Kürzlich haben Wissenschaftler des Hasso-Plattner-Instituts (HPI) ihre Ergebnisse einer Studie über Passwörter präsentiert. Untersucht wurde unter anderem die Mehrfachnutzung von Passwörtern. Das Ergebnis ist recht ernüchternd. Unter den zehn in Deutschland am häufigsten gebrauchten deutschsprachigen Passwörtern ist hallo auf Platz 1. Allerdings blieben Zahlenkombinationen wie 123456 außen vor.
An verschiedenen Stellen wird immer wieder darauf hingewiesen, keine schwachen Passwörter zu verwenden. Das Ergebnis der Studie ist für viele Sicherheitsspezialisten desillusionierend.  Ausgenommen der beliebtesten Zahlenkombination, ergibt sich folgendes Ranking:

Die zehn beliebtesten Passwörter auf .de-Domains:

1. hallo
2. passwort
3. hallo123
4. schalke04
5. passwort1
6. qwertz
7. arschloch
8. schatz
9. hallo1
10. ficken

Es ist keine Zauberei, starke Passwörter zu erstellen und Benutzerkonten dadurch besser zu schützen. Oftmals wird aber aus Bequemlichkeit auf unsichere Passwörter zurückgegriffen. Die folgenden fünf Tipps helfen Usern bei der Erstellung und Handhabung von Passwörtern:

Eine kleine Passwortkunde:

  • Die Verwendung langer Passphrasen ist statt schwacher Passwörter sehr zu empfehlen.
  • Die 2-Faktor-Authentifizierung bietet einen besseren Schutz im Vergleich zu einfachen Kennwörtern.
  • Nur ein Passwort pro Benutzerkonto sollte gebraucht und eine Mehrfachverwendung vermieden werden.
  • Die periodische Auswechslung der Passphrase / des Passworts ist sehr zu empfehlen.
  • Mit Passwort-Managern können Kennwörter sicher gespeichert und verwaltet werden.

Seitenbetreiber in der Verantwortung

Allerdings nützt das sicherste Passwort nichts, wenn die aufgerufene Webseite nur unzureichend gesichert ist. Die Seitenbetreiber sollten eine sichere Verwahrung der Passwörter garantieren. Durch das Anfügen von Salts an die Kennwörter entstehen einzigartige Hashes. Sollten Angreifer in einen Server mit Passwörtern eingedrungen sein, finden sie lediglich verschlüsselte Werte vor. Das Knacken der Kennwörter wird durch den Aufwand an Rechenleistung bzw. ~zeit für Cyber-Kriminelle zu unwirtschaftlich.

Es gibt genügend Verfahren, wie Kennwörter durch Hashfunktionen vernünftig verschlüsselt werden. Die Speicherung im Klartext sollte für Seitenbetreiber deswegen absolut tabu sein.

Identitätsdiebstahl?

In den vergangenen Jahren gelangten viele Millionen Passwörter durch Hackerangriffe an die Öffentlichkeit. Mit gestohlenen Passwörtern können Cyber-Kriminelle viel Geld verdienen. Einige User machen es den Kriminellen zu einfach, indem sie ein und dasselbe Passwort für mehrere Konten verwenden. Innerhalb eines kurzen Zeitraums können auf diese Weise gleichzeitig mehrere Kundenkontos gekapert und missbraucht werden. An dieser Stelle rentieren sich einmalige Kennwörter. Wer wissen möchte, in wie weit die eigene E-Mail-Adresse gefährdet ist, kann diese unter den folgenden URLs überprüfen lassen: https://sec.hpi.de/ilc und https://haveibeenpwned.com/.