20.000 Internet-Nutzer können sich nicht irren. So viele verwendeten laut einer US-Statistik das Passwort “123456”.  Auch “qwerty”und “abc123” erwiesen sich als sehr beliebt.

Kennen Sie das größte Problem in der Kryptologie? Es besteht darin, dass Verschlüsselungstechnik zu wenig genutzt wird. Gerade einmal vier Prozent aller E-Mails werden derzeit verschlüsselt, bei Telefongesprächen dürfte der Anteil unter einem Promille liegen.

Und das zweitgrößte Problem? Das sind ganz klar die Passwörter. Als Beispiel seien drei Vorfälle aus dem Jahr 2014 erwähnt: Einmal wurden 18 Millionen, einmal 7 Millionen und einmal 1,2 Milliarden Passwörter gestohlen (der zweitgenannte Fall wurde allerdings vom betroffenen Unternehmen Dropbox bestritten). Diese Diebstähle haben zwar nur indirekt mit Verschlüsselung zu tun, da die gestohlenen Passwörter für den Zugangsschutz und nicht etwa als Schlüssel für die Datei- oder E-Mail-Verschlüsselung genutzt wurden. Es dürfte aber klar sein, dass Passwörter nahezu überall, wo sie genutzt werden, eine Schwachstelle darstellen – unter anderem, weil man sie klauen kann. Es gibt daher längst Bestrebungen, sicherere Alternativen einzusetzen (unter anderem per SMS verschickte Einmal-Passwörter oder Smartcards), doch das braucht seine Zeit.

Passwords-Splashdata

In vielen Fällen muss ein Hacker ein Passwort noch nicht einmal stehlen. Viele Anwender sind nämlich erschreckend einfallslos, wenn es darum geht, sich ein Passwort auszudenken. Dies bestätigen Erhebungen der Firma SplashData, die jedes Jahr die beliebtesten Passwörter ermittelt. 2014 wertete das Unternehmen 3,3 Millionen Passwörter aus, die durch diverse Sicherheitsvorfälle preisgegeben wurden. So sieht die Passwort-Jahres-Hitparade 2014 aus:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. 1234567890
  7. 1234
  8. baseball
  9. dragon
  10. football
  11. 1234567
  12. monkey
  13. letmein
  14. abc123
  15. 111111
  16. mustang
  17. access
  18. shadow
  19. master
  20. michael
  21. superman
  22. 696969
  23. 123123
  24. batman
  25. trustno1

Das beliebteste Passwort “123456” kommt dabei auf einen Anteil von 0,6 Prozent, was 20.000 Verwendungen entspricht. Insgesamt machen die 25 beliebtesten Passwörter derzeit 2,5 Prozent des gesamten Passwort-Aufkommens aus. Immerhin: Laut SplashData ist dieser Anteil seit Jahren leicht rückläufig.

Zum Weiterlesen: Der folgenschwerste Laptop-Diebstahl der Geschichte

Kommentare (21)

  1. #1 der eine Andreas
    15. Februar 2015

    Hurra – Platz 4!

    Aber leider ist jetzt in der Firma Schluß mit solch merkbaren Passwörtern. Mehr Zeichen, zwangsweise Ziffern, Buchstaben und Sonderzeichen – und das Ganze noch in unterschiedlichen Zeitabständen zu aktualisieren.
    Na ja, egal – in meiner Kladde auf dem Schreibtisch notiere ich mir halt die jeweils aktuell gültigen Passwörter 🙂

    • #2 Klaus Schmeh
      15. Februar 2015

      Ein Grund mehr, dass man langfristig von Passwörtern wegkommen sollte. Aber das wird dauern.

  2. #3 Reen
    15. Februar 2015

    Ich weiß gar nicht, ob die Liste so schlimm ist. Ich denke und hoffe die meisten unterscheiden nach Wichtigkeit des Dienstes. Für Online-Foren nehme ich zB auch immer ein einfaches. Da passiert ja nichts, wenn sich jemand in meinen Account einloggt. Außerdem sollte man auch einkalkulieren, dass das oft Hobby-mäßig betrieben wird und da dann auch eher mal Passwörter abgefangen werden können.
    Für wichtigeres nehme ich ein komplizierteres, aber immer das gleiche Passwort. Für die wichtigsten Dienste (zB E-Mail) bekommt jeder Dienst ein individuelles Passwort nach einem kleinen Algorithmus.
    Glaube so fahre ich ganz gut.

  3. #4 Pnugi
    München
    15. Februar 2015

    Ich vermute, der eigene Name ist noch populärer als 123456. Aber das geht in die Statistik nicht ein.

