Gizmodo hat eine Liste der beliebtesten Passwörter des vergangenen Jahres veröffentlicht und macht sich über „die Idioten“ lustig, die solch schlechte Login-Daten verwenden. Ironischerweise gehört Gizmodo zum Unternehmen Gawker Media, das im Jahr 2010 zum Musterbeispiel schlechten Passwort-Managements wurde, als Hacker das Firmennetzwerk kompromittierten und fast 200.000 furchtbare Passwörter entschlüsseln konnten. Da wäre es doch interessant, die aktuelle Liste mit den im Jahr 2010 von den Gizmodo-Lesern gestohlenen Passwörtern zu vergleichen.
Interessanterweise sind 16 der 25 Passwörter von der aktuellen Liste der beliebtesten (und damit uneffektivsten) Passwörter auch schon auf der Liste der am häufigsten verwendeten Passwörter aus dem Gawker-Datendiebstahl von 2010 zu finden. Wenn wir die Top 50 des Gawker-Diebstahls ansehen, gibt es hier sogar nur vier Passwörter, die nicht auf beiden Listen vertreten sind. Wenn Ihr Passwort also „access“ oder „mustang“ oder das wahnsinnig kindische „696969“ ist, haben Sie ein besseres Passwort als die meisten Menschen.
Wenig hat sich seit dem #Passwortdiebstahl bei @Gawker geändert: Die aktuelle Liste der schlechten #Passwörter
Tweet
Die Liste selbst ist eine Zusammenfassung der gestohlenen Login-Daten verschiedener Datenlecks des vergangenen Jahres, zusammengestellt von der Sicherheitsfirma SplashData. Wie Sie unten sehen können, veröffentlicht SplashData jährlich so eine Liste und markiert auch, wie sich die Passwörter innerhalb der Rangliste verbessert oder verschlechtert haben. Ich habe die Liste noch mit Sternchen ergänzt, die anzeigen, welche der Passwörter auch in den Top 50 der von Gawker gestohlenen Passwörter zu finden sind.
- 123456 (keine Veränderung)*
- password (keine Veränderung)*
- 12345 (17 Plätze nach oben)*
- 12345678 (1 Platz nach unten)*
- qwerty (1 Platz nach unten)*
- 123456789 (keine Veränderung)
- 1234 (9 Plätze nach oben)*
- baseball (neu)*
- dragon (neu)*
- football (neu)*
- 1234567 (4 Plätze nach unten)*
- monkey (5 Plätze nach oben)*
- letmein (1 Platz nach oben)*
- abc123 (9 Plätze nach unten)*
- 111111 (8 Plätze nach unten)*
- mustang (neu)
- access (neu)
- shadow (keine Veränderung)*
- master (neu)*
- michael (neu)*
- superman (neu)*
- 696969 (neu)
- 123123 (12 Plätze nach unten)*
- batman (neu)*
- trustno1 (1 Platz nach unten)*
Interessant ist, dass 80 Prozent der Passwörter neu in der Liste auftauchen, wobei sie eigentlich auch schon vor über vier Jahren auf der Gawker-Diebstahlsliste zu finden waren. Ebenfalls interessant ist, dass das Passwort „123456789“ auf der SplashData-Liste nicht neu ist, in den berüchtigten Gawker-Top-50 aber nicht auftauchte.
The 25 most popular passwords of 2014 are a reminder that we're all morons: http://t.co/uIT1t3dYRG pic.twitter.com/JhDByxjWep
— Gizmodo (@Gizmodo) January 20, 2015
Der Fairness halber muss man sagen, dass die von Gawker gestohlenen Passwörter verschlüsselt waren. Nur waren 188.000 davon so schlecht, dass sie aufgrund ihrer Hash-Werte ganz einfach entschlüsselt werden konnten. Den Passwortspeicher zu verschlüsseln ist die mindeste Sicherheitsmaßnahme. Vom Gawker-Hack konnten wir aber lernen, dass sogar die eigentlich technisch versierteren unter uns beim Passwort-Management versagen.
Die Moral der Geschichte ist weder neu noch besonders enthüllend: Menschen nutzen schlechte Passwörter. Allgemein gesehen, sind Menschen furchtbar schlecht bei der Sicherheit. Deshalb müssen die Technologie- und Sicherheitsbranchen die Sache selbst in die Hand nehmen. Man kann den Anwender nicht vorwerfen, dass Datendiebstähle passieren, etwa der Diebstahl Tausender intimer Fotos von Prominenten.
Auch wir haben schon darüber geschrieben, wie man starke und sich leicht zu merkende Passwörter erstellt. Das ist kein Hexenwerk. Und jeder weiß eigentlich, was ein gutes Passwort ausmacht. Wir kennen die Risiken, die mit schlechten Passwörtern einhergehen und machen uns darüber lustig; und wir wissen auch, wie gute Passwörter aussehen, sind aber zu faul, die vielen verschiedenen Passwörter für all unsere Logins zu verwalten.
Deshalb sind Initiativen wie Twitters Digits und TouchID von Apple sowie andere biometrische, SMS-basierte oder zwei Faktoren nutzende Systeme so vielversprechend. Wir wissen, dass auch diese nicht perfekt sind, aber sie bieten die Möglichkeit, mit neuen Arten der Authentifizierung zu experimentieren, die uns vielleicht von der unvollkommensten Authentifizierungsmöglichkeit wegbringen: dem Passwort.