Viren, Spyware, Datenschutz 11.217 Themen, 94.227 Beiträge

News: Viren, Spyware, Datenschutz

Schockierend: Die beliebtesten deutschen Passwörter 2020

Michael Nickles / 17 Antworten / Flachansicht Nickles
(Foto: HPI Hasso-Plattner-Institut)

(Originalmitteilung von Hasso-Plattner-Institut) Vom plötzlichen Wechsel Hunderttausender Mitarbeiter ins Homeoffice haben Cyberkriminelle im Corona-Jahr 2020 stark profitiert. Seit Ausbruch der Pandemie sind neue Angriffsmöglichkeiten entstanden, die vielen Unternehmen zu recht Sorge bereiten.

Ein großer Risikofaktor bleibt der viel zu laxe Umgang mit Passwörtern. Noch immer verlassen sich viele Internetnutzer auf simple Zahlenreihen wie "123456", die keinen adäquaten Schutz bieten.

"Die Corona-Pandemie hat die Angriffsfläche für Cyberangriffe in den letzten Monaten stark vergrößert und die IT-Abteilungen vieler Unternehmen vor große Herausforderungen gestellt. Ein Risikofaktor, der angesichts des Homeoffice-Trends nochmals an Bedeutung gewinnt, ist die weit verbreitete Verwendung schwacher Passwörter. Mit einem Passwort wie "ichliebedich" oder "123456" werden die eigenen Daten oder die eines Unternehmens nicht wirksam geschützt," so Professor
Christoph Meinel, Direktor des Hasso-Plattner-Instituts.

Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen - Datengrundlage sind dieses Jahr 3,1 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers (https://sec.hpi.de/ilc/search?lang=de) , die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2020 geleakt
wurden. Insgesamt wurden dieses Jahr 172 Datenlecks in den Identity
Leak Checker eingepflegt, das sind rund 2 Milliarden Identitäten - 97
davon wurden von den Diensteanbietern selbst bestätigt.

Das Hasso-Plattner-Institut (HPI) weist seit vielen Jahren auf die Notwendigkeit sicherer Passwörter hin. Der Blick auf die Top Ten der in Deutschland meistgenutzten Passwörter 2020 zeigt jedoch, dass schwache und unsichere Zahlenreihen weiterhin Spitzenplätze belegen.

Top Ten deutscher Passwörter:

1. 123456
2. 123456789
3. passwort
4. hallo123
5. 12345678
6. ichliebedich
7. 1234567
8. 1234567890
9. lol123
10. 12345

Tipps zur Passwortwahl

Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut daher:

- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen,
Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei
unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die
die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich

Der Identity Leak Checker

Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 12 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks bei denen deutsche Nutzer betroffen sind. Das Angebot ist in Deutschland einzigartig.

Insgesamt haben mehr als 15,3 Millionen Nutzer mithilfe des Identity Leak Checkers die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als 3,6 Millionen Fällen mussten Nutzer darüber informiert werden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war.

Spezialangebot für Unternehmen und Organisationen: Identity Leak Checker Desktop Client 

Der Identity Leak Checker Desktop Client ist ein kostenpflichtiges Angebot für Unternehmen und Organisationen, das sie bei der kontinuierlichen Überwachung der eigenen Domäne(n) unterstützt. Werden neue Datenlecks in den ILC importiert, prüft der Desktop Client automatisch, ob E-Mail-Adressen der überwachten Domäne(n) betroffen sind. Die betroffene(n) E-Mail-Adresse(n) können dann sofort gewarnt werden. Weitere Informationen zum Angebot unter: https://sec.hpi.de/ilc/

bei Antwort benachrichtigen
Borlander The Wasp „Kann es sein, dass da mal wieder ein armer Hund durchs Dorf getrieben wird, um auf Hasso aufmerksam zu machen? Einfache ...“
Optionen
Einfache Passwörter sind sicher, solange eine Passworteingabe auf 3 Versuche begrenzt wird. Selbst bei einem einfachen Passwort wie "lol123" muss man es erstmal schaffen, innerhalb dieser 3 Versuche dieses richtige einfache Passwort zu finden.

Wenn nur je Account auf 3 Versuche begrenzt wird, dann kann immer noch ein schlechtes Passwort bei allen Accounts probieren bis man fündig wird.

Ist die Passworteingabe nicht begrenzt, ist es im Prinzip egal, welches Passwort man nutzt, es kann mittels Brute-Force-Methode geknackt werden.

Da muss man aber schon noch berücksichtigen wie lange das dauert. Und da spielt die Länge des Passworts eine entscheidende Rolle und auch die Nutzung. Bei einem Online-Dienst ist vielleicht schon bei 100 Versuchen pro Sekunde Schluss. Bei einer lokalen Anwendung geht das um Größenordnungen schneller.

Dass es Identitätsdiebstahl gibt, ist nicht zu bestreiten, dass das vor allem durch angeblich unsichere Passwörter passiert, würde ich aber gern bewiesen haben. Mir sind da nämlich ganz andere Ursachen in Erinnerung, sprich, Datendiebstahl bei namhaften Firmen im Umfang von Millionen Datensätzen, in der Regel durch das Ausnutzen von Sicherheitslücken und nicht durch das Hacken angeblich unsicherer Passwörter.

Der Datendiebstahl dürfte noch häufiger durch Konfigurationsfehler (oder komplett fehlende Konfiguraton) verursacht werden. Wird bei allen Diensten das selbe Passwort genutzt, dann spielt das allerdings schon eine erhebliche Rolle.

bei Antwort benachrichtigen