  4. #5 Peter G. Bouillon
    Lüdinghausen
    15. Februar 2015

    „123456“ ist doch als Kennwort gar nicht schlecht – wenn die entsprechende Seite sich wichtig nimmt aber nun mal nicht so wichtig IST. Früher habe ich solche Kennwörter auch eingesetzt und so meinen Gehirnkasten geschont. Seitdem ich den Kennwortsafe von Firefox im Einsatz habe, lasse ich mir aber auch für nebensächliche Seiten etwas Zwölfstelliges auf random.org generieren.
    https://www.random.org/

  5. #6 Gregor Euler
    15. Februar 2015

    Ein Paper von Bojinov et. al. (Neuroscience Meets Cryptography: Designing Crypto Primitives Secure Against Rubber Hose Attacks, http://bojinov.org/professional/usenixsec2012-rubberhose.pdf) untersucht einen kleinen ersten, aber wie ich finde höchst interessanten, Ansatz. Es geht um implizite Authentifizierung, der Nutzer soll ein Passwort eingeben, ohne, dass er weiß, was das Passwort ist. Natürlich ist das untersuchte Szenario noch weit entfernt von einer wirklichen praktischen Nutzung, aber ein wenig mehr Forschung auf diesem Gebiet könnte das Problem unsicherer Passwörter und vor allem des unfreiwilligen Preisgebens angehen. Passwortklau durch unsichere Kommunikation/Speicherung ist dadurch natürlich nicht gelöst, aber da kann der Nutzer auch ein noch so starkes Passwort erfinden.

  6. #7 Jürgen Schönstein
    15. Februar 2015

  7. #8 Heinz
    15. Februar 2015

    > Gerade einmal vier Prozent aller E-Mails werden derzeit verschlüsselt

    Immerhin.

  8. #9 Dr. Webbaer
    16. Februar 2015

    Sehr lustig, aber so ist es halt.
    Besser als kein Password.
    Lustig auch, wenn vom Systembetreiber kein Benutzernamen genutzt wird, also das Password <em<selbst eine Art Sicherheitskontext darstellen soll; sowas gab es früher.

  9. #10 Dr. Webbaer
    16. Februar 2015

    * das Password selbst eine Art Sicherheitskontext

  10. #11 griesl
    16. Februar 2015

    Ich halt es wie Reen.
    Daher verwundert mich diese Liste nicht wirklich. Intressant hätte ich es gefunden, wenn zu den häufigsten Passwörtern auch die Internetseiten oder die Art der Seiten aufgeführt wären, von wo sie entwendet wurden. Dann ließe sich vielleicht etwas über das Verhalten der Nutzer bzw warum die Liste jahrjährlich nahezu gleich bleibt sagen.

  11. #12 Michael Wölk
    17. Februar 2015

    Ich halte es prinzipiell für falsch dem Benutzer ein bestimmtes Format bzw. Regeln wie “muß mindestens (oder schlimmer noch, *exakt*) X Zeichen, Groß-/Kleinbuchstaben und Sonderzeichen enthalten” aufzuzwingen. Sowas führt nur dazu dass Niemand sich seine Passwörter merken kann und diese dann auf Zetteln am Monitor oder in der Schublade daneben zu finden sind. Leider ist dies jedoch gängige Praxis.

    Unsinnige (aber leicht zu merkende) Phrasen wie “TraktorMaltSonnenblumeKaputt” machen da deutlich mehr Sinn – sowohl für die Nutzer als auch Firmen. Und wahrscheinlich lehne ich mich damit jetzt zu weit aus dem Fenster, aber ich glaube, dass die Konstellation “Jemand will speziell *mein* Passwort herausfinden und hat dafür *ausschliesslich* technische Mittel wie Brute Force usw. zur Verfügung *und* genügend Zeit und Motivation das durchzuziehen” praktisch auszuschliessen ist.

    Tja, und wenn jemand mein Passwort “klaut” bzw. irgendwo abfängt, spielt es sowieso keine Rolle, wie “gut” es war.

  12. #13 earonn
    17. Februar 2015

    Also, ich bin bislang mit meinem Passwort 00hirnzelle ganz gut gefahren. Nehme ich auch fuer das Online Banking und die ganze Steuerkorrespondenz. Sogar meine verschluesselten Daten zur Uebernahme der Weltherrschaft sind damit gesichert, und noch nie ist etwas passiert.
    ….
    ….
    …..
    😉

  13. #14 Sulu
    17. Februar 2015

    Ich halte es prinzipiell für falsch dem Benutzer ein bestimmtes Format bzw. Regeln wie “muß mindestens (oder schlimmer noch, *exakt*) X Zeichen, Groß-/Kleinbuchstaben und Sonderzeichen enthalten” aufzuzwingen.

    Solltest du mal eine Webseite mit vielen Nutzer-Konten betreiben, die zudem noch sensible Daten enthält, wirst du das anders bewerten.

    dann auf Zetteln am Monitor oder in der Schublade daneben

    Es gibt (quasi immer) eine Passwort-vergessen-Funktion, die ganz nützlich ist. Solange man sein E-Mail-PW im Kopf hat. OSX hat eine Schlüsselbund-Sammelstelle, die auch in der Cloud gespeichert (+gesynct) werden kann. Gibts für andere OS sicher auch.

    Zettel muss sicher keiner mehr kleben…

  14. #15 Sulu
    17. Februar 2015
  15. #16 Doro
    17. Februar 2015

    Also ich finde die Liste zeigt nicht, wie dämlich die Nutzer bei der Wahl des Paßwortes sind, sondern für wie viele dämliche Funktionen man heute ein Paßwort braucht. Heißt doch überall nur noch, loggen Sie sich ein. Allein für die Suchfunktion von irgendwelchen üsseligen Foren braucht man doch schon nen Account mit Paßwort, selbst wenn man die Seite vielleicht nur einmal besuchen will. Kommentarfunktion bei Blogs, selbst wenn man in seinem Leben in diesem Blog nur eine einzige Frage stellen will. Microsoft-Hilfe, loggen sie sich ein.

    In all diesen Fällen nehme ich übrigens auch gern 123456 oder abc123, bin also selbst wahrscheinlich fünfzig Mal mit der Statistik erfaßt. Und ich hoffe hier kommt auch gleich die Frage nach einem Log-In, damit ich vor dem Posten des Kommis mein Paßwort mal wieder benutzen kann 😉

  16. #17 Michael Wölk
    18. Februar 2015

    “Solltest du mal eine Webseite mit vielen Nutzer-Konten betreiben, die zudem noch sensible Daten enthält, wirst du das anders bewerten.”

    Vielleicht. Aber begründe doch bitte erstmal was meine Alternative zur schlechteren Lösung macht.

    “Es gibt (quasi immer) eine Passwort-vergessen-Funktion, die ganz nützlich ist. Solange man sein E-Mail-PW im Kopf hat. OSX hat eine Schlüsselbund-Sammelstelle, die auch in der Cloud gespeichert (+gesynct) werden kann. Gibts für andere OS sicher auch.

    Zettel muss sicher keiner mehr kleben…”

    Also ich will garnicht dass meine Passwörter lokal oder gar in der Cloud gespeichert werden. Meinen Browser lasse ich auch keinen Verlauf anlegen und unterbinde aktiv das Speichern von “Cookies” und Passwörtern sowie die Benutzung von Skripten und Trackern.

    In der Arbeit verwenden wir Smartcards zum einloggen am Computer und Verschlüsseln von E-Mails. Allerdings müssen paradoxerweise immer noch zusätzliche Passwörter für Windows vergeben werden, die nach drei Monaten ablaufen, und sich nicht mit Smartcard & PIN überschreiben lassen.

    Das wiederum führt dazu, dass sich viele Kollegen genervt ihr ohnehin schwaches Passwort auf Zettel schreiben, die dann in der Schublade o.ä. am Arbeitsplatz liegen.

    https://howsecureismypassword.net/

    Mein Arbeits-PC Passwort, das den von mir kritisierten Zwangsvorschriften entspricht, ist laut dieser Seite in 15 Std. zu knacken. Mein beim Schreiben des Post ausgedachtes Beispielpasswort, das ich mir übrigens problemlos bis heute merken konnte, ohne dass ich das vorher geplant häte, wird mit 8 nonillion Jahren “Knackzeit” angegeben.

  17. #18 maunz
    18. Februar 2015

    Und jetzt noch eine Liste der gehackten Bankomat PIN Codes:

    0000
    0001
    0002
    ……
    ……
    ……
    ……
    9997
    9998
    9999

    🙂

  18. #19 TmoWizard
    http://mikespeier.cwsurf.de/wordpress/
    21. Februar 2015

    Hm… also für verschiedene Foren verwende ich tatsächlich oft das selbe Paßwort, dafür aber verschiedene Mailadressen. Allerdings solch einfache Paßwörter gibt es bei mir nicht, unter 10 Zeichen (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) geht bei mir gar nichts!

  19. #20 JK
    http://sicheres-passwort-generieren.de/
    14. Januar 2016

    Zum Erstellen von guten Passwörtern habe ich ein kostenloses Online-Tool zur Verfügung gestellt. Es werden sofort eine Vielzahl von Passworten generiert und man kann sich ein Passwort aus einer Liste aussuchen.

  20. […] Klaus Schmeh, schreibt noch einmal detailierter über die "25 beliebtesten Passwörter" des Jahres 2014 und zeigt, warum diese unter keinen umständen verwendet werden dürfen: Das beliebteste Passwort des Jahres 2014: "123456" […]