Ein US-Unternehmen hat wieder die meistverwendeten Passwörter des vergangenen Jahres ermittelt. Der Sieger von 2014 hat seinen Titel souverän verteidigt.
Wer sich ein Passwort für seinen PC oder eine Web-Seite ausdenken muss, sollte am besten “Passwort” verwenden. Das ist leicht zu merken und einzutippen. Im englischen Sprachraum ist “password” die entsprechende Alternative.
Anscheinend denken viele Anwender so, und deshalb ist das Passwort “password” in einer Untersuchung der US-Firma Splash Data zum zweitbeliebtesten Passwort des Jahres 2015 gekürt worden.
Vor “password” steht nur noch “123456”. Damit konnte der Sieger des letzten Jahres seinen Titel verteidigen.
Insgesamt sind aufsteigende Zahlenfolgen recht beliebt, denn auch “1234”, “12345”, “123456789” und “12345678” finden sich in den Top 10. Besonders schlaue Zeitgenossen haben sich für “1234567890” entschieden. Da es anscheinend nicht ganz so viele Schlaue gibt, ist dieses Passwort nur auf Platz 11 gelandet.
————————-
Werbung in eigener Sache
Ich habe kürzlich einen Vortrag für eine Krypto-Konferenz eingereicht. Ob er angenommen wird, entscheidet eine Abstimmung.
BITTE UNTERSTÜTZEN SIE MICH MIT IHRER STIMME.
Hier gibt es die Details.
————————-
Die Passwort-Hitparade
Die folgende Grafik listet die Top-25 auf:
Im Grunde ist diese Liste sogar unvollständig. Sehr beliebt als Passwort sind beispielsweise auch der eigene Vor- und Nachname. Das ist aber noch längst nicht alles. Ich weiß beispielsweise von einem Unternehmen, in dem in einer Abteilung auffällig oft “Mercure” als Passwort gewählt wurde. Der Grund: Wenn man aus dem Fenster schaute, sah man ein Mercure-Hotel.
Passwörter als Einfallstor für Hacker
Diese Passwort-Hitparade hat natürlich einen ernsten Hintergrund. Geratene oder gestohlene Passwörter sind das mit Abstand beliebteste Einfallstor für Hacker.
Viele Anwender meinen, ein Hacker müsse ein Passwort erst einmal eintippen, um dessen Richtigkeit zu prüfen. Da ein Betriebssystem oder ein Web-Portal nicht beliebig viele Falscheingaben zulässt, wäre die Gefahr unter diesen Umständen nicht ganz so groß. In der Praxis gibt es jedoch oft einen einfacheren Weg: Wenn der Hacker einen Hashwert (also quasi eine Verschlüsselung ohne Schlüssel) eines Passworts besitzt, kann er selbst den Hashwert eines Passwort-Kandidaten berechnen und ihn vergleichen. Im positiven Fall ist das Passwort erraten.
Mit entsprechenden Programmen (z. B. John the Ripper oder Cain & Abel) ist es problemlos möglich, Millionen von Passwort-Kandidaten zu prüfen. Listen mit Passwort-Kandidaten findet man zuhauf im Internet. Beliebte Passwörter wie “123456” oder “password” stehen in solchen Listen naturgemäß weit oben, weshalb es oft nur Sekunden dauert, sie zu finden.
Doch woher bekommt man einen Passwort-Hashwert? Das ist oft nicht besonders schwierig. Alle gängigen Betriebssysteme (insbesondere Unix und Windows) verwenden Hashwerte, um Passwörter prüfen zu können. An die entsprechenden Passwort-Dateien (diese enthalten auch die Hashwerte) zu kommen, ist für einen Nutzer in vielen Fällen durchaus möglich – mit einer Software wie den oben genannten kann er dann beispielsweise die Passwörter der Kollegen knacken. Abgesehen davon sind Passwort-Dateien eine begehrte Beute bei Hacker-Einbrüchen. Es sind schon Fälle bekannt geworden, in denen Millionen von Passwort-Hashwerten in die falschen Hände gelangt sind.
Am einfachsten ist die Sache bei Verschlüsselungsprogrammen wie TrueCrypt oder VeraCrypt. Bei diesen wird der Hashwert eines Passworts als Schlüssel verwendet. Ob ein Passwort korrekt ist, kann man daher ohne Zusatzinformationen feststellen – man muss nur ausprobieren, ob das Entschlüsseln funktioniert. Dabei hat man beliebig viele Versuche frei.
Follow @KlausSchmeh
Zum Weiterlesen: Wie ein Industriespion eine Verschlüsselung knackte
Kommentare (15)