Worst-Password

Ein US-Unternehmen hat wieder die meistverwendeten Passwörter des vergangenen Jahres ermittelt. Der Sieger von 2014 hat seinen Titel souverän verteidigt.

Wer sich ein Passwort für seinen PC oder eine Web-Seite ausdenken muss, sollte am besten “Passwort” verwenden. Das ist leicht zu merken und einzutippen. Im englischen Sprachraum ist “password” die entsprechende Alternative.

Anscheinend denken viele Anwender so, und deshalb ist das Passwort “password” in einer Untersuchung der US-Firma Splash Data zum zweitbeliebtesten Passwort des Jahres 2015 gekürt worden.

Vor “password” steht nur noch “123456”. Damit konnte der Sieger des letzten Jahres seinen Titel verteidigen.

Insgesamt sind aufsteigende Zahlenfolgen recht beliebt, denn auch “1234”, “12345”, “123456789” und “12345678” finden sich in den Top 10. Besonders schlaue Zeitgenossen haben sich für “1234567890” entschieden. Da es anscheinend nicht ganz so viele Schlaue gibt, ist dieses Passwort nur auf Platz 11 gelandet.

————————-
Werbung in eigener Sache
Ich habe kürzlich einen Vortrag für eine Krypto-Konferenz eingereicht. Ob er angenommen wird, entscheidet eine Abstimmung.
BITTE UNTERSTÜTZEN SIE MICH MIT IHRER STIMME.
Hier gibt es die Details.
————————-

Die Passwort-Hitparade

Die folgende Grafik listet die Top-25 auf:

Passwords-Splashdata-16

Im Grunde ist diese Liste sogar unvollständig. Sehr beliebt als Passwort sind beispielsweise auch der eigene Vor- und Nachname. Das ist aber noch längst nicht alles. Ich weiß beispielsweise von einem Unternehmen, in dem in einer Abteilung auffällig oft “Mercure” als Passwort gewählt wurde. Der Grund: Wenn man aus dem Fenster schaute, sah man ein Mercure-Hotel.

 

Passwörter als Einfallstor für Hacker

Diese Passwort-Hitparade hat natürlich einen ernsten Hintergrund. Geratene oder gestohlene Passwörter sind das mit Abstand beliebteste Einfallstor für Hacker.

Viele Anwender meinen, ein Hacker müsse ein Passwort erst einmal eintippen, um dessen Richtigkeit zu prüfen. Da ein Betriebssystem oder ein Web-Portal nicht beliebig viele Falscheingaben zulässt, wäre die Gefahr unter diesen Umständen nicht ganz so groß. In der Praxis gibt es jedoch oft einen einfacheren Weg: Wenn der Hacker einen Hashwert (also quasi eine Verschlüsselung ohne Schlüssel) eines Passworts besitzt, kann er selbst den Hashwert eines Passwort-Kandidaten berechnen und ihn vergleichen. Im positiven Fall ist das Passwort erraten.

Mit entsprechenden Programmen (z. B. John the Ripper oder Cain & Abel) ist es problemlos möglich, Millionen von Passwort-Kandidaten zu prüfen. Listen mit Passwort-Kandidaten findet man zuhauf im Internet. Beliebte Passwörter wie “123456” oder “password” stehen in solchen Listen naturgemäß weit oben, weshalb es oft nur Sekunden dauert, sie zu finden.

Doch woher bekommt man einen Passwort-Hashwert? Das ist oft nicht besonders schwierig. Alle gängigen Betriebssysteme (insbesondere Unix und Windows) verwenden Hashwerte, um Passwörter prüfen zu können. An die entsprechenden Passwort-Dateien (diese enthalten auch die Hashwerte) zu kommen, ist für einen Nutzer in vielen Fällen durchaus möglich – mit einer Software wie den oben genannten kann er dann beispielsweise die Passwörter der Kollegen knacken. Abgesehen davon sind Passwort-Dateien eine begehrte Beute bei Hacker-Einbrüchen. Es sind schon Fälle bekannt geworden, in denen Millionen von Passwort-Hashwerten in die falschen Hände gelangt sind.

Am einfachsten ist die Sache bei Verschlüsselungsprogrammen wie TrueCrypt oder VeraCrypt. Bei diesen wird der Hashwert eines Passworts als Schlüssel verwendet. Ob ein Passwort korrekt ist, kann man daher ohne Zusatzinformationen feststellen – man muss nur ausprobieren, ob das Entschlüsseln funktioniert. Dabei hat man beliebig viele Versuche frei.

Zum Weiterlesen: Wie ein Industriespion eine Verschlüsselung knackte

Kommentare (15)

  1. #1 Oliver
    29. Januar 2016

    Es wäre interessant zu erfahren wie eine solche Liste für den deutschsprachigen Raum aussieht.

  2. #2 Soturi
    29. Januar 2016

    Wie kommen die denn an die ganzen Passwörter? Auf der o.g. Seite steht nur ein vages “In SplashData’s fifth annual report, compiled from more than 2 million leaked passwords during the year,…”.

  3. #3 Nils Kopal
    Kassel
    29. Januar 2016

    (Gestohlene) Passwortlisten bzw Listen von Hashes, sind im Internet verfügbar. Häufig werden diese von Hackern, wenn sie diese klauen veröffentlicht. Die kann man runterladen und analysieren. Zum Beispiel mit “John the Ripper” – dem besten aktuellen Tool für Pre-Image-Angriffe.

