Das Unternehmen für Passwort-Sicherheit SplashData hat seine jährliche Liste der weltweit schlechtesten Passwörter veröffentlicht. Der Spitzenreiter vom letzten Jahr – ‚password‘ – wurde nun von ‚123456‘ abgelöst.
Die Liste wird jährlich mithilfe von Datenbanken über gestohlene Passwörter erstellt, die online gepostet wurden und beinhaltet die schlechtesten Passwörter, die am häufigsten genutzt wurden. Dieses Jahr wurde die Liste durch die Sicherheitslücke bei Adobe stark beeinflusst. Wie WeLiveSecurity hier berichtet, haben zwei Millionen Nutzer das Passwort ‚123456‘ verwendet.
Aus diesem Grund ist auch nicht verwunderlich, dass es Passwörter wie ‚adobe123‘ und ‚photshop‘ auf die Liste geschafft haben, wie Morgan Slain, Vorstandvorsitzender bei SplashData, Yahoo News erklärte, und dass dies eine gute Mahnung dafür sei, Passwörter nicht dem Namen der jeweiligen Webseite oder Anwendung anzupassen.
Nach dem Vorfall bei Adobe wurde die Liste mit den gestohlenen Passwörtern von dem Unternehmen für Sicherheits-Beratung Stricture Consulting Group online veröffentlicht. Und obwohl über die Liste von SplashData viel berichtet wurde – sie wurde sogar in der Today Show ausgestrahlt –, machen Nutzer weiterhin Gebrauch von diesen schwachen Passwörtern.
In ihrer offiziellen Stellungnahme sagte das Unternehmen, dass die Liste „zeigt, dass sich viele Leute weiterhin einem Risiko aussetzen, indem sie schlechte, leicht zu erratende Passwörter nutzen.“ Andere Passwörter in der Top Ten lauten ‚qwerty‘, ‚abc123‘, ‚111111‘ und ‚iloveyou‘.
„Ein weiterer interessanter Aspekt in der diesjährigen Liste ist, dass vermehrt Passwörter bestehend aus einer kurzen Zahlenkombination auftauchen, obwohl Webseiten beginnen, stärkere Passwort-Richtlinien durchzusetzen.“, sagte Slain. So sind in diesem Jahr zum Beispiel die Passwörter ‚1234‘ (Platz 16), ‚12345‘ (Platz 20) und ‚000000“ (Platz 25) dazugekommen.
„Wir hoffen natürlich immer, dass wir durch die große Öffentlichkeit ein Bewusstsein für das Risiko von schlechten Passwörtern schaffen. Die Leute müssen sich selbst durch die Nutzung besserer Passwörter und vor allem auch durch die Vergabe von unterschiedlichen Passwörtern auf den verschiedenen Webseiten besser schützen.“
Rang |
Passwort |
Änderung zu 2012 |
1 |
123456 |
1↑ |
2 |
password |
1↓ |
3 |
12345678 |
Unverändert |
4 |
qwerty |
1↑ |
5 |
abc123 |
1↓ |
6 |
123456789 |
Neu |
7 |
111111 |
2↑ |
8 |
1234567 |
5↑ |
9 |
iloveyou |
2↑ |
10 |
adobe123 |
Neu |
11 |
123123 |
5↑ |
12 |
admin |
Neu |
13 |
1234567890 |
Neu |
14 |
letmein |
7↓ |
15 |
photoshop |
Neu |
16 |
1234 |
Neu |
17 |
monkey |
11↓ |
18 |
shadow |
Unverändert |
19 |
sunshine |
5↓ |
20 |
12345 |
Neu |
21 |
password1 |
4↑ |
22 |
princess |
Neu |
23 |
azerty |
Neu |
24 |
trustno1 |
12↓ |
25 |
000000 |
Neu |
ESET Senior Research Fellow David Harley sagt, dass in Fällen von Sicherheitslücken wie bei Adobe auch Nutzer mit guten Passwörtern gefährdet sind. Zumindest, wenn sie auf anderen Seiten das gleiche Passwort verwenden: „Wenn Zugangsdaten einmal offenliegen, sollte man sie schnellstmöglich ändern. Die betroffene Seite wird ihre Nutzer mit großer Wahrscheinlichkeit auch dazu zwingen. Angreifer werden aber überprüfen, ob sie mit den Zugangsdaten auch auf andere Seiten von Interesse zugreifen können. Auch wenn es lästig ist, sollte man das Passwort auch auf anderen Seiten also umgehend ändern.“
Zwar kann kein Passwort, so komplex es auch sein mag, einen absoluten Schutz garantieren – ein Cyberkrimineller mit genügend Zeit und entsprechender Software wird letztendlich jedes Passwort knacken –, aber schlechte Passwörter erleichtern die Sache für die Kriminellen deutlich. Einen Leitfaden von WeLiveSecurity um gute Passwörter zu erstellen finden Sie hier.
Zudem warnt Harley vor "Schnellschüssen" beim Ändern von Passwörtern, wie dem einfachen Hinzufügen von Zahlen, da dies für Cracker einfach zu erraten sei, auch wenn es immer noch "Webseiten gibt, die zwar eine periodische Änderung der Passwörter verlangen, aber das simple Hinzufügen von Zahlen erlauben".
Eine WeLiveSecurity Anleitung, was man im Falle eines Passwort Diebstahls tun kann, findet sich hier.