„123456“ ist das schlechteste Passwort des Jahres 2013

SplashData hat seine alljährliche Liste der schlechtesten Passwörter für 2013 vorgelegt. Sie weist eine im Vergleich zum Vorjahr neue Nummer eins auf: „123456“ hat „password“ abgelöst, das sich immerhin noch auf Rang 2 findet – vor „12345678“, „qwerty“ und „abc123“.

Als Grundlage der Liste dienen online gepostete gestohlene Passwörter. Das sicherheitsfokussierte Entwicklungshaus teilt mit, für 2013 hätten die bei Adobe gestohlenen Passwörter eine besonders große Rolle gespielt. Stricture Computing hatte den Versuch unternommen, sie zu entschlüsseln. Ihm zufolge verwendeten etwa 2 Millionen der 130 Millionen betroffenen User „123456“ als Passwort.

Der Einfluss der vielen Adobe-Passwörter auf die Statistik macht sich auch darin bemerkbar, dass sich „adobe123“ und „photoshop“ in den Top 25 wiederfinden. Die Liste zeigt zudem, dass „letmein“ („lass mich rein“) und „trustno1“ („vertraue niemandem“) nicht so einmalig und schlau sind, wie sich mancher wohl gedacht hat.

SplashData empfiehlt Passwörter aus nicht zusammenhängenden Wörtern, die durch Leerzeichen oder Unterstriche getrennt sind und keinen grammatisch sinnvollen Satz ergeben. Als Beispiele nennt es „cakes years birthday“ („Kuchen Jahre Geburtstag“) und „smiles_light_skip?“ („Lächeln_leicht_überspringen?“).

Die bei Adobe gestohlenen Passwörter waren verschlüsselt, aber nicht gehasht. Es wird angenommen, dass sie sich mit einem einzigen Schlüssel dechiffrieren lassen. Diverse besonders einfach gestrickte, kurze und daher unsichere Passwörter wurden auch ohne kompletten Schlüssel schnell von Experten enttarnt.

Nach dem Hack und Passwortdiebstahl bei Adobe hatten auch andere Onlinefirmen wie Facebook die bekannt gewordenen Kombinationen aus Benutzername und Passwort auf der eigenen Website geprüft. Facebook zwang anschließend Nutzer, deren Konto angreifbar gewesen wäre, ihr Passwort zurückzusetzen.

Dass Passwörter ein grundsätzliches Problem sind, weil sie entweder leicht zu dechiffrieren oder schwer zu merken sind, wissen natürlich auch Sicherheitsforscher. Eine Google-Mitarbeiterin erklärte im September sogar: „Passwörter sind tot.“ Ergänzend wird immer wieder Zwei-Faktor-Authentifizierung unter Verwendung eines Tokens genannt. F-Secure hat dagegen eine Dienstleistung daraus gemacht: Sein KEY generiert und speichert komplexe, lange Passwörter zentral in einer europäischen Cloud und macht sie dem Anwender auf allen seinen Endgeräten verfügbar, wenn er sein Masterpasswort nennt.

[mit Material von Eric Mack, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de