Schlechte Passwörter: „123456“ stößt „password“ vom Thron
Passwort ist nicht gleich Passwort. Was als Schlüssel zum Eintritt in diverse Dienste dient, wird von Nutzern oftmals nicht ernst genommen. SplashData ermittelt Jahr für Jahr die schlechtesten Passwörter. Die Daten werden aus im Internet veröffentlichten Listen gesammelt, die millionenfach gestohlene Passwörter beinhalten. Über das ganze Jahr 2013 gesammelte Daten werden dann zur Top 25 Liste der unsichersten Passwörter zusammengestellt. Erschreckend ist hierbei, wie einfach die Passwortgestaltung tatsächlich ist. Egal ob „1234“ oder „qwerty“, kein aktiv genutztes Passwort sollte so einfach zu erraten sein.
Vermutlich durch den Adobe-Hack 2013 gelangten auch neue Passwörter in die Liste, darunter Perlen wie „photoshop“ oder „adobe123“. Ein Passwort passend zum jeweiligen genutzten Dienst auszuwählen, ist ebenfalls nicht sehr schlau. Oben seht Ihr die Top 10 der schlechtesten Passwörter 2013, hier noch die Liste der Top 25. Findet Ihr Euer Passwort darin wieder? Dann ist es an der Zeit, sich einmal ein neues zu suchen. Oder einen Passwortmanager wie LastPass oder 1Password zu verwenden.
Wird geladen ...
Ich sehe an „12345“, „password“ & Co nichts schlechtes. Ich nutze ebenfalls ein extrem kurzes und simples Passwort was ich mir problemlos merken kann. Warum soll ich bsp. Adobe oder Java oder sonstwem nen sicheres Passwort anvertrauen um irgendwelche Lizenzverträge oder Updates zu bekommen? Völliger Blödsinn.
@phgie: Genau meine Meinung!!
Also jetzt mal ganz ernsthaft. Wenn so ein hirnloser Dienst wie Adobe einen Account benötigt um 08/15 Sachen runter zu laden frage ich mich warum ich da ein echtes Passwort benötige. Ich hatte mal einen Artikel gelesen (finde blos jetzt nicht wieder) über diese sinnlosen Passwörter und stimme mit dem Schreiber überein. Wichtige Zugänge sind bei mir sehr stark gesichert, hirnlose Zugänge bekommen hirnlose Passwörter. Was gehen mir diese Accounts auf den Keks. Jeder Furz will seinen eigenen Account. Dann sollen die sich nicht wundern, wenn die entsprechenden Passwörter sinnlos einfach sind. Ich habe ja nichts hinter dem Account, was ich sichern möchte. Ich habe ja nur den Account, weil ich z.B. mal Oracle runter laden woltle oder eben irgendetwas anderes. Und deswegen sind da nur fakedaten und blöde Passwörter. Denn ich verschwende meine guten Passwörter auf gar keinen Fall auf solch aufgezwungene Accounts.
Deswegen sehe ich in jeder solcher Statistiken nur einen weiteren Beweis darüber, wie viel sinnlose Datensammlerei betrieben wird und wie viele Accounts sinnlos erstellt werden müssen. Mich schrecken solche Statistiken nicht.
Bis ich meinen Text verfasst habe, wurde auch schon der richtige Artikel genannt. Danke phgie 🙂
Als ich die Passwörter sah, wollte ich unbedingt kommentieren, dass Bullshit-Accounts auch nur Bullshit-Passwörter bekommen. Aber da waren die Vorredner schneller 🙂 Mein mehrstufiges Passwortsystem für „gute“ Accounts ist durchschaubar, wenn man viele der Accounts einzeln kapert und die Passwörter manuell auswertet. Das werde ich nicht dadurch befeuern, dass die Regeln auch bei solchen Diensten gelten, die für mich keine Relevanz haben und natürlich im Worst-Case auch kein Geld kosten.
