Passwörter: Der größte Fehler sitzt immer noch vor dem Computer
Das auf Anwendungen für Passwortmanagement spezialisierte Unternehmen Splashdata hat zum wiederholten Male eine Liste der verbreitetsten Passwörter vorgestellt. Das Datenmaterial stammt zwar aus den USA und Westeuropa, Begriffe wie “password” auf dem zweiten Platz, “baseball” auf dem achten sowie “dragon” auf dem neunten lassen allerdings auf einen Schwerpunkt auf dem englischen Sprachraum schließen. Das am häufigsten verwendete Passwort ist nach wie vor die Ziffernfolge “123456”.
Da weit verbreitete Passwörter zugleich auch besonders schlechte Passwörter sind, bezeichnet Splashdata die Ziffernfolge auch als “das schlechteste Passwort” des abgelaufenen Jahres. Streng genommen sind “1234” (Rang sieben) und “11111” (15. Platz) aufgrund der geringeren Anzahl an Zeichen allerdings noch schlechter. Insgesamt besteht die Hälfte der Top 10 der Splashdata-Liste aus reinen Ziffernfolgen.
Alles in allem nennt Splashdata 25 Passwörter, die in gestohlenen und anschließend im Internet aufgetauchten Listen besonders häufig vorkommen. Als Neuzugänge sind “696969” an 22. Stelle sowie “batman” auf Rang 24 zu nennen. Das im Vorjahr noch sehr beliebte “iloveyou” ist nun nicht mehr in den oberen Rängen der Liste vertreten.
3,3 Millionen im vergangenen Jahr durchgesickerte, reale Passwörter fanden Eingang in die Aufstellung. Millionen ebenfalls bekannt gewordene Passwörter russischer Herkunft hat Splashdata hingegen bewusst nicht berücksichtigt.
Sicherheitsforscher Mark Burnett, der die Studie beratend begleitet hat, zieht aus diesen Zahlen auch ein positives Fazit: Die 25 beliebtesten Passwörter seien zwar nicht intelligent gewählt, machten aber nur noch einen Anteil von 2,2 Prozent aller Passwörter aus. “Das ist zwar weiter beängstigend, aber der niedrigste Anteil, den ich in den jüngsten Studien gesehen habe”, erklärt Burnett.
Splashdata-CEO Morgan Slain rät zudem von Passwörtern ab, die auf dem Tastaturlayout beruhen. So sei etwa die Zeichenfolge “1qaz2wsx”, also die beiden linken Tastenreihen einer englischen Tastatur, nicht empfehlenswert. In den Top 100 finden sich auch auffallend viele Sportarten, von welchen man ebenso absehen sollte wie von Eigennamen. “michael” schaffte es sogar bis auf Position 20. Gleichermaßen sind Geburtsdaten – und in dem Kontext vor allem Geburtsjahre – zwar beliebt, aber auch alles andere als ratsam. Beispielsweise finden sich die Ziffernsequenzen 1989, 1990, 1991 und 1992 in den Top 100.
Viele Sicherheitsexperten empfehlen entweder absurde Passwortsätze wie “Der Hund nahm den grünen Bus” oder gleich den Einsatz eines Passwortmanagers, der unmerkbare Zeichenfolgen generiert. Der User muss dann lediglich das Masterpasswort behalten. Allerdings sind Passwortmanager deshalb auch ein entsprechend populäres Angriffsziel von Malware. Zudem ist eine Zwei-Faktor-Authentifizierung sinnvoll, die neben dem Passwort selbst auch das Smartphone oder Sicherheitstoken des Nutzers für den Zugang benötigt.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp der Redaktion: Fast schon regelmäßig verschaffen sich Hacker Millionen Nutzerdaten von Online-Diensten. Das können Sie alleine nicht verhindern. Doch mit unseren Tipps für eine sichere Passwort-Strategie müssen Sie sich weniger Sorgen um Ihre virtuellen Identitäten machen.