Die dümmsten Passwörter der Welt 2.0

Der Sicherheitsanbieter Imperva hat eine kurzzeitig leicht im Web zu findende Liste mit etwa 32 Millionen Nutzer-Passwörtern analysiert. Hacker hatten sie im Dezember dem Unternehmen RockYou gestohlen. Die Firma entwickelt unter anderem Applikationen für Unternehmen wie Facebook und MySpace. Laut Amichai Shulman, Chief Technology Officer (CT0) bei Imperva, verwendeten etwa 20 Prozent der User ein einfach zu erratendes Passwort aus einem Pool von zirka 5000. So nutzen etwa ein Prozent «123456». Auf Platz 2 folgte «12345». In den Top 20 waren ausserdem «princess», «abc123» und «qwerty» zu finden. Etwa 0,2 Prozent hatten der Untersuchung zufolge ein verhältnismässig sicheres Passwort, welches auf gross und klein geschriebenen Buchstaben sowie Zahlen und Sonderzeichen bestand.

Im Oktober 2009 hatte 20 Minuten Online berichtet, dass Hacker die Login-Daten von über 10 000 Hotmail-, MSN und Live.com-Postfächern erbeutet und sie auf pastebin.com veröffentlicht hatten. Auch tausende Besitzer von Gmail-, AOL- und Yahoo-E-Mail-Adressen waren betroffen. Sicherheitsexperte Bogdan Calin hatte in seinem Blog nun die Ergebnisse seiner Untersuchung der Passwörter der rund 10 000 geknackten Microsoft-Postfächer präsentiert. Calin hatte die Liste kopiert, bevor sie entfernt wurde. Sie enthält aber nur Passwörter von Accountnamen, die mit «A» oder «B» anfangen, daher ist davon auszugehen, dass sie nur ein Auszug aus einem längeren Dokument ist. Laut Calin war das am häufigsten verwendete Passwort «123456», welches 64-mal verwendet wurde. Platz 2 belegte «123456789», welches die virtuelle Tür zu 18 Accounts öffnete. Ausserdem wurden in 42 Prozent der Fälle nur kleine Buchstaben verwendet, nur sechs Prozent der User kombinierten Buchstaben und Zahlen. Etwa 2000 der Passwörter waren nur sechs Zeichen lang. Das längste hatte immerhin 30: «lafaroleratropezoooooooooooooo». Die fünf beliebtesten Passwörter sind in der obigen Bilderstrecke zu sehen.

So findet man ein gutes Passwort

Hacker hatten die Passwörter gestohlen, indem sie Nutzer auf eigene Webseiten umleiteten, wo sie ihre Login-Daten eingaben. Daher war es in diesem Fall unwichtig, wie schwer zu knacken die Passwörter waren. Anders sieht es bei so genannten Brute-Force-Attacken aus, bei denen - grob verkürzt - zum Beispiel gekaperte Rechner, Bots genannt, ganze Wörterbücher und einfache Kombinationen ausprobieren. Und dabei könnten Passwörter wie die obigen leicht geknackt werden. Die meisten Anbieter von E-Mail-Konten stellen auf ihren Webseiten Tipps für das Erstellen guter Passwörter bereit. So heisst es beispielsweise bei Google: «Die Passwörter für Google-Konten sollten aus mindestens acht Zeichen bestehen, Zahlen und Buchstaben kombinieren und keine allgemein gebräuchlichen Wörter enthalten. Wählen Sie ein Wort oder ein Akronym aus und fügen Sie zwischen einigen Buchstaben Ziffern ein. Verwenden Sie Interpunktion. Verwenden Sie eine Mischung aus Gross- und Kleinschreibung.»

(hst)