Besonders „gut“ finde ich „trustno1“, was ja ein gewisses Problembewusstsein durchaus erkennen lässt… 😉 Danke auch für den guten Rat am Ende des Posts, lieber Caschy, aber ich gehe mal schwer davon aus (ich wünsche es mir zumindest), dass die Leute, die Dein Blog lesen, kein einziges der Passwörter auf der Liste verwenden.
Guten Wochenstart!
Ich lasse für jede Seite einfach ein neues Passwort generieren, was ja dank der oben genannten Möglichkeiten kein Problem ist.
Ich hatte mal einen Post verfasst wie man sich verschiedene Passwörter gut merken kann:
http://onkeloki.de/2013/12/12/sichere-passwoerter-mit-diesem-trick-koennt-ihr-euch-alle-merken/ ggf hilfts ja jemanden.
Ich denke dennoch, dass man idealerweise einen PW-Manager benutzen. So kann man sehr komplexe Passwörter benutzen und muss sich diese nicht einmal merken.
Und mit einem Passwortmanager schafft man dann selber wieder eine Sicherheitslücke, weil man am Ende dann doch wieder nur ein Passwort knacken muss, um an zig andere wichtige Passwörter zu kommen.
Halte ich ehrlich gesagt auch nicht viel von. Blöd ist es dann, wenn man dann selber aus welchen Gründen auch immer keinen Zugriff auf seine Passwörter hat, wenn man sie mal brauch.–
Genau so verhält es sich doch mit solchen Passwortsystem. Einmal dahinter gekommen, wie man seine verschiedenen PW zusammensetzt, stehen wieder Tür und Angel offen. Passwörter für wichtige Dienste müssen halt auch möglichst Random sein und sich möglichst nicht mit anderen PWs decken. Sehe ich so…
Bei Diensten wie Adobe & Co. würde ich wohl auch immer irgendwas simples nutzen. Wofür auch sich was ausdenken für ein unbedeutendes Konto.
(Noch schlimmer als PW-Manager sind für mich die ganzen Dienste, die inzwischen nur noch auf Facebook, Twitter oder Google-Login setzen, dass mag vielleicht komfortabel sein, aber wenn jemand eben nur einen Account hackt, hat er wieder Zugriff auf sämtliche Dienste…)
Alternativ bugmenot.com nutzen und sich das Anlegen eines Accounts sparen…
@onkeloki: prinzipiell ganz gut, ich versuche mir auch meine passwörter im Kopf zu merken und verwende zu oft ähnliche:-(
Beispielsweise folgende Regeln:
An letzter Stelle des Basis-Passworts steht immer der erste Buchstabe der Website
An fünfter Stelle immer der dritte. (quasi nach dem o)
An dritter Stelle steht die Anzahl der Buchstaben der Website plus 5
So ergeben sich:
für facebook: Ni13koclausf
für google: Ni11koolausg
für iCloud: Ni10koolausc
aber bei icloud hast du dich verzählt, oder? 😉
Ich glaube auch, dass die Argumentation in dem Artikel zu kurz greift und schließ mich mal den meisten Vorpostern an
Phgie hat es verstanden, Sascha nicht.
Ich kann noch Keepass ans Herz legen. Funktioniert für mich unter Linux, Android, Windows und als Portable wunderbar. Die verschlüsselte Passwortdatenbank kann man auch sehr schön über die Cloud des Vertrauens syncen. http://keepass.info/
Weil für Euch ein Adobe-Konto unwichtig ist, ist das allgemeingültig? Ihr solltet vielleicht mal einen Schritt weiter denken, als Euer eigenes Verhalten der Allgemeinheit aufzwingen zu wollen.
Was nützt ein super Passwort, wenn der Dienstanbieter seine Server nicht richtig absichert und Hacker so leicht an die Daten kommen?
Es geht ja auch nicht im speziellen um Adobe, sondern allgemein darum, dass es Sinn machen kann so ein simples Passwort zu nutzen, bei Benutzeraccounts, die einem persönlich nicht wichtig sind.