    Die oben aufgeführten “einfachen” Passwörter fallen zumeist schon in den ersten Sekunden bis Minuten. Darüber kann man dann eine Statistik machen.

    Vermutlich haben sie (SplashData) genau solche von Hackern veröffentlichen Passwortdatenbanken (“…more than 2 million leaked passwords…”) analysiert und darüber eine Statistik erstellt.

    Viele Grüße,
    Nils

    • #4 Klaus Schmeh
      29. Januar 2016

      Danke für diese zusätzlichen Infos.

  4. #5 Nils Kopal
    Kassel
    29. Januar 2016

    Solche verschlüsselten “Passwortdatenbanken” bzw Files könnten z.B. so aussehen:

    https://www.ais.uni-kassel.de/passwords/show.php

    Eine von uns in Vorlesungen auf freiwilliger Basis gesammelte Liste von Passwörtern. Kann und darf gerne angegriffen werden :-)

    Hier daruf man auch gerne selbst Passwörter hinzufügen:

    https://www.ais.uni-kassel.de/passwords/

    Natürlich NICHT solche, die man aktuell verwendet 😉

  5. #6 Soturi
    29. Januar 2016

    @Nild Kopal: Danke!

  6. #7 CI
    Hannover
    29. Januar 2016

    Ein gutes Passwort dort zu verwenden, wo man es erahnen kann, dass es geklaut werden kann, ist viel sträflicher als ein dafür ein Schrott Passwort zu verwenden.
    Für hochsensible Daten starke Passwörter, für lächerliche Webdienste, die ein Benutzerkonto erzwingen, Schrottpasswörter. Sonst landen die starken Passwörter auch in den Passwörtertabellen.

  7. #8 Onkel Michael
    https://onkelmichael.wordpress.com
    30. Januar 2016

    Spontan musste ich beim lesen an das Passwort von Fox Mulder in der Serie Akte X denken: TrustNo1
    😉

  8. #9 h.quirn
    30. Januar 2016

    @Cl
    dito
    @klausi
    Hab ich es richtig verstanden, dass du wenn möglich unter den Top17 landest möchtest oder macht die Platzierung auch noch einen Unterschied ?

    • #10 Klaus Schmeh
      30. Januar 2016

      Die Platzierung spielt keine Rolle. Es gibt also 17 Sieger und 18 Verlierer.

  9. #11 Gert Brantner
    Berlin
    1. Februar 2016

    Das Beste Root-Password für einen Server, das mir jemals untergekommen ist, lautete “root”.
    Dabei gehörte der Server jemandem vom CCC..

  10. #12 helmut
    1. Februar 2016

    @gert
    ich kenne kundenserver mit:
    benutzer: anonym
    passwort: anonym

    oder auch:
    benutzer: admin
    passwort: admin

    und natürlich den obligatorischen 12345… password…

    manche (oder viele) lernen es eben nie, bzw. erst wenn es zu spät ist

  11. #13 Nils Kopal
    Kassel
    2. Februar 2016

    Schwache Passwörter verwenden, egal wo, ist immer eine schlechte Idee.
    Am besten ÜBERALL “hochsichere” Passwörter verwinden – natürlich überall ein anderes 😉

    “hochsicher” = “lang” + absolut zufällig

    Sollte bei einem Dienst dann der Passwort-Hash gestohlen werden, kann das Passwort (bzw der Hash) mit ziemlicher Sicherheit auch nicht gebrochen werden. Sollte der Dienst das Passwort unverschlüsselt (-> nicht gehasht) speichern, sollte man den Dienst eh nicht benutzen. Aber selbst dann würde nur eine Zufallszahl geklaut werden…

    Dafür nutzt man am besten einen Password-Safe wie z.B. Keepass2.
    In diesem Tool lässt man sich für jeden Dienst einfach ein sicheres Passwort generieren. Sicher wäre z.B. ein mindestens 16 Zeichen langes, zufällig generiertes, Passwort.
    Keepass2 verschlüsselt die eigenen Passwörter sicher in seiner Datenbank, sofern das dafür gewählte Passwort auch sicher ist. Die schwächste Stelle wäre dann das Keepass2-Passwort – das kriegt man dann nur mit Hilfe von Trojanern auf dem Rechner gestohlen, genau so wie die Keepass2-Datenbank-Datei. Aber sofern man entsprechende Schadsoftware im eigenen System hat ist sowieso jede Sicherheit verloren, egal wie gut die Passwörter sind 😉

  12. #14 Ulrich M. Moese
    4. Februar 2016

    meins ist – kommt keiner druff:
    !Ӥ;:_

    😉

  13. #15 Ulrich M. Moese
    Gera
    4. Februar 2016

    nachtrag: die nsa verfügt bereits über quantencomputer Prototypen, die mühelos zufällige 32-stellige Passwörter innerhalb 1 stunde auslesen und knacken.
    der beweis: wenn dieser kommentar nicht gelöscht wird. :)

    denn: wird er gelöscht, dann wollen sie nicht dass das rauskommt. wird er nicht gelöscht, dann lassen sie ihn stehen, damit es nicht auffällt. eine in sich geschlossene logikschleife. :)