Det nytter ikke meget, at brugerne vil have stærke kodeord, hvis ikke de ved, hvad der gør kodeordet stærkt. Og det gør de langtfra altid, viser et studie fra Carnegie Mellon University.
Et forsøg præsenterede 165 respondenter for 25 kodeord-par, hvorefter testpersonen skulle vurdere den relative sikkerhed i kodeordene.
Respondenterne vurderede blandt andet, at koden ieatkale88 er omtrent lige så sikker som iloveyou88. Men ifølge forskerholdets beregninger vil det tage fire milliarder flere gæt at knække førstnævnte kode, fordi iloveyou er en ekstremt tærsket tekststreng i kodeordsammenhænge.
Ligeledes mente respondenterne, at p@ssw0rd var mere sikker end pAsswOrd, selvom sidstnævnte ifølge forskerne kræver 4.000 flere gæt.
»Selvom deltagerne generelt havde en god forståelse af, hvad der gør et kodeord stærkt eller svagt, så havde de også nogle kritiske misforståelser om, hvordan kodeord angriber, og de antog ukorrekt, at deres kodeord kun skulle modstå et lille antal gæt,« forklarer Blase Ur, der er ph.d-studerende ved Carnegie Mellons datalogistudium.
Forskerholdet håber, at viden om brugernes misforståede idé om kodesikkerhed kan forbedre værktøjer, der vejleder om styrken af kodeord. Holdet vil selv indarbejde resultaterne i et open source-værktøj, der giver feedback på kodeord og skal udgives i år.