Symboldbild: Darwin Laganzon auf Pixabay.
Jeder von uns nutzt regelmäßig (zahlreiche) verschiedene Online-Dienste, angefangen bei E-Mail-Accounts über das GamersGlobal-Konto bis hin zu Anbietern wie PayPal, um nur einige sehr wenige Beispiele zu nennen. In Bezug auf das Hobby des Spielens an Konsole oder PC kommen Zugangsdaten für diverse Verkaufsplattformen (und deren Clients) wie zum Beispiel Steam, GOG.com oder auch das PlayStation Netzwerk und der Epic Games Store hinzu – die Liste ließe sich noch lange fortsetzen.
Immer wieder berichten wir darüber, dass Online-Services angegriffen und in der Folge Kundendaten entwendet beziehungsweise veröffentlicht worden sind. Das Hasso-Plattner-Institut – ein privat finanziertes IT-Institut – hat auch in diesem Jahr erneut zahlreiche Leaks ausgewertet, wodurch eine Liste mit den 20 am häufigsten in Deutschland im Jahr 2019 genutzten Kennwörtern erstellt werden konnte. Als Basis dienten circa 67 Millionen Zugangsdaten, die auf E-Mail-Adressen mit .de-Domäne registriert sind.
Top 20 der deutschen Passwörter im Jahr 2019 (Quelle: HPI) | |||
Platz 1 | 123456 (2018 auf Platz 1) | Platz 11 | dragon |
Platz 2 | 123456789 (2018 auf Platz 3) | Platz 12 | iloveyou |
Platz 3 | 12345678 (2018 auf Platz 5) | Platz 13 | password1 |
Platz 4 | 1234567 | Platz 14 | monkey |
Platz 5 | password | Platz 15 | qwertz123 |
Platz 6 | 111111 | Platz 16 | target123 |
Platz 7 | 1234567890 | Platz 17 | tinkle |
Platz 8 | 123123 | Platz 18 | qwertz |
Platz 9 | 000000 | Platz 19 | 1q2w3e4r |
Platz 10 | abc123 | Platz 20 | 222222 |
Die Abermillionen Zugangsdaten stammen aus dem sogenannten Identity Leak Checker des Hasso-Plattner-Instituts, in den in den vergangenen knapp zwölf Monaten 178 Datenlecks eingetragen und von denen wiederum 96 von den jeweiligen Anbietern bestätigt wurden. Habt ihr den Verdacht, dass euch Daten gestohlen wurden, könnt ihr mit dem Tool prüfen, ob eure Daten im Netz im Umlauf sind (eigenen Angaben zufolge ist „der Abgleich mit mehr als 10 Milliarden gestohlener und im Internet frei verfügbarer Identitätsdaten“ möglich).
Neben dem Hinweis, dass heutzutage „jeder eine Passwortstrategie oder einen Passwortmanager [benötigt]“ gibt das IT-Institut wie üblich Tipps für gute Passwörter, die wir euch aufgrund der Wichtigkeit der Thematik abschließend im Wortlaut auflisten:
ähm... wieso werden hier meine Passwörter geleakt???
Finde ich auch eine Frechheit!
Hahahahaha! :-) Sehr gut!
*Kopfschüttel^^
Naja, das Passwort ist bei mir halt umso "sicherer", je wichtiger der Dienst ist... das für den Mailzugang sollte da höchste Priorität haben und am besten mit 2FA abgesichert sein.
Das beste Passwort nutzt letztendlich nichts, wenn die beim Diensteanbieter millionenfach durch eine Sicherheitslücke kopiert werden (und da am besten dann unverschlüsselt oder nur durch unzureichenden Hash gesichert rumliegen). Ich denke nicht, dass die meisten Accounts durch massenhaftes durchprobieren geknackt werden, eher durch Lücken beim Diensteanbieter oder Phishing, da nutzt dann auch das beste Passwort alleine nichts.
https://xkcd.com/936/
Mein besonderer "Dank" gilt Yahoo für seine beiden Riesenlecks.
