Passwörter bleiben ein Sicherheitsproblem. Ein renommiertes IT-Sicherheitsunternehmen hat die häufigst genutzten ermittelt – und sie sind alle schlecht.
Was sind die schlechtesten Passwörter? Der Passwort-Manager-Anbieter NordPass hat einen gewaltigen Datensatz aus öffentlich zugänglichen Datenbanken analysiert, insgesamt 2,5 TB. Darin enthalten sind auch im Darknet gehandelte Listen. Herauskam eine Auflistung von Millionen an Passwörtern mit zugehöriger E-Mail-Adresse – und die Lage bleibt unverändert schlimm. Denn die meistgenutzten Kennwörter sind allesamt simpel zu knacken.
Unrühmliche Favoriten der Menschen bleiben 123456
oder password. Und egal, wie weit der Blick die traurige Top-Liste runterwandert, es wird nicht einfallsreicher. Wie sich zeigt, sind die Nutzer seit 2023 nicht vorsichtiger geworden.
An anderer Stelle erläutern wir euch ein Projekt von Studenten, was auf die Gefahren der Technik hinweisen möchte. Hier findet ihr den Bericht in Artikelform. Das zugehörige Video könnt ihr direkt anschauen:
Im Beruf oder privat: die Leute sind Passwort-faul
NordPass unterscheidet in seinen Listen zwischen privaten sowie Passwörtern für Unternehmen. Sie trennen das anhand der E-Mail-Adressen voneinander. Die komplette Liste der 200 meistgenutzten Passwörter findet ihr hier bei NordPass.
Global betrachtet sieht die Top-Five der zu Hause verwendeten Passwörter so aus:
- 123456
- 123456789
- 12345678
- password
- qwerty123
Wenn man die in Deutschland vorherrschenden Passwörter betrachtet, fliegen qwerty
und ähnliches raus und an seine Stelle treten noch mehr trivialste Zahlenfolgen oder auf Platz 10 der kreative Erguss 000000
Bei Unternehmens-Kennwörtern schaut es recht ähnlich aus:
- 123456
- 123456789
- 12345678
- secret
- password
Die deutsche Top-5 entspricht quasi der privaten.
Warum sind diese Passwörter schlecht? Diese Datenbanken sind seit Langem allen Hackern bekannt. Sie haben ihre Tools damit gefüttert und so dauert es laut NordPass weniger als seine Sekunde, um fast alles innerhalb der Top-200 zu knacken.
Tipps für starke Passwörter
Ihr könnt euch an diese Punkte halten, wenn ihr zweifelt, ob ein Passwort sicher ist:
- Nutzt möglichst große und kleine Buchstaben sowie Zahlen und sofern erlaubt auch Sonderzeichen.
- Nehmt keinesfalls simple Abfolgen, wie die aus den obigen Listen von NordPass.
- Auch sollten es keine bekannten Wörter eurer Muttersprache oder üblicher Fremdsprachen sein, wie zum Beispiel das englische Wort für Geheimnis,
secret
- Habt ihr es bereits einmal irgendwo verwendet? Wenn ja, dann nehmt ein anderes.
- Niemand sollte es einfach erraten können, wenn er oder sie euch persönlich kennt. Verwendet also nicht euer Geburtsdatum, oder Namen von Verwandten oder eure Hobbys.
- Bewahrt eure Passwörter nicht sichtbar am Schreibtisch auf
Alternativ könnt ihr auch einen Passwort-Manager nutzen. Dieser speichert eure Passwörter verschlüsselt ab. Zugriff erhaltet ihr über ein einziges Kennwort, das aber wirklich gut sein sollte. Es gibt diverse kostenlose oder auch kostenpflichtige Varianten, die Suchmaschine eurer Wahl hilft rasch weiter.
Wie lange es wiederum dauert, ein wirklich starkes Passwort zu knacken, hat vor einiger Zeit eine Gruppe von Forschern zusammengestellt: Ihr denkt, euer Passwort ist sicher? Grafik zeigt euch, wie lange Hacker brauchen, um es zu knacken.
Wer sich nach diesem Ausflug in die bei Missachten mitunter arg unerfreuliche Welt der Datensicherheit für mehr Fakten rund um Smartphones interessiert, für den oder die hätten wir noch mehr auf MeinMMO im Angebot. An anderer Stelle haben wir zum Beispiel sechs Mythen rund um Handynutzung aufgelistet, die ihr keinesfalls länger glauben solltet.
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Bitwarden, passwort generieren lassen das abartig lang ist. Dazu 2FA… mehr kann ich nicht machen.
Ist ein Passwort heutzutage noch wichtig, wenn man auf der zu sichernden Seite 2-Faktor Authentifikation aktivieren kann?
Ist eine ehrlich gemeinte Frage.
2FA ist kein Allheilmittel, je nach Webseite.
Gibt genug, wo du mit deinen Logindaten sowie ein paar weiteren Angaben 2FA per Supportticket entfernen lassen kannst. Die Bearbeitung des Tickets fällt dann nicht weiter auf, also hat man auch die nötige Wartezeit. Danach haste freien Zugang, zumal 2FA auch fehleranfällig sein kann, wenn schlecht implementiert. Auch lässt sich 2FA ziemlich effizient abphischen.
Ebenfalls ein typisches Szenario: 2FA wird täglich einmal abgefragt, aus Komfortgründen, bei einem Relogg (weil z.B. nach 5 Minuten Rausfliegen) wird dann nur das Passwort benötigt usw.
Oder:
Du bekommst Zugriff auf ein Emailpostfach und kannst damit reihenweise 2FA austauschen gegen eine eigene Lösung, womit du den eigentlichen Nutzer aussperrst, und bis da geschnallt wird, was los ist, ist der Schaden bereits angerichtet usw.
Umgekehrt ist es auch so: Die Passwortregeln die vorgegeben werden sorgen unterm Strich für ein zusätzliches Risiko, weil man durchzieht ohne nachzudenken und deshalb den Faktor Mensch ignoriert (der macht ja keine Fehler *hust*):
Oh, alle 3 Monate Passwort ändern? Ich hab da ein Schema…
Name des Unternehmens + Zahl aufsteigend + Fixes Sonderzeichen
Hab dadurch schon erfolgreich Passwörter von “Sicherheitsexperten” bei Auftraggebern erraten. Einfach herrlich
Danke für die ausführliche Erklärung. Gerade der letzte Teil sollte mal die Runde machen.