Die zehn meistgenutzten Passwörter auf Websites sind simpel aufgebaut und ganz offensichtlich nicht sicher.
Das Hasso Plattner Institut (HPI) hat diese Woche eine Liste der zehn meistverwendeten Passwörter auf Websites mit .de-Domains veröffentlicht. Diese Liste zeigt ein erschreckendes Bild, wie sorglos viele Administratoren mit ihrer Website umgehen. Da braucht es kein „Social Hacking“ oder tiefgreifende Kryptoanalytische Fähigkeiten, um eines dieser Passwörter zu erraten.
Die Top-Ten der Passwörter auf .de-Domains lauten:
- hallo
- passwort
- hallo123
- schalke04
- passwort1
- qwertz
- arschloch
- schatz
- hallo1
- ficken
Insgesamt wurden vom HPI circa eine Milliarde Nutzerkonten ausgewertet. „123456“ ist laut der Studie weltweit das meistbenutzte Passwort in den untersuchten Daten-Leaks. Eine Hauptverantwortung liegt sicher bei den Providern, die immer wieder einfache Standardpasswörter verwenden, wenn eine neue Website registriert wird. Aber auch die Benutzer bzw. Inhaber dürfen sich nicht aus ihrer Verantwortung nehmen. Schließlich sind es deren Website und Daten, die einen bessern Schutz verdienen als „hallo“.
Es geht aber noch weiter. Fast alle Webseiten erlauben unbegrenzt viele Passworteingaben. Wir reden nicht von 10 oder 20, sondern von 10.000 und mehr. In weniger als einer Stunde hat man die wichtigsten Wortkombinationen durch – wie sie für einen realistischen Angriff notwendig wären. Nur sehr wenig Sites bestrafen Fehleingaben mit immer längeren Wartezeiten, um solche Brute-Force-Angriffe zu verhindern. Und die Zahl der Sites mit sinnvoll nutzbarerer Zweifaktor-Authentifizierung ist auch sehr überschaubar. Lange Rede kurzer Sinn: In erster Linie ist es die Verpflichtung der Webseiten-Betreiber erhöhen, mehr für die Sicherheit der ihnen anvertrauten Daten zu tun.
Wie können Sie feststellen, ob Ihre Website kompromitiert ist? Der Identity Leak Checker des HPI ist eine Möglichkeit. Jeder Nutzer bekommt dor Einsicht in seinen „Online-Fußabdruck“. Falls man Opfer eines Datendiebstahls geworden ist, kann man zumindest per Eingabe der eigenen E-Mail-Adresse prüfen, ob Daten gehackt und veröffentlicht worden sind. Das Institut gleicht die Adresse mit über zwei Milliarden gestohlenen Identitätsdaten ab. Diese Seite ist übrigens vertrauenswürdig und sammelt selbst keine Daten. Es wird auch keine Eingabe des eigenen (vielleicht schon gehackten) Passwortes verlangt.