Fast im Jahr 2020 angekommen gibt es wieder alle möglichen Jahresrückblicke. Einer davon ist der des Potsdamer Hasso-Plattner-Instituts. Und wie jedes Jahr steht darin das beliebteste Passwort bei den Deutschen. Es lautet: 123456, gleich danach folgt 123456789. Das Institut veröffentlichte die zehn beliebtesten Passwörter in Deutschland, allesamt waren alle in dieser Preisklasse, also auch 111111, abc123 oder password.
Nun kann man sich fragen, ob die Nutzer*innen tatsächlich glauben, dass diese Passwörter in irgendeiner Weise sicher sein könnten. Ich schätze sie nutzen sie nur, weil man eben ständig eines angeben muss, ohne dass man selber eine Notwendigkeit dafür sieht. Dabei ist es vielen anscheinend egal, dass es oft um sicherheitsrelevante Daten geht, die damit geschützt werden sollten. Klar ist aber, dass 123456 genauso gut ist wie gar kein Passwort.
Bei vielen Diensten ist man deshalb gezwungen, sich ein sicheres Passwort auszudenken, das Zahlen und Ziffern, große und kleine Buchstaben enthält und eine Mindestlänge von zehn oder mehr Zeichen enthält.
Auswirkungen
Offenbar ist vielen Menschen nicht klar, was ein unsicheres Passwort für Folgen haben kann. Wenn einem „nur“ das E‑Mail-Postfach gehackt wurde, ist es im besten Fall ärgerlich, dass Fremde die eigenen E‑Mails lesen können. Aber eine beliebte Masche ist es, über die gehackte Mailadresse Waren zu bestellen, die dann zu einer temporären Adresse geliefert werden. Wenn dann die Rechnung kommt, wundert sich der Inhaber der Mailadresse – und kann ggf. haftbar gemacht werden.
Noch schlimmer ist es, wenn das Passwort z.B. des Online-Bankings, bei Amazon o.ä. genutzt wird. Dann kann der Schaden schnell in die Zehntausende gehen, und das tut es auch täglich.
Wen trifft es?
Jeden. Über automatisierte Anfragen werden alle möglichen Benutzernamen und Mailadressen gecheckt. Und dabei reden wir über mehr als 10.000 Anfragen pro Sekunde! Sowie eine als existent erkannt wird, beginnt der Crawler einen ebenfalls automatisierten Angriff auf die Passwörter. Dass dabei 123456 vermutlich an erster Stelle steht, dürfte klar sein. Wenn solch ein Angriff aber eine Viertelstunde dauert, werden rund 10 Millionen Varianten ausprobiert. Da ist auch ein Passwort wie Bello2005 oder Liebling1992 schnell erraten. Gerade, weil die Crawler auch nach Namen und existierenden Wörtern suchen.
Was kann man tun?
Klar ist, man braucht sichere Passwörter, möglichst für jede Anwendung ein anderes. Weil diese mindestens 12 bis 20 Zeichen lang sein sollten, kann man sich die meistens nicht merken. Dazu könnte man sich im Computer einen Passwort-Manager installieren. Manche (wie Firefox) haben bereits einen integriert. Sowie man irgendwo ein Passwort eingeben muss, das bereits im Manager gespeichert ist, wird es automatisch eingetragen. Dazu muss man zuvor nur dem Passwort-Manager erlauben, dass er die Passwörter freigibt.
Natürlich braucht man dann noch ein sicheres Passwort für den Manager, aber dies das das Einzige, dass man sich merken muss oder an einem sicheren Ort aufbewahrt.
Um ein sicheres Passwort zu generieren, gibt es einen Trick. Man nimmt einen beliebigen Satz, den man sich merken kann (und muss!). Aus den Anfangsbuchstaben und Zeichen wird das neue Passwort zusammengestellt.
Beispiel (bitte NICHT dieses Passwort nutzen!):
Eine Schwalbe macht noch keinen Sommer — Das ist eines der ältesten Sprichwörter, die es gibt!
1SmnkS-Di1daS,deg!
Oder man nimmt Passwörter, die auf Geburtsdaten aufbauen:
1. Oma Annemarie 1943, 2. Mutter Sabine 1965, 3. Sohn Nico 1992!
1.OAn43,2.MSa65,3.SNi92!
Außer Umlaute (ä, ß) und Leerschritte darf man alle Groß- und Kleinbuchstaben, Ziffern und Zeichen verwenden – und sollte dies auch tun.
Grundsätzlich gilt: Lieber einmal ein paar Minuten investieren, als im Nachhinein Stunden und Tage, um den Schaden wieder zu beheben.
Schreibe den ersten Kommentar