Der Comic macht mich immer wieder fertig. Seit Monaten taucht in meinem Kopf regelmäßig "correct horse battery staple" auf. (Zuletzt durch den ALT-Text getriggert... ಠ_ಠ https://xkcd.com/2241/)
WRONG!
https://www.pentestpartners.com/security-blog/correcthorsebatterystaple-isnt-a-good-password-heres-why/
Nee, der Witz ist nicht jugendfrei.^^
Klassiker :-)
Hier gibts doch eh keine Jugend. ;)
Genau und wenn doch: die Wörter, die da zu lesen waren, kann die Jugend heute auch nicht mehr schrecken.
Alle Jahre wieder...
Ich wundere mich eigentlich nur, daß bei den häufigsten in Deutschland genutzten Passwörtern kein einziges deutsches Wort dabei sein soll.
wundert mich eigentlich nicht weiter. Ich war eher über das fast schon kreative Passwort nr 19 erstaunt.
Für was steht denn das? Für mich eine zufällige Anreihung?
Schau mal auf deine Tastatur, welcher Buchstabe sich unter 1, 2 usw. befindet ;-)
Verstehe, Danke für den Tip!
Wie unsicher wäre das denn bitte? :D
Mein Passwort ist nur auf Platz 10. Allerdings tippe ich die Zahlen über den Ziffernblock ein... ich kleiner Schlingel.
123456 hat die Spitzenposition erfolgreich verteidigt, ein echter Dauerbrenner. ^^
ServusIbims1Password! :)
Witzig, das Passwort "1q2w3e4r" hab ich auch mal bei einem Wegwerf-Account benutzt vor gefühlt 100 Jahren .. wobei könnte auch noch ein "5t" mit dran gewesen sein... obwohl, hmm, damals war ja oft PW's auf 8 Zeichen begrenzt.
Ansonsten prangere ich natürlich an, das die "geleakten" Passwörter hier so rumstehen. Schlimm!
Wieso ist "dragon" & "tinkle" so häufig?
Also tinkle erschließt sich mir nicht, aber als ich damals im Informatikunterricht irgendwann die erste E-Mail einrichten müsste, könnte das andere vielleicht auch meines gewesen sein. Zu der Zeit war Dragon Ball beliebt bei mir ;-)
Zum Glück ist mein Passwort: "Pr0nPro" nicht dabei!;P
Verstehe nicht wieso "ficken" raus ist. 2018 noch auf Platz4. An mir liegt´s nicht.
Schade, ich glaube das letzt Mal war "Schalke04" noch unter den Top 20.
Schade, wieder nichts gewonnen ;)
So, mal eben alle Passwörter geändert. Gerade noch rechtzeitig...
Die Tips sind aber veraltet. Sonderzeichen und Zahlen als Erweiterung des Ergebnisraums stammen noch aus der Zeit als Passwörter unter Unix auf 8 Zeichen beschränkt waren.
Jeder, der ein wenig grundlegende Mathematik beherrscht, sieht schnell, dass ein weiteres Zeichen in der Länge (ab einer gewissen Grundlänge) den Raum stärker erweitert als ein weiteres Zeichen im Grundvorrat der benutzten Zeichen.
Besser einen ganzen Satz in Kleinschreibung als 8 Zeichen mit Zahlen und Sonderzeichen.
Trotzdem erfordern viele Seiten, bei denen man sich registrieren kann, Ein Passwort mit Groß- und Kleinschreibung, mindestens einer Zahl und/oder einem Sonderzeichen. Heraus kommt dann irgendein Kram, den man sich nicht merken kann und der trotzdem für Profis leicht zu knacken ist...
Komisch, dass solche primitiven Kennworte nicht abgewiesen werden. Wobei der Zwang zur Komplexität (statt Länge) auch seine Schattenseiten hat. Manche dieser Regeln sind so streng, dass der aufgespannte mehrdimensionale Raum wieder schön klein wird.
Wer jetzt in´s Grüßeln kommt: KeePass2 (Freeware) ist sowohl für Win als auch Android (und ich meine auch die anderen Plattformen) erhältlich. Mit der größte Vorteil für mich ist der komplette Verzicht auf die Cloud, es funktioniert offline ohne irgendwelche Einschränkungen. Klar, man muss den Container selbst sichern bzw zwischen PC, Handy usw synchron halten. Aber dafür liegen die Daten halt nicht irgendwo im Netz.
