Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Gruselliste neu veröffentlicht

Beliebteste Passwörter sind "123456" und "password"

Michael Nickles / 29 Antworten / Baumansicht Nickles

Das Passwort "123456" hat es 2013 auf Platz 1 der Beliebtheitsliste geschafft. Das geht aus einer aktuellen Veröffentlichung des Sicherheitsunternehmens Splashdata hevor. In der Auflistung der schlechtesten Passwörter, finden sich auch dieses Jahr wieder viele alte Bekannte, die sich um die obersten Plätze prügeln:

(Foto: Splashdata)

Im Vorjahr tronte noch "password" auf der Spitzenposition der Liste, jetzt hat es den Platz mit  "123456" getauscht. Generell sind durchgängige Zahlenketten im Schema "123…" in den Top 25 weit verbreitet. Knüller wie "qwerty" und "admin" oder "letmein" sind natürlich ebenfalls dabei.

Schon richtig fanatasiereich sind Passwörter wie "iloyeyou", "adobe123" und "princess". Und so was wie "azerty" oder "password1" könnte man vergleichsweise eigentlich schon als außergewöhnlich sicher einstufen. Begriffe wie "adobe" und "photoshop" haben es vermutlich in die Liste geschafft, weil Adobe 2013 gehackt wurde und fast 3 Millionen Benutzernamen/Passworte ins Netz gelangten.

Michael Nickles meint:

So lustig das alles klingen mag - es ist nicht lustig. Ich möchte alle, die "dumme" Passwörter verwenden, ausdrücklich in Schutz nehmen. Nicht die Nutzer haben versagt, sondern die Industrie.

Ein sicheres Passwort sollte bekanntlich möglichst lang und kompliziert sein, Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Es sollten möglichst keine Worte einer Sprache verwendet werden und natürlich sollte das Passwort auch nirgendwo aufgeschrieben, also im Kopf behalten werden.

Beschissenerweise braucht selbst ein normaler Mensch heute dutzende Passworte: Email, Bankkonto, Paypal, Ebay, Facebook, Windows, Smartphone - da kommt ratzfatz elend viel zusammen. Für jeden Dienst soll man aus Sicherheitsgründen ein anderes Passwort verwenden. Und außerdem sollten Passwörter alle paar Monate, bessser als paar Wochen ausgetauscht werden.

Das alles sind sinnvolle, aber völlig absurde Vorgaben, mit denen normale Menschen einfach nicht klar kommen. Gewiss gibt es praktische Varianten wie "Passwort-Safes" und auch "Hardwareschutz" wie Gesichtserkennung oder Fingerabdruck-Scanner sind spottbillig. Das Problem ist aber ganz einfach, dass es keine simple universelle Lösung gibt.

Und was wäre, wenn es eine gäbe, jeder Mensch sich wirklich nur noch höchstens ein einziges Passwort merken müsste? Dann wäre "123456" vermutlich weiterhin das beliebteste.

bei Antwort benachrichtigen
Borlander Michael Nickles „Beliebteste Passwörter sind "123456" und "password"“
Optionen
"azerty"

… ist das französischsprachige qwertz/y, also auch nicht übermäßig kreativ.

Nicht die Nutzer haben versagt, sondern die Industrie.

Siehe dazu auch Warum 123456 als Passwort okay ist

bei Antwort benachrichtigen
mi~we Michael Nickles „Beliebteste Passwörter sind "123456" und "password"“
Optionen
Ein sicheres Passwort sollte bekanntlich möglichst lang und kompliziert sein, Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen enthalten.

Es heißt ja immer, die Länge sei nicht wichtig(Lachend), aber bei Passwörtern schon! Daß ein Passwort irgendwie "sicher" ist, nur weil es für das menschliche Auge "kompliziert" aussieht, ist auch so eine Illusion. Ein Passwort wie "diesistmeinsuperdupergeheimespasswortdasniemandknackenkann" ist weit sicherer als "k%/x#y2". Länge ist wichtiger als Komplexität!

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Xdata mi~we „Es heißt ja immer, die Länge sei nicht wichtig , aber bei ...“
Optionen

-- Das glaub ich nicht Tim!  .. äh mi~we.

Lang und simpel ist nicht zwingend sicherer als kurz und komplex.

Ein Programm  kann so einen Wortblock trennen.
Die Listensprache LOGO kann das vielleicht sogar.

Das Passwort hat unter gewissen Voraussetzungen dann
nur
so viele Stellen wie je ein Wortblock der Sinn macht.

Einsetzungsverfahren, aber nicht wie in der AlgebraZwinkernd

Mondmensch ist auch lang,
aber einfach.

Prinzipiell kann ein zu langes auch, gerade deshalb, mit einem Algorithmus der darauf Konditioniert ist
angegriffen werden.

Die lange Wortbreite muss ja irgendwo verarbeitet werden.

Sicher ist auch, wenn die Abfrage bei Fehlversuchen so langsam wird um Algorithmen die es mit
Schnelle
und wiederholtes Testen versuchen, ausgebremst werden.

bei Antwort benachrichtigen
mi~we Xdata „-- Das glaub ich nicht Tim! .. äh mi we. Lang und simpel ...“
Optionen
Lang und simpel ist nicht zwingend sicherer als kurz und komplex.

Doch, vorausgesetzt der Angreifer hat keinerlei Vorinformationen über den Aufbau des Passworts. Jede Art von Vorinformation erleichtert einem Angreifer natürlich die Arbeit. Ein Passwort wie "k&%y)7ß" ist nur für den menschlichen Betrachter scheinbar komplizierter als "Heidi123". Ersteres erscheint einem Menschen als "sinnloser Zeichensalat" während letzteres noch irgendwie "sinnvoll" erscheint. Für eine "Maschine" sind  aber beide gleich "sinnlos" und daher gleich schwer oder leicht zu knacken. Aber die Länge bringt's. Ein 6-stelliges Passwort ist leichter zu knacken als ein 26-stelliges, einfach weil bei einem 26-stelligen Passwort die Zahl der potentiell möglichen Passwörter viiiieeel viiiieeel größer ist.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Borlander mi~we „Doch, vorausgesetzt der Angreifer hat keinerlei ...“
Optionen
 Ein Passwort wie "k&%y)7ß" ist nur für den menschlichen Betrachter scheinbar komplizierter als "Heidi123"

Das würde ich so nun allerdings nicht unterschreiben. Namen oder echte Wörter lassen sich bei Wörterbuchangriffen nutzen. Auch in solchen einfachen Kombinationen mit ein paar angehängten Ziffern.

bei Antwort benachrichtigen
mi~we Borlander „Das würde ich so nun allerdings nicht unterschreiben. ...“
Optionen
bei Wörterbuchangriffen

Auch die kann man, meiner Meinung nach, mit langen Passwörtern besser ins Leere laufen lassen. Solche Wörterbuchangriffe setzen ja voraus, daß das Passwort nicht allzu lang ist. Um lange Passwörter mit Wörterbuchangriffen zu knacken, bräuchte man dann auch riesig große Wörterbuchdateien und wer hat die schon.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Borlander mi~we „Auch die kann man, meiner Meinung nach, mit langen ...“
Optionen
Auch die kann man, meiner Meinung nach, mit langen Passwörtern besser ins Leere laufen lassen.

Siehe mein Link unten. Wobei es da eher auf die Anzahl der unabhängigen Wörter ankommt als auf die Länge.

bräuchte man dann auch riesig große Wörterbuchdateien und wer hat die schon.

Die Größe der Wörterbuchdateien ist eher unspekatakulär.

bei Antwort benachrichtigen
Borlander Xdata „-- Das glaub ich nicht Tim! .. äh mi we. Lang und simpel ...“
Optionen
Lang und simpel ist nicht zwingend sicherer als kurz und komplex.

https://xkcd.com/936/

bei Antwort benachrichtigen
Xdata Borlander „https://xkcd.com/936/“
Optionen

Passwort und ambivalent passen irgendwie zusammen.

Eine Frage die da hin und wieder auftaucht ist, ob ein Zwangswechsel wie er in Unternehmen, auch in Computerkursen, verlangt wird wirklich Sinn macht.

Ein Bekannter hat dies gehasst..

Tendenziell wird da das Passwort immer einfacher.

Bei dem # Zeichen steht man bei einem USA Keybord oder Default Englisch erstmal da.

Dennoch nehme ich es
da es recht kyptisch und SicherZwinkernd aussieht.

bei Antwort benachrichtigen
Borlander Xdata „Passwort und ambivalent passen irgendwie zusammen. Eine ...“
Optionen
Eine Frage die da hin und wieder auftaucht ist, ob ein Zwangswechsel wie er in Unternehmen, auch in Computerkursen, verlangt wird wirklich Sinn macht.

Es verhindert zumindest, dass Dritte dauerhaft unbemerkt die Zugangsdaten missbrauchen. Am "besten" ist das noch in Verbindung mit Diensten wie Sofortüberweisung die ohne Passwortänderung dann potentiell zeitlich unbegrenzten Zugang zum Konto haben…

Tendenziell wird da das Passwort immer einfacher.

Dafür gibt es doch Passwortrichtlinien. Und bei Loginpasswörtern die man täglich nutzt halte ich auch komplexe Passwörter für eher unkritsich. Ich nutze an Arbeitsstationen ein Passwort mit mehr als 10 Zeichen, und sperre sobald ich mich vom Schreibtisch entferne.

bei Antwort benachrichtigen
aldebuedel mi~we „Es heißt ja immer, die Länge sei nicht wichtig , aber bei ...“
Optionen

Dein Passwort (diesistmeinsuperdupergeheimespasswortdasniemandknackenkann) besteht nur aus Buchstaben. Das ist mit einer "brute force" Atacke tatsächlich leichter zu knacken.

bei Antwort benachrichtigen
Borlander aldebuedel „Dein Passwort ...“
Optionen
besteht nur aus Buchstaben. Das ist mit einer "brute force" Atacke tatsächlich leichter zu knacken.

Das Passwort hat eine Länge von 58 Zeichen. Selbst mit dem Wissen, dass es sich um Kleinbuchstaben handelt sind das mal eben 11707230855310209490127596256089816856452976670588518578884863790467827520373784576 Möglichkeiten. Mit reinem Bruteforce kommst Du da nicht zu Rande.

Bei einer Betrachtung als Aneinanderreihung von 11 Worten und einem unrealistisch kleinen Sprachumfang von nur 1000 Wörtern sind wir immer noch bei 10^33=1000000000000000000000000000000000 zu prüfenden Kombinationen. Selbst wenn Du 1Mrd Passwörter pro Sekunde prüfen kannst dauert das noch 31709791983764586 Jahre. Ggf. könnte man den Suchraum noch etwas verkleinern, wenn man weiß dass es keine vollkommen willkürliche Aneinanderreihung von Wörtern ist. Aber auch damit werden wir noch nicht nicht spontan in einen überschaubaren Zeitbereich kommen.

Leicht per Brute Force zu Knacken ist was anderes…

bei Antwort benachrichtigen
aldebuedel Borlander „Das Passwort hat eine Länge von 58 Zeichen. Selbst mit dem ...“
Optionen
Leicht per Brute Force zu Knacken ist was anderes…

k&%y)7ß" ist also leichter zu knacken?

bei Antwort benachrichtigen
Borlander aldebuedel „k y 7ß ist also leichter zu knacken?“
Optionen
k&%y)7ß" ist also leichter zu knacken?

Definitiv.

Wenn wir von einem Vorrat von 100 Zeichen ausgehen (60 Buchstaben + 10 Ziffen + 30 Sonderzeichen) haben wir 10^16 Kombinationen und einen überschaubaren Zeitraum von 100**8/(10**9*3600*24)=115 Tagen. Wenn Du Du die Geschwindigkeit nun noch durch Parallelisierung um Faktor 100 steigerst (das kann man noch ohne großen Aufwand machen, bei den anderen Beispielen würde das allerdings auch nichts bringen)  ist die Sache nach einem guten Tag erledigt…

bei Antwort benachrichtigen
jueki Borlander „Definitiv. Wenn wir von einem Vorrat von 100 Zeichen ...“
Optionen

Dazu mal eine Frage:

...ist die Sache nach einem guten Tag erledigt…

Wie stellt man fest, das man das richtige Passwort hat?
Immerhin muß doch jedes Ergebnis geprüft werden. Und ich denke mal, auch das "dümmste" aller Sicherungstools merkt doch nach der ersten Million vergeblicher Einloggversuche, das da was faul ist, oder?
Es gibt ne ganze Menge solcher Sicherungen.
Nach dem dritten fehlerhaften Einloggversuch muß ich zum Beispiel persönlich Kontakt zu meiner Bank herstellen.

Wie also ist das mit der Knackerei da zu verstehen?

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mi~we aldebuedel „k y 7ß ist also leichter zu knacken?“
Optionen

Klar. Wenn du einfach stupide mit allen möglichen einstelligen Passwörtern beginnst, dann alle zweistelligen etc. geht das jedenfalls viel schneller, da das Passwort nur 7 Zeichen lang ist.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Borlander mi~we „Klar. Wenn du einfach stupide mit allen möglichen ...“
Optionen
Wenn du einfach stupide mit allen möglichen einstelligen Passwörtern beginnst

Die unbekannte Länge hatte ich bei meinen Beispielrechnungen noch unterschlagen. Da müsste man also noch ein kleines bisschen draufrechnen. Kann man aber eher vernachlässigen.

bei Antwort benachrichtigen
mi~we Borlander „Die unbekannte Länge hatte ich bei meinen ...“
Optionen
Die unbekannte Länge

Ja, wenn man vorher weiss, wie lang das Passwort ist, wird's einfach.Lächelnd

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
mi~we aldebuedel „Dein Passwort ...“
Optionen

Das Passwort hat eine Länge von (wenn ich mich nicht verzählt habe ) 57 Zeichen. Bei 26 Buchstaben (wenn man mal Klein- und Großschreibung außer Acht lässt) sind das 26^57 ( das ist ungefähr 4.5 x 10^80) mögliche Passwörter der Länge 57. Viel Spaß bei der brute force Attacke.Zwinkernd

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
aldebuedel mi~we „Das Passwort hat eine Länge von wenn ich mich nicht ...“
Optionen
Viel Spaß bei der brute force Attacke.

Das macht mein Rechner. Ich geh' derweil einen trinken. :-)

bei Antwort benachrichtigen
mi~we aldebuedel „Das macht mein Rechner. Ich geh derweil einen trinken. :-“
Optionen
Ich geh' derweil einen trinken

Ich hoffe du kannst was vertragen, wenn du die Wartezeit mit Saufen verbringen willst. :-))

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
aldebuedel mi~we „Ich hoffe du kannst was vertragen, wenn du die Wartezeit ...“
Optionen

Und, welche Variante ist deiner Meinung nach sicherer? :-)

bei Antwort benachrichtigen
torsten40 mi~we „Das Passwort hat eine Länge von wenn ich mich nicht ...“
Optionen
57 Zeichen

qwertzuiopasdfghjklyxcvbnm1234567890ß+#<-.,^!"§$%&/()=?*'

tja, nu änder ma wieder :))

57 Zeichen, wer mekrt sich den so ein langes PW?

Freigeist
bei Antwort benachrichtigen
mi~we torsten40 „qwertzuiopasdfghjklyxcvbnm1234567890ß“
Optionen
wer mekrt sich den so ein langes PW?

Keiner, aber so was wie kx&§ä2 kann sich ja auch keiner merken. :-)

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
gelöscht_305164 mi~we „Keiner, aber so was wie kx ä2 kann sich ja auch keiner ...“
Optionen
bei Antwort benachrichtigen
aldebuedel mi~we „Das Passwort hat eine Länge von wenn ich mich nicht ...“
Optionen

Geht relativ schnell. Verlegen

bei Antwort benachrichtigen
hanshh aldebuedel „Geht relativ schnell.“
Optionen

Meine Bank läßt nur 6 Ziffern zu, mehr oder sogar Buchstaben läßt sie nicht zu.

hanshh

bei Antwort benachrichtigen
Borlander hanshh „Meine Bank läßt nur 6 Ziffern zu, mehr oder sogar ...“
Optionen

Die werden dann aber sicher auch nach 3 Fehleingaben den Zugang sperren?

bei Antwort benachrichtigen
hanshh Borlander „Die werden dann aber sicher auch nach 3 Fehleingaben den ...“
Optionen

Will ich zumindest hoffen.

bei Antwort benachrichtigen