Die Zahlenfolge "123456" belegt nach Angaben des Potsdamer Hasso-Plattner-Instituts (HPI) in diesem Jahr erneut den Spitzenplatz in den Top Ten der deutschen Passwörter. "Am beliebtesten sind weiterhin schwache und unsichere Zahlreihen, die auf den ersten 5 Plätzen liegen", teilte das HPI am Freitag mit. Auf Platz 6 liegt "hallo" vor "passwort" auf dem siebten Rang. Platz 10 belegt die Kombination "hallo123". Das Institut veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen.

Datengrundlage sind 12,9 Millionen E-Mail-Adressen, die als .de-Domain registriert sind. "Diese stammen aus Datenlecks, die im Internet frei verfügbar sind", erläuterte HPI-Sprecherin Christiane Rosenbach. "Insgesamt erfolgt ein Abgleich mit mehr als fünf Milliarden Daten."

Ob die eigene E-Mail-Adresse inklusive Passwort und weiteren persönlichen Infos schon geleakt wurden, kann man über diverse Tests prüfen. Das geht zum Beispiel mit dem Identity Leak Checker des HPI. Alternativ steht noch der Dienst Have i been pwned bereit. Dort kann man E-Mail-Adressen und Nutzernamen mit einem Archiv aus über 4,8 Milliarden geleakten Accounts gegen checken.

Mit dem Service kann man zudem prüfen, ob eigene Passwörter bereits kompromittiert sind. Dafür steht eine Datenbank mit SHA1-Hashes von abgezogenen Passwörtern bereit. Die Übertragung an die Webseite findet verschlüsselt statt. Wer möchte, kann die Liste auch herunterladen und sein Passwort offline auf dem eigenen Rechner prüfen. Mit diversen kostenlosen Tools kann man aus dem eigenen Passwort einen SHA-1-Hash machen

"Wer sein Passwort auf dieser Liste entdeckt, sollte es schnellstmöglich ändern", sagte HPI-Direktor Christoph Meinel. Für kriminelle Hacker ist es oft ein Leichtes, über schwache Passwörter Zugriff auf persönliche Accounts zu bekommen. Leistungsstarke Rechner können in kurzer Zeit Millionen von Passwörtern generieren und abgleichen. Dabei bedienen sich Angreifer an Listen mit von Hackern abgezogenen Daten, die Milliarden Einträge aufweisen.

Der Handel mit gestohlenen Identitäten wächst stetig. Derzeit machen in Deutschland Mails die Runde, in denen die Empfänger Millionen E-Mail-Adressen zum Kauf angeboten bekommen. Eine Million Mail-Adressen kosten laut der Mail 500 Euro.

Gutes Passwort = Passphrase

Lange hieß es, dass ein sehr gutes Passwort mindestens aus acht zufälligen alphanumerischen Zeichen und Sonderzeichen bestehen muss. Das gilt auch heute noch, doch derartige Passwörter sind schwierig zu merken. Vor allem wenn man etwa auf der Arbeit zu einem regelmäßigen Passwortwechsel gezwungen ist, neigt man oft dazu, leicht zu merkende und somit auch leicht zu knackende Kennwörter zu vergeben. Ein regelmäßig erzwungener Passwortwechsel ist demzufolge kontraproduktiv.

Mittlerweile hat das National Institute of Standards and Technology (NIST) seine Richtlinie für sichere Passwörter überarbeitet und empfiehlt nun, lange Passphrasen zu verwenden. Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt.

Das kann man zum Beispiel dadurch erreichen, dass man einen einschlägigen Satz, den man sich leicht merken kann, durch ein Muster abwandelt, das nur einem selbst bekannt ist. Der Hintergrundartikel von heise Security "Passwort-Schutz für jeden" hat noch weitere Tipps für den Umgang mit Kennwörter parat.

Zusätzlich sollte man bei Onlinediensten stets eine Zwei-Faktor-Authentifizierung aktivieren, wenn diese verfügbar ist. In diesem Fall gibt es neben dem Passwort noch einen zweiten Faktor, den man beispielsweise in Form eine Zahlenfolge auf ein Smartphone geschickt bekommt. Selbst wenn ein Angreifer das Kennwort eines Accounts kennt, kommt er ohne den zweiten Faktor nicht rein.

Anbieter in die Mangel nehmen

Doch im Fall der Fälle darf man nicht nur Nutzern den Schwarzen Peter zuschieben und es mit einem "Das Passwort war halt zu schwach" abtun. Natürlich braucht man für Onlineshops & Co. starke Passwörter, aber selbst das stärkste Passwort bringt nichts, wenn der Anbieter des Online-Services dieses nicht optimal abgesichert oder sogar im Klartext auf seinen Servern ablegt.

Vor dem Hintergrund von milliardenfachen Passwort-Lecks müssen die Anbieter sich ihrer Pflicht bewusst sein und Passwörter sicher speichern. Doch dafür reicht kein SHA-1, denn das ist längs geknackt. Dafür müssen zwingend Verfahren wie bcrypt oder scrypt zum Einsatz kommen. Die sind absichtlich so konzipiert, dass ein Passwort-Test möglichst viel Ressourcen benötigt. Sie erreichen dies unter anderem, indem sie viele Iterationen über Hash-Operationen durchführen. (Mit Material der dpa) / (des)