SplashData hat seine alljährliche Liste der schlechtesten Passwörter für 2013 vorgelegt. Sie weist eine im Vergleich zum Vorjahr neue Nummer eins auf: „123456“ hat „password“ abgelöst, das sich immerhin noch auf Rang 2 findet – vor „12345678“, „qwerty“ und „abc123“.
Als Grundlage der Liste dienen online gepostete gestohlene Passwörter. Das sicherheitsfokussierte Entwicklungshaus teilt mit, für 2013 hätten die bei Adobe gestohlenen Passwörter eine besonders große Rolle gespielt. Stricture Computing hatte den Versuch unternommen, sie zu entschlüsseln. Ihm zufolge verwendeten etwa 2 Millionen der 130 Millionen betroffenen User „123456“ als Passwort.
Der Einfluss der vielen Adobe-Passwörter auf die Statistik macht sich auch darin bemerkbar, dass sich „adobe123“ und „photoshop“ in den Top 25 wiederfinden. Die Liste zeigt zudem, dass „letmein“ („lass mich rein“) und „trustno1“ („vertraue niemandem“) nicht so einmalig und schlau sind, wie sich mancher wohl gedacht hat.
SplashData empfiehlt Passwörter aus nicht zusammenhängenden Wörtern, die durch Leerzeichen oder Unterstriche getrennt sind und keinen grammatisch sinnvollen Satz ergeben. Als Beispiele nennt es „cakes years birthday“ („Kuchen Jahre Geburtstag“) und „smiles_light_skip?“ („Lächeln_leicht_überspringen?“).
Die bei Adobe gestohlenen Passwörter waren verschlüsselt, aber nicht gehasht. Es wird angenommen, dass sie sich mit einem einzigen Schlüssel dechiffrieren lassen. Diverse besonders einfach gestrickte, kurze und daher unsichere Passwörter wurden auch ohne kompletten Schlüssel schnell von Experten enttarnt.
Nach dem Hack und Passwortdiebstahl bei Adobe hatten auch andere Onlinefirmen wie Facebook die bekannt gewordenen Kombinationen aus Benutzername und Passwort auf der eigenen Website geprüft. Facebook zwang anschließend Nutzer, deren Konto angreifbar gewesen wäre, ihr Passwort zurückzusetzen.
Dass Passwörter ein grundsätzliches Problem sind, weil sie entweder leicht zu dechiffrieren oder schwer zu merken sind, wissen natürlich auch Sicherheitsforscher. Eine Google-Mitarbeiterin erklärte im September sogar: „Passwörter sind tot.“ Ergänzend wird immer wieder Zwei-Faktor-Authentifizierung unter Verwendung eines Tokens genannt. F-Secure hat dagegen eine Dienstleistung daraus gemacht: Sein KEY generiert und speichert komplexe, lange Passwörter zentral in einer europäischen Cloud und macht sie dem Anwender auf allen seinen Endgeräten verfügbar, wenn er sein Masterpasswort nennt.
[mit Material von Eric Mack, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
10 Kommentare zu „123456“ ist das schlechteste Passwort des Jahres 2013
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Na ja, wenn alle Leute das ändern von Passwörtern als so wichtig erachten, nehme ich für die eine Hälfte der Geräte eben 654321 und die andere Hälfte wird mit QWERTZ abgesichert. Da mir 3 Passwörter zu viel sind, verzichte ich auf 321cba. Damit mache ich bestimmt nichts verkehrt.:-D
Ich denke an der zweite Stelle rangiert 0000 und and der dritte Stelle kommt 1234
Bestes Paßwort auf meiner persönlichen Liste: **** (4 Sterne)
XD
Aber auf Druidia hätte auch kein besseres Paßwort genutzt, wurde doch dem Accountbesitzer mit Rückoperation der Nasenkorrektur seiner Tochter gedroht! ;-)
„Das Password für den Schutzschild von Druidia ist 1 2 3 4 5 6, ha ..
nur ein Idiot würde 123456 verwenden.
Ändern sie sofort das Passwort an meinen Koffer.“
Mel Brooks „Spaceballs“ war mir zwar immer etwas zu „überdreht“, aber hier passt es ja mal ganz gut… :-)
Volker
Die Kombination für den Schutzschild gehr nur bis „5“. ;-)
Wenn man „Account“123456, „Account“ z. B.: ZDNet, Heise usw. (aber nicht unbedingt Amazon, eBay ;-), als einfach zu merkende, fast schon „Wegwerf“-Passwörter betrachtet, ist das laut Ansicht vieler „Experten“ sogar sicherer, als -ein=1- auch hochkomplexes Passwort überall zu benutzen.
Ideal wäre natürlich (wie es oft empfohlen wird) einen komplexen „Body“ mit einem einfachen, zum Account passenden Head(-er) zu paaren.
Ist ja altbekannt, ich erwähne es trotzdem noch mal.
Sichert zwar nicht die Cloud (da sollte man halt End-to-End Verschlüsselung bevorzugen bzw. einsetzen), ist aber schon einmal ein guter Anfang!
Volker
Und wer garantiert mir für die Sicherheit in der Cloud? Da hat man praktischerweise alle Passwörter. Wenn man mal nur 1 Vierteljahr zurück schaut, wen es da alles erwischt hat. Diese Firmen sollten doch die besten Sicherheitsexperten haben, die wirklich dafür sorgen sollten dass bei ihnen keine Einbrüche stattfinden. Ich bin doch nur ein technischer Idiot, bei mir hat so etwas aber, (zum Glück), noch nicht stattgefunden, im Gegensatz zu diesen hoch abgesicherten Firmen.
100%tige Sicherheit gibt es nicht und wird es nie geben.
Und eine einzel Person mit einem Konzern zu vergleichen, bei dem millionen mal mehr passiert finde ich auch ziemlich vermessen.
Und genau aus diesem Grund gebe ich nichts in irgendeine Cloud, sondern weil ich ein technischer Idiot bin bleiben die Daten bei mir. Es gibt genug Möglichkeiten seine Daten auch anderweitig zu sichern. Wenn z.B. bei einem Sicherheitsunternehmen, was genau auf solche Sachen spezialisiert sein sollte, so etwas passiert, ist dies einfach nur peinlich.