Search Icon
Elektroniknet Logo
Search Icon
Startseite > Kommunikation > Passwort-Drama in 123456 Akten

Lars, but not Least

Passwort-Drama in 123456 Akten

15. Januar 2024, 12:17 Uhr | Lars Bube
© Vitalii Vodolazskyi - AdobeStock

Nach mehreren Jahren wurde »123456« endlich von der Spitze der beliebtesten Passwörter der Deutschen abgelöst. Doch auch der neue Spitzenreiter lässt eher die Sicherheitsexperten verzweifeln, denn die Hacker. Das chronische Versagen alleine den Nutzern zuzuschreiben, greift jedoch zu kurz.

Diesen Artikel anhören

Mehrmals im Jahr erreichen uns Meldungen über die aktuellsten Lieblingspasswörter der Deutschen. Doch egal, welcher Anbieter sie erhebt, das Ergebnis ist seit Jahren im Wesentlichen immer gleich. Um ihre Daten und digitalen Identitäten zu schützen, vertrauen die Nutzer wider besseres Wissen auf völlig nutzlose Zugangscodes wie »123456«, das diese Liste des digitalen Totalversagens seit Jahren anführt. Ein Passwort so simpel, dass es ein Grundschüler ohne große Mühe knacken kann und sich mancher Cyberkriminelle davon wohl in seiner Hacker-Ehre gekränkt fühlen dürfte. In der analogen Welt entspricht so ein Passwort in etwa dem wohlbekannten Haustürschlüssel unter der Fußmatte. Genau das also, wonach jeder Einbrecher zuallererst suchen würde. Vor diesem Hintergrund scheint es zunächst einmal äußerst positiv, was das Hasso Plattner Institut (HPI) jetzt vermeldet. In seiner aktuellen Auswertung der am häufigsten bei Datenleaks erbeuteten und im Darknet feilgebotenen, also bereits kompromittierten, Passwörter zu verschiedensten Nutzerkonten aus Deutschland ist »123456« im vergangenen Jahr nicht nur vom Spitzenplatz verschwunden, sondern sogar komplett aus den Top 10.

Gefährliche Passwörter-Liste

Fast könnte man also meinen, dank all der gebetsmühlenartigen Wiederholungen hätten die Deutschen endlich begriffen, wie leichtfertig sie damit ihre Daten – und nicht selten die ihres Arbeitgebers und dessen Kunden – in Gefahr gebracht haben. Allerdings hält die Freude darüber nur genau so lange, bis man einen genaueren Blick auf die Liste wirft. Denn den Platz als neues Lieblingspasswort der Deutschen hat sich nun der letztjährige Zweite, »123456789«, erobert. Das ist zwar unzweifelhaft etwas länger als »123456«, aber nicht wirklich »sicherer«, falls man hier überhaupt noch von Sicherheit sprechen kann. Und auch auf den nächsten Plätzen wird es nicht besser, eher im Gegenteil. Hier folgen direkt die nächsten Total-Ausfälle »123456789«, »12345678«, »hallo«, »1234567890« und »1234567«. In der zweiten Hälfte der Top 10 geht es munter mit ähnlichen Security-Katastrophen wie »password«, »password1«, »target123« und »iloveyou« weiter.

Einzig bei Platz 10 der aktuellen Liste bleibt das geschulte Auge dann doch noch einmal kurz ungläubig hängen. Das dort aufgeführte »gwerty123« klingt zunächst ganz so, als seien hier einige Nutzer vom Klassiker »qwerty123« abgewichen, um die Hacker – wenn auch in sehr begrenztem Maße – zu verwirren. Tatsächlich steckt dahinter jedoch ein ganz anderes, noch deutlich interessanteres, Phänomen, wie der HPI-Experte Christian Doerr bei einer genaueren Auswertung der zugehörigen Daten feststellte. Er fand heraus, dass »gwerty123« das Passwort für Unmengen von Accounts ist oder war, die sich alle auffällig ähneln. Sie alle wurden offenbar nach gleichen Mustern wie fortlaufenden Nummerierungen erstellt, und das gleich bei mehreren Providern. »In der Vergangenheit haben wir gesehen, dass solche bulk Accounts von Kriminellen zum Beispiel beim Manipulieren von Bewertungen in Online Shops, der Verbreitung von Fake News, zum Crawling und so weiter eingesetzt worden sind«, erklärt Doerr. Es handelt sich hier also mit hoher Wahrscheinlichkeit um Fake-Accounts von Cyberkriminellen, die dann selbst im Rahmen von Hackerangriffen auf Webseiten und -Dienste abgegriffen wurden und so Eingang in die im Darknet gehandelten Passwortlisten gefunden haben.

Ähnliche Serien-Muster wie bei »gwerty123« fanden sich auch bei der in Deutschland ebenfalls ungewöhnlichen Kombination »target123«, während andere englischsprachige Kandidaten wie »password«, »password1« und »iloveyou« zu komplett unterschiedlichen, und damit wohl echten, Nutzerkonten gehören. Warum die Cyberkriminellen selbst so schlechte Passwörter wählen, erklärt sich Doerr wie folgt: »In unserer Forschung konnten wir in verschiedenen Studien zeigen, dass Passwort-Listen oft gut einzelnen Angreifern zugeordnet werden können, die neben ‚typisch‘ verwendeten Standard Passworten, die jeder nutzt, auch ihre ‚geheime‘ Soße der Mischung hinzufügen, um sich einen Vorteil zu verschaffen. gwerty123 ist ungewöhnlich genug, dass es nicht auf den Standardlisten der anderen steht, so dass die anderen nicht versehentlich eigene Accounts übernehmen, aber einfach genug, um es sich zu merken.« Auch Hacker sind also nur Menschen, was die Sicherheit ihrer Passwörter angeht.

  1. Passwort-Drama in 123456 Akten
  2. Digitale Gurtpflicht für Nutzer und Unternehmen
  3. Die beliebtesten Passwörter und wie man sie vermeidet

Lesen Sie mehr zum Thema

Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) Systeme für Datenschutz/-sicherheit
Jetzt kostenfreie Newsletter bestellen!