Hasso Plattner Institut: 123456789 ist das beliebteste Passwort 2023
von Felix Frank | 13 Kommentare
Das Hasso Plattner Institut (kurz: HPI) wertet alljährlich die am häufigsten geleakten Passwörter aus. Logisch, bei der Vielzahl an Diensten gestalten sich das viele Personen sicherlich sehr komfortabel und verwenden auch bei verschiedenen Diensten dieselben Passwörter. Da haben Cyberkriminelle jedoch leichtes Spiel.
Die Top Ten der häufigsten Passwörter sind die folgenden:
1.) 123456789
2.) 12345678
3.) hallo
4.) 1234567890
5.) 1234567
6.) password
7.) password1
8.) target123
9.) iloveyou
10.) gwerty123
Die oben genannten Passwörter wurden in Datensätzen privater Identitäten im Darknet gefunden. Die Auswahl ist wohl kaum überraschend und deckt sich vielfach mit jener der letzten Jahre. Oftmals wird beispielsweise nur eine Zahl angehängt, um Passwortbedingungen zu erfüllen. Laut HPI seien dies die Passwörter in Deutschland. Zudem werden die genannten Passwörter oftmals auch selbst von Cyberkriminellen für Botfarmen oder Desinformationskampagnen verwendet. So erklärt man sich die Verwendung von Passwörtern wie „target123“ und „gwerty123“.
Als Tipps für die Passwortwahl empfiehlt das HPI die folgenden Eigenschaften:
- Lange Passwörter (> 15 Zeichen)
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Zudem weist man auf den kostenlosen Online-Service „Identity Leak Checker“ hin, der Milliarden gestohlener Daten mit Identitätsdaten abgleicht und Nutzer informiert, sollte die eigene E-Mail-Adresse Teil eines Datenlecks sein.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das sagt nicht so viel aus. Es gibt auch unzählige Dienste, die komplett unwichtig sind, wie etwa Cloud-basierte Einkaufslisten oder irgendwelche Treuepunkte. Da geht es nicht um Leben und Tod; stattdessen ist „1234“ ist ein praxisnahes Kennwort. Dazu kommt, dass auch noch der Benutzername erraten werden muss.
(Nur so als Erinnerung für alle, die gleich vom hohen Ross herunter kommentieren werden.)
dein letzter Satz des qualifiziert dich selbst
Wie im Beitrag erwähnt sind das meistens bot Passwörter.
Wo geht es schon um Leben und Tod? Vermutlich nirgends. Und was ist „wichtig“? So eine Trennung nach wichtigen und unwichtigen Diensten oder Daten hat sich mir noch nie erschlossen. Wenn ich irgendwo einen Account nutze, ist der für mich per se wichtig. Wenn es das nicht wäre, würde ich dort keinen Account haben.
Vom hohen Ross da rufe ich her, gebe mir deine Daten her. Nehmen wir mal Treuepunktportale: Die Daten dort sind sehr gut geeignet, einen Identitätsdiebstahl vorzubereiten. Wonach wird denn so gefragt? Vollständige Anschrift: Check!
E-Mailadresse: Check!
Geburtsdatum: Check!
Es gibt sicher Dienste, die ungefährliche Daten enthalten. Wenn aber ein Passwortmanager genutzt wird, gibt es gar keinen Grund mehr, auch diese Dienst mit einem generierten, sicheren Passwort zu versehen. Macht schließlich keine Mühe.
Und ganz im übrigen sind es am Ende nicht die Reiter von Passwortmanagern, die jammern, sondern das Fußvolk, wenn es den Schaden hat.
Diese Auswertungen sind in meiner Wahrnehmung kompletter Quatsch. Ich selbst verwende regelmäßig Testtest! oder ähnliches als Passwort für wegwerf Accounts. Ich denke wirklich die wenigsten werden 123456789 wirklich als Passwort für einen wichtigen Account nutzen.
@BackMac und @TR
Grundsätzlich ist es doch egal, was für ein Account benutzt wird. Sichere Passwörter zu verwenden, ist eine Grundeinstellung und mit Passwort Manager wie 1Password oder Enpass wird es heute sehr einfach gemacht, auch für Wegwerf Accounts komplexe Passwörter zu verwenden. Heute ist 2FA und andere Authentifzieruhgsmethoden für jeden Account pflicht. Das Problem fängt aber schon viel früher an, dass Internetdienste überhaupt solche einfache Passwörter erlauben und kein 2FA, Passkeys oder ähnliches anbieten.
Wieso sollte ich denn als Dienst solche Passwörter verbieten? Damit mein Support mit entsprechenden Anfragen überschwemmt wird? Am Ende dürfte es in der Regel günstiger sein, die paar Fälle von Betrug, bei denen ich als Anbieter mithaften muss, zu regulieren, als Supporter für hohe Anfangshürden bereitzustellen.
Genau das ist der Punkt. Bei unwichtigen Accounts ist das Passwort egal.
Das es überhaupt noch Webseiten gibt, welche diese Kennwörter überhaupt zulassen. Da darf sich auch niemand beschweren, wenn er gehackt wird.
gwerty123? In welchem Tastaturlayout ist denn oben links ein G statt einem Q?
In gar keinem. Aber vielleicht entwickeln auch die Nutzer solch einfacher Passworte ein gewisses Sicherheitsbewusstsein und nehmen dann als ersten Buchstaben eben nicht den, den man spontan erwarten würde. Es kann natürlich auch sein, dass es sich da einfach um einen Übertragungsfehler handelt oder die Autokorrektur zugeschlagen hat.
Passwortmanager sind doch auch ein zweischneidiges Schwert, das mit Sorgfalt genutzt werden sollte, oder? Immerhin stellt der ja einen Single Point of Failure dar: Ist die eine Masterphrase aus irgendeinem Grund verbrannt ist der ganze Tresor im Ar###. Dann sind alle Zugänge betroffen.
Deshalb sollte man IMHO Zugangsdaten in drei Kategorien einteilen: Einmal quasi KRITIS (identitätsrelevante Zugangsdaten wie Banking, Haupt-Mailpostfach, PIN für die eID beim ePerso…) – die Passwörter sind individuell und rein im Kopf gespeichert (weswegen der Irrsinn, das Passwort in Intervallen zu ändern, da konraproduktiv ist). Dann Stufe zwei – alles wo Adress- oder Zahlungsdaten etc. hinterlegt sind (z. B. Onlineshops, Zweit-Mailpostfächer…) – die können im Passwortmanager liegen. Und Stufe drei für irrelevante Sachen (unbedeutende Foren, Spam-Postfächer) – ob ich jetzt im Forum der Dortmunder Dackelfreunde das gleiche Passwort habe wie bei den Tübinger Taubenzüchtern ist jetzt eher irrelevant.
Und bei den ersten beiden Punkten bei den Passwort-Hinweisen wäre ich auch entspannter. IMHO werden zunächst die bei einem Hack erbeuteten Zugangsdaten bei anderen (mehr oder weniger gängigen) Portalen durchprobiert. Ist das Passwort bei beiden gleich ist die Passwortlänge irrelevant, auch die minimalste Änderung am Passwort führt dazu dass dieses Passwort nicht matcht und der Angriff ins Leere läuft. Und wer sih Gedanken macht, dass Angreifer sein eines erbeutetes Passwort analysieren und mit Variationen probieren oder den BruteForce auf seine Zugangsdaten laufen lassen hat einenn Grund sich Sorgen zu machen.
Aber gerade bei Passwortsicherheitsfragen ist es eh so dass gefühlt jeder seine (irgendwo meist auch berechtigte) individuellen Thesen zu dem Thema hat 🙂