19 Milliarden gestohlene Passwörter: Was du unbedingt vermeiden solltest
Tagtäglich nutzen wir Passwörter, um uns in diverse Dienste und Accounts einzuloggen. Bei der schieren Flut aus verschiedenen Passwörtern sind manche Menschen aber recht nachlässig. Sie verwenden entweder sehr einfache Logins oder immer wieder dieselben Passwörter. Das zeigt jetzt auch eine Untersuchung von Sicherheitsexpert:innen bei Cybernews. Sie haben mehr als 19 Milliarden gestohlene Passwörter analysiert und fällen ein ernüchterndes Urteil zur Cybersicherheit vieler Menschen.
So nachlässig gehen viele mit ihren Passwörtern um
Der Datensatz von mehr als 19 Milliarden Passwörtern stammt dabei aus Cyberangriffen oder Leaks seit April 2024. Insgesamt gab es in dieser Zeit rund 200 Angriffe, bei denen Passwörter öffentlich gemacht wurden. Zu Beginn stellen die Sicherheitsexpert:innen schon fest, dass nur sechs Prozent dieser Passwörter wirklich einzigartig waren. Dass es bei der schieren Menge an Daten zu Dopplungen kommt, ist zwar nicht ungewöhnlich, doch zeigt sich bei der tiefgehenderen Analyse, dass teils Millionen von Menschen auf dieselben Passwörter setzen.
So benutzen 42 Prozent der Menschen Passwörter mit einer Länge von acht bis zehn Zeichen. Acht Zeichen sind dabei am populärsten – vermutlich, weil viele Seiten diese Anzahl als minimale Passwortlänge voraussetzen. 27 Prozent der genutzten Passwörter setzen rein auf Kleinbuchstaben und Zahlen. 20 Prozent nutzen hingegen einen Mix aus Groß- und Kleinbuchstaben sowie Zahlen, verzichten aber auf Sonderzeichen. Laut den Sicherheitsexpert:innen erhöht sich durch diese Nachlässigkeit die Erfolgschance von Brute-Force-Angriffen enorm.
Viele Menschen nutzen dabei weiterhin die einfachsten Begriffe und Zeichenfolgen, um ihren Login zu schützen. So fanden die Sicherheitsexpert:innen 56 Millionen Mal das Passwort „password“ und 53 Millionen Mal „admin“. Auf dem ersten Platz der schlechtesten Passwörter befindet sich aber weiterhin „1234“, obwohl schon seit Jahren vor diesem Passwort gewarnt wird. Dennoch fanden die Expert:innen mehr als 727 Millionen Passwörter mit dieser Sequenz. „123456“ gab es hingegen 338 Millionen Mal.
Aber welche Passwörter sind sicherer, ohne großen Aufwand zu verursachen? Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es dafür zwei gute Antworten. Zum einen sind besonders lange Passwörter sicher, die mehr als 25 Zeichen haben. Das Passwort kann dabei auch aus mehreren einfachen und leicht zu merkenden Begriffen bestehen, die aneinandergereiht werden. Zum anderen könnt ihr kurze Passwörter nutzen, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen miteinander kombinieren. Cybernews empfiehlt, dass diese kurzen Passwörter mindestens zwölf Zeichen lang sein sollten. Solltet ihr noch komplexere Logins erstellen wollen, helfen euch Passwort-Manager dabei.
Abschließend halten die Sicherheitsexpert:innen fest, dass es zwar weiterhin gravierende Missstände bei der Passwortsicherheit gibt, aber auch Verbesserungen zu beobachten sind: „Bei unserer Forschungsarbeit zu den schwächsten Passwörtern 2022 bestand nur ein Prozent aller Passwörter aus einer Mischung aus Klein- und Großbuchstaben, Zahlen und Symbolen. Jetzt ist dieser Anteil auf 19 Prozent gestiegen, was die strikteren Anforderungen für Passwörter bei manchen Plattformen, aber auch Verbesserungen beim Verhalten der User widerspiegelt“.
Garbage in – Garbage out!
Ein altbekannter Grundsatz aus der Datenverarbeitung, der leider auch hier wieder zu passen scheint.
Entweder fehlt im Artikel eine entscheidende Information – oder genau das ist eingetreten, was dieses Sprichwort beschreibt. Konkret: Es wird nicht angegeben, für welche Art von Anwendungen die gestohlenen Passwörter ursprünglich verwendet wurden. Wurde das überhaupt berücksichtigt?
Wenn sich die Auswertung fast ausschließlich auf Passwörter bezieht, die für wirklich sensible Dienste genutzt wurden – wie Onlinebanking, PayPal, Gesundheitsdaten oder auch soetwas wie ein ILIAS-Portal der Hochschule, berufliche E-Mail-Konten oder Social-Media-Profile mit echten persönlichen Daten – dann ist die Schlussfolgerung sicher gerechtfertigt: Solche Passwörter gehören gut geschützt und sollten nicht mehrfach verwendet werden.
Aber was, wenn viele dieser Passwörter von Seiten stammen, auf denen man sich nur registriert, um eine Bedienungsanleitung herunterzuladen, einen einmaligen Kommentar zu schreiben oder eine kurze Frage in einem Forum zu stellen? Von P**n Seiten ganz zu schweigen.
Also von Accounts, die keine persönlichen Informationen enthalten, oft nicht einmal einen echten Namen?
In meinem Bekanntenkreis – und auch bei mir selbst – gibt es zahlreiche solcher Konten, die bewusst als unkritisch eingestuft sind. Für die Registrierung wird nicht die Haupt-E-Mail-Adresse verwendet, sondern eine eingerichtete Wegwerf-Adresse. Die führt dazu oft zu einem alten Freemail-Konto, das nie für etwas anderes als solche Unwichtigen Logins genutzt wurde. Denn wo man seine „wertvollen“ Emailadressen nicht angibt, da können die auch nicht geklaut werden.
Der Verlust eines solchen Accounts? Völlig egal. Wird im Zweifel einfach neu erstellt – falls man ihn überhaupt je wieder braucht.
Und genau deshalb nutzen viele für solche Fälle ein paar bewusst gewählte Standardpasswörter. Diese decken die gängigen Anforderungen ab, lassen sich leicht merken und sparen Zeit. Die zusätzliche Sicherheit besteht mit gutem willen vielelicht noch darin, dass die genutzte E-Mail-Adresse selbst ein anderes Passwort hat und die wirkliche Sicherheit dadurch das die von den eigentlichen, wichtigen Zugängen absolut getrennt ist.
Für die wirklich wichtigen Dienste – berufliche E-Mail, Onlinebanking, PayPal usw. – haben wir selbstverständlich individuelle, sichere Passwörter. Aber für jeden einzelnen Kommentarbereich ein eigenes starkes Passwort zu generieren? Das ist realitätsfern.
(Und nein, mein Passwort hier ist weder „1234“ noch „geheim“ – es ist schon individuell von mir erdacht und nicht ganz so einfach. Aber halt auch nicht exklusiv nur für diese Seite ;-)
Aber selbst wenn ich es offen schreiben würde wäre der reale Wert für andere NULL, unter keiner der mit diesen PW erreichbaren Möglichkeiten gibt es persöhnliche Informationen oder die Möglichkeit Zahlungen oder Bestellungen auszulösen noch irgendwelche Möglichkeiten in meine persöhnliche Kommunikation einzugreifen)