„123456“ bleibt auch 2014 das beliebteste Passwort

SplashData hat erneut eine Statistik der verbreitetsten Passwörter vorgelegt. Das Datenmaterial stammt zwar aus den USA und Westeuropa, Begriffe wie „password“ an zweiter Stelle, „baseball“ an achter und „dragon“ an neunter lassen aber doch auf einen Fokus auf den englischen Sprachraum schließen. Häufigstes Passwort bleibt eine Ziffernfolge, nämlich „123456“.

Weil besonders verbreitete Passwörter besonders schlechte Passwörter sind, bezeichnet SplashData diese Ziffernfolge auch als das schlechteste Passwort. Streng genommen sind „1234“ (Rang sieben) und „11111“ (15. Platz) aber aufgrund ihrer Kürze noch ungünstiger, sollte einem Angreifer schon ein Hash des Passworts vorliegen. Insgesamt finden sich auf den ersten zehn Plätzen fünf Ziffernfolgen.

SplashData zählt insgesamt 25 Passwörter auf, die in gestohlenen und später im Internet auffindig gemachten Listen besonders häufig waren. Als Neuzugänge meldet es „696969“ (an 22. Stelle) und „batman“ (Rang 24). Hingegen ist das früher sehr beliebte „iloveyou“ nicht mehr vertreten.

In die Aufstellung sind 3,3 Millionen 2014 durchgesickerte reale Passwörter eingegangen. Millionen ebenfalls bekannt gewordene Passwörter russischer User hat SplashData bewusst nicht berücksichtigt.

Sicherheitsforscher Mark Burnett, der die Studie beratend begleitet hat, erkennt in den Zahlen auch Zeichen der Besserung: Die 25 beliebtesten Passwörter sind zwar nicht intelligent gewählt, machen aber nur noch einen Anteil von 2,2 Prozent aller Passwörter aus. „Das ist zwar weiter beängstigend, aber der niedrigste Anteil, den ich in den jüngsten Studien gesehen habe.“

SplashData-CEO Morgan Slain rät von allen Passwörtern ab, die auf dem Tastaturlayout basieren – darunter auch „1qaz2wsx“, also die beiden linken Reihen einer englischen Tastatur. In den Top 100 finden sich besonders viele Sportarten, von denen man also ebenso absehen sollte wie von Eigennamen. „michael“ schaffte es sogar bis an Position 20. Auch Geburtsdaten und vor allem Geburtsjahre sind zwar beliebt, aber nicht empfehlenswert. 1989, 1990, 1991 und 1992 finden sich in den Top 100.

Viele Sicherheitsexperten empfehlen entweder absurde Passwortsätze wie „Der Hund nahm den grünen Bus“ oder gleich den Einsatz eines Passwortmanagers, der unmerkbare Zeichenfolgen generiert. Der Nutzer muss sich dann nur ein Masterpasswort merken. Allerdings sind Passwortmanager ein entsprechend beliebtes Angriffsziel von Malware. Sinnvoll ist auch eine Zwei-Faktor-Authentifizierung, die für den Zugang auch das Smartphone oder Sicherheitstoken des Anwenders erforderlich macht.

[mit Material von Amanda Kooser, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de