Das Hasso-Plattner-Institut (HPI) gab am Mittwoch eine Liste der zehn meistverwendeten Passwörter auf Websites mit .de-Domains heraus. Das Passwort "hallo" steht dabei an erster Stelle, gefolgt von "passwort" und "hallo123". Die Passwörter stammen aus insgesamt 31 Daten-Leaks, deren Resultate laut HPI frei abrufbar seien. Entstanden ist die Liste im Rahmen der Forschung zur Mehrfachverwendung von Passwörtern. Insgesamt wurden circa eine Milliarde Nutzerkonten ausgewertet. "123456" ist laut der Studie weltweit das meistbenutzte Passwort in den untersuchten Daten-Leaks.

Top Ten der Passwörter auf .de-Domains

1. hallo

2. passwort

3. hallo123

4. schalke04

5. passwort1

6. qwertz

7. arschloch

8. schatz

9. hallo1

10. ficken

Die wichtigste Regel für ein gutes Passwort ist, dass es einmalig ist: Man sollte für jeden Dienst ein anderes Passwort nutzen, da sich ein Online-Ganove ansonsten mit dem einmal erbeuteten Passwort auch bei anderen Diensten einbuchen kann. Länge und Komplexität sind dann entscheidend, wenn der Angreifer Passwort-Hashes erbeutet hat und versucht, dazu das Klartext-Passwort herauszufinden. Übertreiben sollte man es damit jedoch nicht – denn ein gutes Passwort ist auch alltagstauglich. Bei den analysierten Leaks trifft die Schuld allerdings vor allem die Webseiten-Betreiber, schließlich hätte der Zugriff auf die wertvollen Nutzerdaten gar nicht möglich sein dürfen.

Seitenbetreiber stehen in der Verantwortung

Die Verfehlungen fangen damit an, dass sich die Websites, von denen die Passwörter stammen, offenbar hacken ließen – und zwar ziemlich sicher nicht über die zu einfachen Passwörter der Nutzer. Irgendwer konnte unberechtigt auf die sensiblen Daten der Nutzer zugreifen. Selbst ein 20-stelliges Passwort aus zufälligen Sonderzeichen, Groß- und Kleinbuchstaben hätte sie nicht geschützt. Dann waren die Passwörter auch noch in einem Format abgespeichert, aus dem sie sich einfach rekonstruieren – vulgo "knacken" ließen. Dabei ist es kein Hexenwerk, mit Hash-Funktionen wie PBKDF2 oder bcrypt den Crackern den Spaß zu verderben.

Es geht weiter damit, dass eigentlich fast alle Webseiten unbegrenzt viele Passworteingaben erlauben. Wir reden nicht von 10 oder 20, sondern von 10.000 und mehr – in weniger als einer Stunde, wie sie für einen realistischen Angriff notwendig wären. Nur sehr wenig Sites bestrafen Fehleingaben mit immer längeren Wartezeiten, um Brute-Force-Angriffe zu verhindern. Und die Zahl der Sites mit sinnvoll nutzbarerer Zweifaktor-Authentifizierung ist auch sehr überschaubar. Lange Rede kurzer Sinn: Man sollte lieber den Druck auf Webseiten-Betreiber erhöhen, mehr für die Sicherheit der ihnen anvertrauten Daten zu tun, als die Anwender zu immer komplizierteren Passwörtern zu zwingen.

Kursieren meine Daten öffentlich?

Der Identity Leak Checker des HPI ermöglicht jedem Nutzer die Einsicht in seinen "Online-Fußabdruck". Falls man Opfer eines Datendiebstahls geworden ist, kann man zumindest per Eingabe der eigenen E-Mail-Adresse prüfen, ob Daten gehackt und veröffentlicht worden sind. Das Institut gleicht die Adresse mit über zwei Milliarden gestohlenen Identitätsdaten ab. Die Alternative Have I been pwned? informiert auf Wunsch auch via Mail, sobald die eigene Mail-Adresse in einem Leak auftaucht. (lel)