Das sichere Passwort ist ein Ziel, das in Deutschland kaum jemand für erstrebenswert zu halten scheint. So ließen sich zumindest die Ergebnisse der Untersuchung des Hasso-Plattner-Instituts (HPI) zum Zustand der Passwort-Nutzung interpretieren.
Schlechte Passwörter erfreuen sich großer Beliebtheit
Schon seit Jahren analysiert das HPI laufend die durch Schwachstellen bekannt gewordenen Passwörter und ermittelt dabei nebenbei auch die Häufigkeit ihres Vorkommens. Der Identity Leak Checker des Instituts bietet die Datenbasis und kann dafür auf insgesamt über 12 Milliarden Nutzerkonten aus über 1.100 Leaks zurückgreifen. Rund 1,6 Millionen Nutzerkonten werden pro Tag geleakt und vom Tool aufgesammelt. Wenn ihr wollt, könnt ihr eure eigenen E-Mail-Adressen über das Tool auf Vorkommen in Daten-Leaks prüfen – also feststellen, ob eure Accounts Gegenstand von Datendiebstahl geworden sind.
Quasi als Abfallprodukt entsteht daraus die Hitliste der am meisten verwendeten Passwörter in diesen Leaks. Da natürlich nur gängige Muster und nicht kryptische Passwörter eine Chance haben, mehrfach verwendet zu werden, dürfen wir die Liste der „beliebtesten“ Passwörter auch gleichzeitig als Top Ten der miesesten Passwörter betrachten.
Für die Aussagekraft der aktuellen Top 10 hat sich das HPI auf die rund 2 Milliarden Nutzerkonten konzentriert, deren E-Mail-Adressen auf eine .de-Domain enden. Dabei zeigte sich, dass die Qualität der Passwörter einfach nicht steigen will.
Trotz vieler frei verfügbarer Tools bleiben die Nutzer in großer Zahl bei Passwörtern, die leicht zu merken und dementsprechend auch leicht zu erraten sind. Das ist die diesjährige Hitliste für Deutschland:
- 123456
- 123456789
- passwort
- hallo123
- 12345678
- ichliebedich
- 1234567
- 1234567890
- lol123
- 12345
International sieht die Sache nicht besser aus. Die Plätze 1 und 2 der deutschen Hitliste sind auch international auf diesen Rängen zu finden. Leicht über das numerische Tastaturfeld zu erratende Ziffernfolgen gehören rund um den Globus zu den beliebtesten miesen Passwörtern.
Weiterhin konnte das HPI über die Queranalyse der Lecks feststellen, dass immer noch viele Nutzer ein Passwort konsistent über viele Dienste nutzen, sodass Cyberkriminelle mit einer Klappe mehrere Fliegen schlagen können.
Passwörter sollten sicher sein, aber nicht ständig gewechselt werden
Das HPI macht deutlich, was inzwischen jeder, der sich im Internet bewegt, wissen sollte: Sichere Passwörter sind wichtig. Das HPI empfiehlt eine möglichst kryptische Kombination mit 15 Stellen.
In früheren Jahren wurde einhellig, sehr lange auch vom Bundesamt für Sicherheit in der Informationstechnik, empfohlen, seine Passwörter regelmäßig zu wechseln. Diese Empfehlung gibt es inzwischen nicht mehr.
Passwort-Mythen: Welche Tipps sind noch sinnvoll und welche längst überholt?
Stattdessen sollen Nutzer sichere Passwörter verwenden und behalten. Jeder Dienst bekommt sein eigenes und die Passwörter werden am besten durch einen Zufallsgenerator erstellt. Tools dafür gibt es wie Sand am Meer, sogar der Chrome-Browser kann bei der Account-Registrierung eingesetzt werden, um sichere Passwörter zu generieren und direkt im Passwort-Wallet von Google zu speichern. Auch das Open-Source-Tool Keepass sollten sich Nutzer genauer ansehen.