Man sichert da den Container den man sich anlegt mit einem ordentlichen Passwort (ich empfehle 32 Zeichen für AES 256), und da drin legt man dann für die einzelnen Logins kryptische Passwörter an und kopiert die sich nur noch mit nem Doppelklick raus. Er legt auch selber PW an wenn man mag, zeigt die Stärke, man kann Loginnamen, Notizen usw dazu speichern.
Platz 19 ist sooo schlecht nicht.
Dachte ich auch gerade, aber jetzt ist er nicht mehr zu gebrauchen ;)
Gibt es dabei eigentlich Bemühungen herauszufinden, wie viele dieser Accounts mit Schrottpasswörtern von vornherein als Wegwerfaccounts gedacht waren?
Es ist ja schön, dass uns diese Auswertung Gelegenheit gibt, uns hier als gebildete IT-Profis zu fühlen, die überlegen den Kopf schütteln können gegenüber dem anscheinend immer noch weit verbreiteten DAU. Mir kommt es aber manchmal so vor, als wäre das der einzige Grund, warum diese News sich alljährlich verbreiten, während wir dabei möglicherweise zumindest zu einem erheblichen Teil einem Irrtum aufsitzen.
Ja, geht mir genauso! Die Passwörter sind alle nur aus Hacks, also so großartigen Betreibern wie Yahoo, die es gleich zweimal in kurzer Zeit geschafft hatten, gehackt zu werden. Natürlich ist Yahoo auch oft als Hauptmail benutzt worden, aber da ich damals auch nen US Dienst brauchte, hatte ich ne Spammail bei denen angelegt, da war mir das Passwort herzlich egal. Und auch andere Services, wo die Hacks recht bekannt wurden, zB die "Partner"vermittlung AshleyMadison schreit doch danach erstmal nur nen Testaccount zu erstellen um zu gucken, wie das überhaupt ist. Normalerweise kann man sowas ja noch ändern, wenn man ernsthaft interessiert ist. Und das sich dann solche Passwörter eben häufen bei Spamaccounts, ist doch vollkommen normal.
btw: Welche normale Seite lässt überhaupt noch solche Passwörter zu? Alle Seiten, die ich kenne wollen doch mindestens 2 Nummern, ein Sonderzeichen und manche sogar blocken Passwörter in einer Reihe - besonders die dummen Webseiten, wo ich definitiv nur nen Wegwerfaccount erstellen will.
Imo sind da normale Passwörter wie dragon oder so viel interessanter.
Genau das.
Der Daten stammt vorwiegend von yahoo, hotmail, gmail und mail.ru. Und das "häufigste" Passwort 123456 kommt auf 0,8%, die gesamte Top10 der Passworte zusammen auf gerade mal 2% aller verwendeten Passworte. Da kann man mit ziemlicher Sicherheit davon ausgehen, dass da sehr viele Einmal-Wegwerf-Accounts dabei sind.
Und der wichtigste Tip: für jeden Account ein eigenes Passwort. Wer es noch sicherer haben will, hat auch für jeden Account eine eigene Emailadresse. Dann weiß man auch zuverlässig, wem man seinen Spam zu verdanken hat.
Optional hilft es auch oft, die gleiche Mailadresse an verschiedenen Stellen anders groß- und kleinzuschreiben. Meist werde die einfach 1:1 übernommen, und man sieht anhand dessen wem man den Spam verdankt..
Ernsthaft? Wow :D
Hätte ich nie vermutet, dass das funktioniert.
Mein Passwort ist *********** :-)
Soso, elf Zeichen, das ist doch schon mal nen guter Ansatzpunkt :D
Also 'target', 'tinkle' und 'dragon' wundern mich jetzt etwas... oO
Und "monkey" nicht? :-)
Ich verwende einen offline Passwortmanager und für jeden Account ein zufallsgeneriertes Passwort. Die wichtigen Passworte ändere ich regelmäßig. Da wo es geht, benutze ich 2FA.
Damit fühle ich mich relativ sicher.
Da bist Du auf jeden Fall sehr gut aufgestellt. Viel mehr kann man nicht machen.