„123456“ ist das schlechteste Passwort des Jahres 2013

Es löst Vorjahressieger "password" an erster Stelle ab. Unter den ersten Fünf stehen auch "12345678", "qwerty" und "abc123". Der Passwortdiebstahl bei Adobe schlägt sich darin nieder, dass "adobe123" und "photoshop" die Top 25 erreicht haben.

SplashData hat seine alljährliche Liste der schlechtesten Passwörter für 2013 vorgelegt. Sie weist eine im Vergleich zum Vorjahr neue Nummer eins auf: „123456“ hat „password“ abgelöst, das sich immerhin noch auf Rang 2 findet – vor „12345678“, „qwerty“ und „abc123“.

Schlechteste Passwörter 2013 (Infografik: SplashData)

Als Grundlage der Liste dienen online gepostete gestohlene Passwörter. Das sicherheitsfokussierte Entwicklungshaus teilt mit, für 2013 hätten die bei Adobe gestohlenen Passwörter eine besonders große Rolle gespielt. Stricture Computing hatte den Versuch unternommen, sie zu entschlüsseln. Ihm zufolge verwendeten etwa 2 Millionen der 130 Millionen betroffenen User „123456“ als Passwort.

Der Einfluss der vielen Adobe-Passwörter auf die Statistik macht sich auch darin bemerkbar, dass sich „adobe123“ und „photoshop“ in den Top 25 wiederfinden. Die Liste zeigt zudem, dass „letmein“ („lass mich rein“) und „trustno1“ („vertraue niemandem“) nicht so einmalig und schlau sind, wie sich mancher wohl gedacht hat.

SplashData empfiehlt Passwörter aus nicht zusammenhängenden Wörtern, die durch Leerzeichen oder Unterstriche getrennt sind und keinen grammatisch sinnvollen Satz ergeben. Als Beispiele nennt es „cakes years birthday“ („Kuchen Jahre Geburtstag“) und „smiles_light_skip?“ („Lächeln_leicht_überspringen?“).

Die bei Adobe gestohlenen Passwörter waren verschlüsselt, aber nicht gehasht. Es wird angenommen, dass sie sich mit einem einzigen Schlüssel dechiffrieren lassen. Diverse besonders einfach gestrickte, kurze und daher unsichere Passwörter wurden auch ohne kompletten Schlüssel schnell von Experten enttarnt.

Nach dem Hack und Passwortdiebstahl bei Adobe hatten auch andere Onlinefirmen wie Facebook die bekannt gewordenen Kombinationen aus Benutzername und Passwort auf der eigenen Website geprüft. Facebook zwang anschließend Nutzer, deren Konto angreifbar gewesen wäre, ihr Passwort zurückzusetzen.

Dass Passwörter ein grundsätzliches Problem sind, weil sie entweder leicht zu dechiffrieren oder schwer zu merken sind, wissen natürlich auch Sicherheitsforscher. Eine Google-Mitarbeiterin erklärte im September sogar: „Passwörter sind tot.“ Ergänzend wird immer wieder Zwei-Faktor-Authentifizierung unter Verwendung eines Tokens genannt. F-Secure hat dagegen eine Dienstleistung daraus gemacht: Sein KEY generiert und speichert komplexe, lange Passwörter zentral in einer europäischen Cloud und macht sie dem Anwender auf allen seinen Endgeräten verfügbar, wenn er sein Masterpasswort nennt.

[mit Material von Eric Mack, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Adobe, Facebook, Secure-IT, SplashData

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

10 Kommentare zu „123456“ ist das schlechteste Passwort des Jahres 2013

Kommentar hinzufügen
  • Am 21. Januar 2014 um 23:30 von Judas Ischias

    Und wer garantiert mir für die Sicherheit in der Cloud? Da hat man praktischerweise alle Passwörter. Wenn man mal nur 1 Vierteljahr zurück schaut, wen es da alles erwischt hat. Diese Firmen sollten doch die besten Sicherheitsexperten haben, die wirklich dafür sorgen sollten dass bei ihnen keine Einbrüche stattfinden. Ich bin doch nur ein technischer Idiot, bei mir hat so etwas aber, (zum Glück), noch nicht stattgefunden, im Gegensatz zu diesen hoch abgesicherten Firmen.

    • Am 22. Januar 2014 um 7:17 von Bembelschorsch

      100%tige Sicherheit gibt es nicht und wird es nie geben.
      Und eine einzel Person mit einem Konzern zu vergleichen, bei dem millionen mal mehr passiert finde ich auch ziemlich vermessen.

      • Am 22. Januar 2014 um 16:59 von Judas Ischias

        Und genau aus diesem Grund gebe ich nichts in irgendeine Cloud, sondern weil ich ein technischer Idiot bin bleiben die Daten bei mir. Es gibt genug Möglichkeiten seine Daten auch anderweitig zu sichern. Wenn z.B. bei einem Sicherheitsunternehmen, was genau auf solche Sachen spezialisiert sein sollte, so etwas passiert, ist dies einfach nur peinlich.

  • Am 22. Januar 2014 um 12:14 von Volker Hau

    Wenn man „Account“123456, „Account“ z. B.: ZDNet, Heise usw. (aber nicht unbedingt Amazon, eBay ;-), als einfach zu merkende, fast schon „Wegwerf“-Passwörter betrachtet, ist das laut Ansicht vieler „Experten“ sogar sicherer, als -ein=1- auch hochkomplexes Passwort überall zu benutzen.
    Ideal wäre natürlich (wie es oft empfohlen wird) einen komplexen „Body“ mit einem einfachen, zum Account passenden Head(-er) zu paaren.
    Ist ja altbekannt, ich erwähne es trotzdem noch mal.
    Sichert zwar nicht die Cloud (da sollte man halt End-to-End Verschlüsselung bevorzugen bzw. einsetzen), ist aber schon einmal ein guter Anfang!
    Volker

  • Am 22. Januar 2014 um 12:46 von spaceballs

    „Das Password für den Schutzschild von Druidia ist 1 2 3 4 5 6, ha ..
    nur ein Idiot würde 123456 verwenden.
    Ändern sie sofort das Passwort an meinen Koffer.“

    • Am 22. Januar 2014 um 12:56 von Volker Hau

      Mel Brooks „Spaceballs“ war mir zwar immer etwas zu „überdreht“, aber hier passt es ja mal ganz gut… :-)
      Volker

    • Am 22. Januar 2014 um 13:00 von Square Zero

      Die Kombination für den Schutzschild gehr nur bis „5“. ;-)

  • Am 22. Januar 2014 um 12:54 von Kamal Gilani

    Ich denke an der zweite Stelle rangiert 0000 und and der dritte Stelle kommt 1234

    • Am 22. Januar 2014 um 13:37 von Prinz Valium

      Bestes Paßwort auf meiner persönlichen Liste: **** (4 Sterne)
      XD
      Aber auf Druidia hätte auch kein besseres Paßwort genutzt, wurde doch dem Accountbesitzer mit Rückoperation der Nasenkorrektur seiner Tochter gedroht! ;-)

  • Am 23. Januar 2014 um 0:04 von Judas Ischias

    Na ja, wenn alle Leute das ändern von Passwörtern als so wichtig erachten, nehme ich für die eine Hälfte der Geräte eben 654321 und die andere Hälfte wird mit QWERTZ abgesichert. Da mir 3 Passwörter zu viel sind, verzichte ich auf 321cba. Damit mache ich bestimmt nichts verkehrt.:-D

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *