News

Passwörter: Warum ji32k7au4a83 genauso unsicher ist wie 12345

(Foto: Shutterstock)

Dass „ji32k7au4a83“ ein sicheres Passwort ist, würden die meisten wohl direkt unterschreiben. Doch der Schein trügt.

Um ein sicheres Passwort zu erhalten, greifen viele Nutzer auf einen Passwort-Generator zurück, um eine willkürliche Kombination aus Zahlen und Buchstaben zu erhalten. Sollte dann als Passwort „ji32k7au4a83“ ausgespuckt werden, würde es wohl jeder direkt für wichtige Accounts nutzen, obwohl es vermutlich unsicherer ist als „Katzenfan75“.

Cybersecurity spielt eine immer größere Rolle in der digitalen Gesellschaft und spätestens seit den jüngsten Hacks sind Seiten wie Have I been pwned? bekannt und äußerst hilfreich. Hier können Nutzer ihre E-Mail-Adresse eingeben, um prüfen zu lassen, ob der Account bei Datenleaks betroffen war. Eine weitere Möglichkeit, die die Website bietet, ist die gezielte Suche nach betroffenen Passwörtern.

Über 100 Mal geleakt

Ein einfacher Test zeigt, dass „ji32k7au4a83“ bereits 141 Mal betroffen war und somit nicht mehr genutzt werden sollte. Unser spontan überlegtes Passwort „Katzenfan75“ war hingegen noch gar nicht betroffen. Aber wie kommt das?

Aufgedeckt wurde das Ganze von Software-Ingenieur Robert Ou, der seine Twitter-Follower fragte, ob sie wüssten, warum diese scheinbar zufällige Buchstaben-Zahlen-Kombination ein so unsicheres Passwort darstellt.

Einige von Ous Followern fanden schnell die Lösung für sein Rätsel. Das Passwort stammt aus dem sogenannten Zhuyin-Fuhao-System, einem System für die Transliteration von Mandarin. Dahinter steckt die buchstabengetreue Umsetzung eines nicht in lateinischen Buchstaben geschriebenen Wortes in lateinische Schrift. Und dann heißt „ji32k7au4a83“ nichts anderes als „My Password“.

Genutzt wird Zhuyin, auch Bopomofo genannt, vor allem in Taiwan. Daraus könnte man jetzt schließen, dass Taiwanesen sich in Sachen Passwörter nicht sonderlich viel Mühe geben, aber in Deutschland sieht es auch nicht besser aus. Am einfachsten ist es, selbst sicher aussehende Zufalls-Passwörter einmal checken zu lassen – nicht dass sie in Indien, Thailand oder Malaysia so etwas wie „Katzenfan75“ bedeuten. Obwohl das ja sicher wäre, aber das ist ein anderes Thema. Also Augen auf bei der Passwortwahl.

Mehr zum Thema:

Bitte beachte unsere Community-Richtlinien

11 Reaktionen
Fred

Der Artikel hat Null Inhalt und Null qualifizierte Information. Der einzige Sinn dieses Artikel ist durch anklicken der Schlagzeile Werbeeinahmen zu generieren.

Antworten
Emma

Hui...

Als ich den Titel gelesen habe dachte ich "uff. Da wurde was gehackt". Ich dachte, es würde ne Meldung vom Typ "Security alert" kommen

Statt dessen ... was ist das?

Gewinner der challenge "wer kriegt den schwachsinnigsten Text auf t3n publiziert"?

Ihr solltet euch schämen

Antworten
Michael

Und falls Onlinedienste endlich die maximalen Fehleingaben für Passwörter, Account oder IP-Adresse auf z.B. 10 pro Tag begrenzen würden, zusätzlich Passwörter endlich hachen und vernünftig salten würden, wäre schön viel geholfen.
...
aber hätte hätte Fahradkette ....

Antworten
Frank

Newsfeed nf = myNewsfeeds.remove("t3n");
nf.cancelSubscription(CancellationReason.worthlessContent);

Antworten
Benjamin Rauch

Und dieser Artikel hat es geschafft das ich t3n aus meinem Newsfeed gelöscht habe

Antworten
Name

Zeitverschwendung

Antworten
AuchMarkus

Wer kann mir den Sinn dieses Artikels erklären?

12stellig mit 141 Teffern auf HIBP ist genauso unsicher wie 5stellig mit über 2 Mio Treffern?

Man sollte keine zufallsgenerierten Passwörter nutzen weil mit absurd geringer Wahrscheinlichkeit dabei ein unsicheres Passwort herauskommt?

Das nicht-Auftauchen eines Passworts bei HIBP ist keine Garantie für die Sicherheit dieses Passworts? Logisch. Behauptet ja auch keiner. HIBP sagt ja lediglich, dass bereits aufgetauchte Passwörter unsicher sind. Wer zieht den Umkehrschluss und behauptet, ein Passwort sei sicher, nur weil es noch nicht bei HIBP aufgetaucht ist?

Ich würde mich freuen, wenn mir jemand den Sinn des Beitrags erklären könnte, denn bisher wirkt der Text auf mich auch wie Clickbait. Man könnte es sogar für gefährlich halten, hier Unsicherheit zu schüren, denn verglichen mit der Wahrscheinlichkeit, dass ein Zufallsgenerator ein schlechtes Passwort ausspuckt ist Lotto-Spielen ne ziemlich sichere Sache.

Auch würde ich mich über einen Tipp des Autors freuen, wie man's besser macht.

Antworten
Ich2

Toll! Zeit vergeudet durch das Lesen des Artikels :-( Lange nicht mehr t3n.de gelesen und jetzt weiss ich wieder wieso...

Es ist nicht nur Clickbait, sondern auch absolut falsch. Schon allein die Überschrift "Warum das Passwort ji32k7au4a83 genauso unsicher ist wie 12345 ", dazu im Artikel:

"Ein einfacher Test zeigt, dass „ji32k7au4a83“ bereits 141 Mal betroffen war"

Diesen einfachen Test hätte t3n ja auch mal mit "12345" machen können.... Und dieses Passwort taucht in der Datenbank über 2,3 Millionen Mal auf!! Ein Passwort mit 141 Vorkommen ist also genau so unsicher (laut Titel) wie ein Passwort welches 2,3 Millionen Mal vorkommt???

Also Augen auf bei der Wahl der Lektüre... :-(

Antworten
Marcel

Man sollte dem Verbraucher nicht immer wieder erklären was sichere und unsichere Passwörter sind, sondern mal den Anbietern gewaltig auf die Füße treten die nicht in der Lage sind Ihre Systeme abzusichern. Was bringt mir denn ein sicheres Passwort, wenn diese am Ende unverschlüsselt in einer DB abgelegt wird.

Antworten
Bernhard Welzel

Dieser Artikel ist nach meiner Meinung einfach nur Clickbait und unter dem Niveau von t3n.

Aber um sachlich zu bleiben:

ji32k7au4a83 hat 12 Stellen
12345 hat 5 Stellen

Zu behaupten das ein Passwort mit 12 Stellen genauso unsicher ist wie ein Passwort mit 5 Stellen ist hauptsächlich eines:

SCHWACHSINN.

Siehe https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/10-million-password-list-top-1000000.txt: das Passwort steht an Stelle 6:

123456
password
12345678
qwerty
123456789
12345

Jeder Brute Force Angriff wird mit den kürzesten Passwörtern anfangen - oder den HÄUFIGSTEN.
Beides trifft in diesem Fall auf "ji32k7au4a83" nicht zu.

Es ist auch recht egal ob das Passwort in einer Liste vorkommt: nicht jedes Passwort in einer Liste ist automatisch "verbrannt" nur weil es irgendwo vorkommt. Abgesehen davon: wie hoch ist die Wahrscheinlichkeit das ein Passwortgenerator genau dieses Passwort ausspuckt?

z.b bei:
12 characters : (3 uppercase letters, 4 lowercase letters, 3 special characters, 2 numbers)

94 hoch 12= 475,920,314,814,253,376,475,136

Whow. Das Risiko ist gigantisch das dieses Passwort aus einem Generator kommt!

Zu Katzenfan75: das ist ein ernsthaft bescheuertes Passwort, da es bei einer Brute-Force Dictionary Attacke sehr viel früher kommt. Abgesehen davon das es als Nutzername garantiert in zahlreichen Dictionary steht.

Also:
#1 Passwortgeneratoren benutzen und Passwort-Manager, z.b. 1Passwort
#2 Klartext-Passwörter wie "Katzenfan75" niemals verwenden
#3 Nicht jeden Artikel für t3n schreiben lassen

Antworten
Markus

Danke .. mein Gedanke .. ich habe den Artikel abgeschrieben in der Kategorie .. das scheint t3n zu brauchen, um wirtschaftlich zu sein, denn das er schwach ist haben sie sicher selbst bemerkt.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung