Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Viren, Spyware, Datenschutz

Schockierend: Die beliebtesten deutschen Passwörter 2020

Michael Nickles / 17 Antworten / Baumansicht Nickles
(Foto: HPI Hasso-Plattner-Institut)

(Originalmitteilung von Hasso-Plattner-Institut) Vom plötzlichen Wechsel Hunderttausender Mitarbeiter ins Homeoffice haben Cyberkriminelle im Corona-Jahr 2020 stark profitiert. Seit Ausbruch der Pandemie sind neue Angriffsmöglichkeiten entstanden, die vielen Unternehmen zu recht Sorge bereiten.

Ein großer Risikofaktor bleibt der viel zu laxe Umgang mit Passwörtern. Noch immer verlassen sich viele Internetnutzer auf simple Zahlenreihen wie "123456", die keinen adäquaten Schutz bieten.

"Die Corona-Pandemie hat die Angriffsfläche für Cyberangriffe in den letzten Monaten stark vergrößert und die IT-Abteilungen vieler Unternehmen vor große Herausforderungen gestellt. Ein Risikofaktor, der angesichts des Homeoffice-Trends nochmals an Bedeutung gewinnt, ist die weit verbreitete Verwendung schwacher Passwörter. Mit einem Passwort wie "ichliebedich" oder "123456" werden die eigenen Daten oder die eines Unternehmens nicht wirksam geschützt," so Professor
Christoph Meinel, Direktor des Hasso-Plattner-Instituts.

Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen - Datengrundlage sind dieses Jahr 3,1 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers (https://sec.hpi.de/ilc/search?lang=de) , die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2020 geleakt
wurden. Insgesamt wurden dieses Jahr 172 Datenlecks in den Identity
Leak Checker eingepflegt, das sind rund 2 Milliarden Identitäten - 97
davon wurden von den Diensteanbietern selbst bestätigt.

Das Hasso-Plattner-Institut (HPI) weist seit vielen Jahren auf die Notwendigkeit sicherer Passwörter hin. Der Blick auf die Top Ten der in Deutschland meistgenutzten Passwörter 2020 zeigt jedoch, dass schwache und unsichere Zahlenreihen weiterhin Spitzenplätze belegen.

Top Ten deutscher Passwörter:

1. 123456
2. 123456789
3. passwort
4. hallo123
5. 12345678
6. ichliebedich
7. 1234567
8. 1234567890
9. lol123
10. 12345

Tipps zur Passwortwahl

Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut daher:

- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen,
Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei
unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die
die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich

Der Identity Leak Checker

Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 12 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks bei denen deutsche Nutzer betroffen sind. Das Angebot ist in Deutschland einzigartig.

Insgesamt haben mehr als 15,3 Millionen Nutzer mithilfe des Identity Leak Checkers die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als 3,6 Millionen Fällen mussten Nutzer darüber informiert werden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war.

Spezialangebot für Unternehmen und Organisationen: Identity Leak Checker Desktop Client 

Der Identity Leak Checker Desktop Client ist ein kostenpflichtiges Angebot für Unternehmen und Organisationen, das sie bei der kontinuierlichen Überwachung der eigenen Domäne(n) unterstützt. Werden neue Datenlecks in den ILC importiert, prüft der Desktop Client automatisch, ob E-Mail-Adressen der überwachten Domäne(n) betroffen sind. Die betroffene(n) E-Mail-Adresse(n) können dann sofort gewarnt werden. Weitere Informationen zum Angebot unter: https://sec.hpi.de/ilc/

bei Antwort benachrichtigen
Arctophylax Michael Nickles „Schockierend: Die beliebtesten deutschen Passwörter 2020“
Optionen

"Schockierend" ist das jetzt eigentlich nicht. Eine Liste der "beliebtesten deutschen Passwörter 2020" ist zwar eine ganz witzige Idee, aber eigentlich Unfug - daraus kann man an sich gar nichts ableiten. Ich hatte schon mal vor längerer Zeit auf einen entsprechenden Golem-Artikel verwiesen:

Tag der unsinnigen Passwort-Ratschläge

... dass wieder einmal 123456 das beliebteste Passwort der Deutschen ist. Eine schockierende Nachricht. Noch schlimmer: Nicht ein einziges Passwort, das alle Empfehlungen für sichere Passwörter einhält, schaffte es in die Top Ten.

Und das wird auch für alle Zeit so bleiben. Denn sichere Passwörter zeichnen sich dadurch aus, dass sie einmalig sind. Insofern kann ein sicheres Passwort niemals zum beliebtesten Passwort gekürt werden, da jedes besonders sichere Passwort in den Statistiken nur einmal auftauchen wird.

Derartige Listen mit beliebtesten Passwörtern sind ohne jede Aussagekraft und reiner Nonsens.
bei Antwort benachrichtigen
mawe2 Michael Nickles „Schockierend: Die beliebtesten deutschen Passwörter 2020“
Optionen
(Originalmitteilung)

Eine Quellenangabe, wo diese Meldung herkommt, wäre u.U. sinnvoll.

(Vielleicht ist sie sogar zwingend?)

bei Antwort benachrichtigen
gelöscht_323936 mawe2 „Eine Quellenangabe, wo diese Meldung herkommt, wäre u.U. sinnvoll. Vielleicht ist sie sogar zwingend?“
Optionen
wäre u.U. sinnvoll.
(Vielleicht ist sie sogar zwingend?)

Recht hast Du, Mike selbst hat vor längerer Zeit darauf verwiesen, dass der Link zu Quellen angegeben werden muss.

In dem Fall wird die Quelle genannt und Seite mehrfach verlinkt, aber nicht der Link zu der Pressemitteilung
Wie weit der hier eingestellte Text mit der übereinstimmt - ich habs ja nicht verlinkt.

Anne

bei Antwort benachrichtigen
mawe2 gelöscht_323936 „Recht hast Du, Mike selbst hat vor längerer Zeit darauf verwiesen, dass der Link zu Quellen angegeben werden muss. In dem ...“
Optionen
Wie weit der hier eingestellte Text mit der übereinstimmt - ich habs ja nicht verlinkt.

Der hier eingestellte Text listet nur 10 Passwörter auf, im Original sind es 20.

bei Antwort benachrichtigen
Michael Nickles gelöscht_323936 „Recht hast Du, Mike selbst hat vor längerer Zeit darauf verwiesen, dass der Link zu Quellen angegeben werden muss. In dem ...“
Optionen

Hallo Anne,

Im Test ist über 5 Mal deutlich vom HPI (= Hasso Plattner Institut) die Rede. Ich ging daher davon aus, dass es ersichtlich ist, dass es sich hier um eine Originalmitteilung vom HPI handelt. Daher habe ich darauf verzichtet das HPI nochmals explizit als Quelle anzugeben. Um weiteren Missverständnissen vorzubeugen habe ich am Anfang der Meldung nun dennoch (Originalmitteilung) um "von Hasso-Plattner-Institut" ergänzt.

Generell ist es bei Pressemitteilungen eines Herstellers auch nicht zwangsläufig erforderlich diesen Hersteller als Quelle der Pressemitteilung anzugeben oder zu verlinken - es reicht wenn die Quelle redaktionell bekannt und nachweisbar ist.

Wer auf Nickles.de fremde Beiträge veröffentlicht, sollte zwecks urheberrechtlicher Überprüfbarkeit dennoch möglichst immer eine Quelle angeben. 

Grüße,

Mike

bei Antwort benachrichtigen
gelöscht_327925 Michael Nickles „Schockierend: Die beliebtesten deutschen Passwörter 2020“
Optionen
Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen.

Kann man auch mit:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/sicherheitstest_02112018.html

prüfen. Nur mal als erweiterten Hinweis.

bei Antwort benachrichtigen
The Wasp Michael Nickles „Schockierend: Die beliebtesten deutschen Passwörter 2020“
Optionen

Kann es sein, dass da mal wieder ein armer Hund durchs Dorf getrieben wird, um auf Hasso aufmerksam zu machen?

Einfache Passwörter sind sicher, solange eine Passworteingabe auf 3 Versuche begrenzt wird. Selbst bei einem einfachen Passwort wie "lol123" muss man es erstmal schaffen, innerhalb dieser 3 Versuche dieses richtige einfache Passwort zu finden. Die Chance geht gegen Null. Ist die Passworteingabe nicht begrenzt, ist es im Prinzip egal, welches Passwort man nutzt, es kann mittels Brute-Force-Methode geknackt werden. Zudem werden die Passwörter, die hier genannt werden, von allen mir bekannten Diensten gar nicht akzeptiert, weil zu einfach.

Dann gibt es da noch den teils monatlichen Passwortwechsel. Ich sage mal viel Spaß beim Merken kompexester 15stelliger Passwörter und das dann für 6 oder mehr Programme in der Homeoffice. Wie sicher Homeoffice-Rechner sind, bestimmt der Arbeitgeber. Wenn man die Leute an ihren Privatrechnern arbeiten lässt, sind die Passwörter das geringste Problem.

Dass es Identitätsdiebstahl gibt, ist nicht zu bestreiten, dass das vor allem durch angeblich unsichere Passwörter passiert, würde ich aber gern bewiesen haben. Mir sind da nämlich ganz andere Ursachen in Erinnerung, sprich, Datendiebstahl bei namhaften Firmen im Umfang von Millionen Datensätzen, in der Regel durch das Ausnutzen von Sicherheitslücken und nicht durch das Hacken angeblich unsicherer Passwörter. Dann gibt es eine nicht ganz unbeträchtliche Anzahl von Schadsoftware, mit der sich die Täter viel einfacher die Daten der Opfer beschaffen können.

Ende
bei Antwort benachrichtigen
Borlander The Wasp „Kann es sein, dass da mal wieder ein armer Hund durchs Dorf getrieben wird, um auf Hasso aufmerksam zu machen? Einfache ...“
Optionen
Einfache Passwörter sind sicher, solange eine Passworteingabe auf 3 Versuche begrenzt wird. Selbst bei einem einfachen Passwort wie "lol123" muss man es erstmal schaffen, innerhalb dieser 3 Versuche dieses richtige einfache Passwort zu finden.

Wenn nur je Account auf 3 Versuche begrenzt wird, dann kann immer noch ein schlechtes Passwort bei allen Accounts probieren bis man fündig wird.

Ist die Passworteingabe nicht begrenzt, ist es im Prinzip egal, welches Passwort man nutzt, es kann mittels Brute-Force-Methode geknackt werden.

Da muss man aber schon noch berücksichtigen wie lange das dauert. Und da spielt die Länge des Passworts eine entscheidende Rolle und auch die Nutzung. Bei einem Online-Dienst ist vielleicht schon bei 100 Versuchen pro Sekunde Schluss. Bei einer lokalen Anwendung geht das um Größenordnungen schneller.

Dass es Identitätsdiebstahl gibt, ist nicht zu bestreiten, dass das vor allem durch angeblich unsichere Passwörter passiert, würde ich aber gern bewiesen haben. Mir sind da nämlich ganz andere Ursachen in Erinnerung, sprich, Datendiebstahl bei namhaften Firmen im Umfang von Millionen Datensätzen, in der Regel durch das Ausnutzen von Sicherheitslücken und nicht durch das Hacken angeblich unsicherer Passwörter.

Der Datendiebstahl dürfte noch häufiger durch Konfigurationsfehler (oder komplett fehlende Konfiguraton) verursacht werden. Wird bei allen Diensten das selbe Passwort genutzt, dann spielt das allerdings schon eine erhebliche Rolle.

bei Antwort benachrichtigen
jofri62 Michael Nickles „Schockierend: Die beliebtesten deutschen Passwörter 2020“
Optionen

"Verwendung von Passwortmanagern" LOL

Komplexe PW speichert man auf einem Stick! Z.B. 1hT?iditekt14X. Wenn das erste und letzte Zeichen bei allen PW identisch ist speichert man hT?iditekt14.

Gruß

bei Antwort benachrichtigen
Michael Nickles jofri62 „Verwendung von Passwortmanagern LOL Komplexe PW speichert man auf einem Stick! Z.B. 1hT?iditekt14X. Wenn das erste und ...“
Optionen

Das Kernproblem ist, dass irgendwelche "Merkschemen" nicht funktionieren, weil jeder es anders haben will....

- Geldkarten PINs dürfen nur 4 Ziffern sein

- Online-Banking bin muss aus 5 Ziffern bestehen

- Banking App: muss auch Buchstaben, Ziffern und Sonderzeichen bestehen

- manche bestehen dann noch auf Groß-/Kleinschreibung

- manche verbieten deutsche Umlaute

Grüße,

Mike

bei Antwort benachrichtigen
marinierter Michael Nickles „Schockierend: Die beliebtesten deutschen Passwörter 2020“
Optionen

Früher hatte ich so Standardpasswörter, ein 6-stelliges und ein 9- bzw. 10-stelliges, was ein gut merkbares und nur mir bekanntes Fantasiewort ist, ab und an wurde es etwas abgewandelt mit Zahlen dahinter, Groß-/Kleinschreibung usw.

Aber mittlerweile nehme ich Keepass und lasse mir dort 20-stellige Zufallspasswörter generieren. Das mag vielleicht wie Kanonen auf Spatzen klingen, aber bei 36^20 kann ja jeder selbst mal schauen, wie viele Möglichkeiten es da gibt.

Wörterbuchangriffe scheiden bei Zufallspasswörtern aus, auch ein Hack nützt nichts, da jedes Konto ein eigenes Passwort hat.

Einzig ein Brute-Force-Angriff kann erfolgreich sein, aber bei 36^20 Möglichkeiten rechnet man da ja ewig, es sei denn der Hacker hat Glück und beginnt seinen Angriff "in der Nähe" meines Passwortes.

In Keepass gespeichert und fertig.

bei Antwort benachrichtigen
mawe2 marinierter „Früher hatte ich so Standardpasswörter, ein 6-stelliges und ein 9- bzw. 10-stelliges, was ein gut merkbares und nur mir ...“
Optionen
In Keepass gespeichert und fertig.

Kann Keepass auch das Windows-Anmelde-Passwort verwalten?

bei Antwort benachrichtigen
Borlander mawe2 „Kann Keepass auch das Windows-Anmelde-Passwort verwalten?“
Optionen
Kann Keepass auch das Windows-Anmelde-Passwort verwalten?

Natürlich. Kommst Du nur oft nicht so gut ran vor dem Login :-P

Interessanderweise geht es aber anders herum: Keepass mit dem Windows-Passwort sichern. Was allerdings nicht zu empfehlen ist, weil man sich damit sehr leicht aussperren kann.

bei Antwort benachrichtigen
marinierter mawe2 „Kann Keepass auch das Windows-Anmelde-Passwort verwalten?“
Optionen

Ich bin mir gerade nicht sicher, ob die Frage ernstgemeint oder ein typischer mawe2 ist Zwinkernd

bei Antwort benachrichtigen
mawe2 marinierter „Ich bin mir gerade nicht sicher, ob die Frage ernstgemeint oder ein typischer mawe2 ist“
Optionen
Ich bin mir gerade nicht sicher, ob die Frage ernstgemeint oder ein typischer mawe2 ist

Die Frage ist ein "typischer ernstgemeinter mawe2".

Dazu musst Du wissen, dass alle meine Fragen hier ernstgemeint sind.
Für anderes hab ich gar keine Zeit.

Der Hintergrund der Frage ergibt sich aus dem Einleitungsartikel von Mike. Dort geht es speziell um Mitarbeiter im HomeOffice und dass darüber wegen schlechter Passwörter (angeblich) vermehrt Angriffe stattfinden.

Nun muss ja so ein Mitarbeiter sich zuallererst mal an seinem Windows-PC anmelden, wo er u.U. auch ständig wechselnde Passwörter benutzen muss.

Und genau dabei helfen ihm dann Passwortmanager gar nichts, weil sie an dieser Stelle eben nicht genutzt werden können.

Insofern dürfte der Vorschlag, Passwortmanager zu nutzen, für das anfangs geschilderte Problem eher keine Lösung sein.

Ich persönlich nutze keine Passwortmanager und habe damit bisher keinerlei Erfahrungen. Dies kommt auch hauptsächlich daher, dass ich mich in recht unterschiedlichen Szenarien / in verschiedenen Netzen an Windows-PCs anmelden muss und die dafür notwendigen Passwörter muss ich mir wohl oder übel selber merken.

Auch hat man als Mitarbeiter selten die Gelegenheit, auf solchen PCs Passwortmanager überhaupt installieren zu können.

Also sei beruhigt: Die Frage war ernstgemeint.

Gruß, mawe2

bei Antwort benachrichtigen
Borlander marinierter „Früher hatte ich so Standardpasswörter, ein 6-stelliges und ein 9- bzw. 10-stelliges, was ein gut merkbares und nur mir ...“
Optionen
36^

Warum nutzt Du keine Groß- und Klein-Schreibung und keine Sonderzeichen?

bei Antwort benachrichtigen
marinierter Borlander „Warum nutzt Du keine Groß- und Klein-Schreibung und keine Sonderzeichen?“
Optionen

Groß- und Kleinschreibung wird genutzt, dann sind es richtigerweise 62^20 Möglichkeiten.

Und Webseiten, die ein Sonderzeichen wollen, bekommen natürlich eines.

bei Antwort benachrichtigen