugreifen, die möglichen Nachteile der Akzeptanz von Tippfehlern überwiegen sollten.



In einigen Fällen sehen wir praktisch keine Sicherheitsverschlechterung, wenn wir eine Handvoll Korrekturen anwenden, sagt Juels. Wir hoffen, dass dieses Papier die Branchenpraxis verändern wird.

verbergen