Das polarisieren halt Aussagen wie: „Findet Ihr Euer Passwort darin wieder? Dann ist es an der Zeit, sich einmal ein neues zu suchen.“
Warum sollte ich für einen Benutzeraccount auf einer x-beliebigen Webseite, den ich nur einmal nutze um auf dieser Webseite zum Beispiel etwas herunterzuladen ein sicheres Passwort benutzen? Lege ich den Benutzeraccount mit einer meiner häufig genutzten Mailadressen an und wähle ein sicheres Passwort, was ich ebenfalls häufiger nutze, oder ein Passwort, was ich nach einem Schema erstelle, kann ein Datenklau, wie bei Adobe geschehen mehr Schaden anrichten als so ein simples Passwort inklusive Mailadresse von einem Trash-Mail Anbieter. Und darum geht es.
Dass man für seine wichtigen Konten, wie Mail, Banking oder auch Amazon sichere Passwörter nutzen sollte versteht sich von selbst.
Ich persönlich versuche es da wo es geht Benutzerkonten zu vermeiden. Bestelle bei Online Shops oft nur, wenn diese eine Gastbestellung erlauben. Informiere mich vorher ob es einfch möglich ist das Konto wieder zu löschen. Und überlege mir genau, ob ich den Dienst überhaupt benötige, bevor ich mich dort anmelde.
@uwe danke 😉
@Sascha 20. Januar 2014 um 15:00 Uhr
Es geht ja auch nicht im speziellen um Adobe, sondern allgemein darum, dass es Sinn machen kann so ein simples Passwort zu nutzen, bei Benutzeraccounts, die einem persönlich nicht wichtig sind.
Das polarisieren halt Aussagen wie: “Findet Ihr Euer Passwort darin wieder? Dann ist es an der Zeit, sich einmal ein neues zu suchen.”
Warum sollte ich für einen Benutzeraccount auf einer x-beliebigen Webseite, den ich nur einmal nutze um auf dieser Webseite zum Beispiel etwas herunterzuladen ein sicheres Passwort benutzen? Lege ich den Benutzeraccount mit einer meiner häufig genutzten Mailadressen an und wähle ein sicheres Passwort, was ich ebenfalls häufiger nutze, oder ein Passwort, was ich nach einem Schema erstelle, kann ein Datenklau, wie bei Adobe geschehen mehr Schaden anrichten als so ein simples Passwort inklusive Mailadresse von einem Trash-Mail Anbieter. Und darum geht es.
Dass man für seine wichtigen Konten, wie Mail, Banking oder auch Amazon sichere Passwörter nutzen sollte versteht sich von selbst.
Ich persönlich versuche es da wo es geht Benutzerkonten zu vermeiden. Bestelle bei Online Shops oft nur, wenn diese eine Gastbestellung erlauben. Informiere mich vorher ob es einfch möglich ist das Konto wieder zu löschen. Und überlege mir genau, ob ich den Dienst überhaupt benötige, bevor ich mich dort anmelde.
+++++++++++++++++++++
Amen. Besser kann man es gar nicht sagen. Oder um Torsten zu zitieren:
Als ich die Passwörter sah, wollte ich unbedingt kommentieren, dass Bullshit-Accounts auch nur Bullshit-Passwörter bekommen.
Eigentlich sollte man nicht überrascht sein, diese Liste mit den schlechtesten Passwörtern zu sehen. Es gibt ja anscheinend genug Leute, die sich auf sowas einfach zu merkendes wie „12345“ beschränken, Sicherheit hin oder her, obwohl man an allen Ecken hört, wie wichtig ein sicheres Passwort ist. Allerdings halte ich den Gebrauch von Passwortmanagern ebenso problematisch, wenn man seine Passwörter sicher verwalten will, eben aus dem Grund, dass wenn eins geknackt ist, der Zugriff auf die anderen nicht mehr fern ist.