Schlechte Passwörter: „123456“ stößt „password“ vom Thron

Passwort ist nicht gleich Passwort. Was als Schlüssel zum Eintritt in diverse Dienste dient, wird von Nutzern oftmals nicht ernst genommen. SplashData ermittelt Jahr für Jahr die schlechtesten Passwörter. Die Daten werden aus im Internet veröffentlichten Listen gesammelt, die millionenfach gestohlene Passwörter beinhalten. Über das ganze Jahr 2013 gesammelte Daten werden dann zur Top 25 Liste der unsichersten Passwörter zusammengestellt. Erschreckend ist hierbei, wie einfach die Passwortgestaltung tatsächlich ist. Egal ob „1234“ oder „qwerty“, kein aktiv genutztes Passwort sollte so einfach zu erraten sein.

worst_passwords_2013

Vermutlich durch den Adobe-Hack 2013 gelangten auch neue Passwörter in die Liste, darunter Perlen wie „photoshop“ oder „adobe123“. Ein Passwort passend zum jeweiligen genutzten Dienst auszuwählen, ist ebenfalls nicht sehr schlau. Oben seht Ihr die Top 10 der schlechtesten Passwörter 2013, hier noch die Liste der Top 25. Findet Ihr Euer Passwort darin wieder? Dann ist es an der Zeit, sich einmal ein neues zu suchen. Oder einen Passwortmanager wie LastPass oder 1Password zu verwenden.

worst_passwords_2013_list

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

29 Kommentare

  1. Ich sehe an „12345“, „password“ & Co nichts schlechtes. Ich nutze ebenfalls ein extrem kurzes und simples Passwort was ich mir problemlos merken kann. Warum soll ich bsp. Adobe oder Java oder sonstwem nen sicheres Passwort anvertrauen um irgendwelche Lizenzverträge oder Updates zu bekommen? Völliger Blödsinn.

  2. @phgie: Genau meine Meinung!!

  3. Malkavianer says:

    Also jetzt mal ganz ernsthaft. Wenn so ein hirnloser Dienst wie Adobe einen Account benötigt um 08/15 Sachen runter zu laden frage ich mich warum ich da ein echtes Passwort benötige. Ich hatte mal einen Artikel gelesen (finde blos jetzt nicht wieder) über diese sinnlosen Passwörter und stimme mit dem Schreiber überein. Wichtige Zugänge sind bei mir sehr stark gesichert, hirnlose Zugänge bekommen hirnlose Passwörter. Was gehen mir diese Accounts auf den Keks. Jeder Furz will seinen eigenen Account. Dann sollen die sich nicht wundern, wenn die entsprechenden Passwörter sinnlos einfach sind. Ich habe ja nichts hinter dem Account, was ich sichern möchte. Ich habe ja nur den Account, weil ich z.B. mal Oracle runter laden woltle oder eben irgendetwas anderes. Und deswegen sind da nur fakedaten und blöde Passwörter. Denn ich verschwende meine guten Passwörter auf gar keinen Fall auf solch aufgezwungene Accounts.

    Deswegen sehe ich in jeder solcher Statistiken nur einen weiteren Beweis darüber, wie viel sinnlose Datensammlerei betrieben wird und wie viele Accounts sinnlos erstellt werden müssen. Mich schrecken solche Statistiken nicht.

  4. Malkavianer says:

    Bis ich meinen Text verfasst habe, wurde auch schon der richtige Artikel genannt. Danke phgie 🙂

  5. Als ich die Passwörter sah, wollte ich unbedingt kommentieren, dass Bullshit-Accounts auch nur Bullshit-Passwörter bekommen. Aber da waren die Vorredner schneller 🙂 Mein mehrstufiges Passwortsystem für „gute“ Accounts ist durchschaubar, wenn man viele der Accounts einzeln kapert und die Passwörter manuell auswertet. Das werde ich nicht dadurch befeuern, dass die Regeln auch bei solchen Diensten gelten, die für mich keine Relevanz haben und natürlich im Worst-Case auch kein Geld kosten.

  6. Besonders „gut“ finde ich „trustno1“, was ja ein gewisses Problembewusstsein durchaus erkennen lässt… 😉 Danke auch für den guten Rat am Ende des Posts, lieber Caschy, aber ich gehe mal schwer davon aus (ich wünsche es mir zumindest), dass die Leute, die Dein Blog lesen, kein einziges der Passwörter auf der Liste verwenden.

    Guten Wochenstart!

  7. Ich lasse für jede Seite einfach ein neues Passwort generieren, was ja dank der oben genannten Möglichkeiten kein Problem ist.

  8. Ich hatte mal einen Post verfasst wie man sich verschiedene Passwörter gut merken kann:
    http://onkeloki.de/2013/12/12/sichere-passwoerter-mit-diesem-trick-koennt-ihr-euch-alle-merken/ ggf hilfts ja jemanden.

    Ich denke dennoch, dass man idealerweise einen PW-Manager benutzen. So kann man sehr komplexe Passwörter benutzen und muss sich diese nicht einmal merken.

  9. Und mit einem Passwortmanager schafft man dann selber wieder eine Sicherheitslücke, weil man am Ende dann doch wieder nur ein Passwort knacken muss, um an zig andere wichtige Passwörter zu kommen.

    Halte ich ehrlich gesagt auch nicht viel von. Blöd ist es dann, wenn man dann selber aus welchen Gründen auch immer keinen Zugriff auf seine Passwörter hat, wenn man sie mal brauch.–

    Genau so verhält es sich doch mit solchen Passwortsystem. Einmal dahinter gekommen, wie man seine verschiedenen PW zusammensetzt, stehen wieder Tür und Angel offen. Passwörter für wichtige Dienste müssen halt auch möglichst Random sein und sich möglichst nicht mit anderen PWs decken. Sehe ich so…

    Bei Diensten wie Adobe & Co. würde ich wohl auch immer irgendwas simples nutzen. Wofür auch sich was ausdenken für ein unbedeutendes Konto.

    (Noch schlimmer als PW-Manager sind für mich die ganzen Dienste, die inzwischen nur noch auf Facebook, Twitter oder Google-Login setzen, dass mag vielleicht komfortabel sein, aber wenn jemand eben nur einen Account hackt, hat er wieder Zugriff auf sämtliche Dienste…)

  10. Alternativ bugmenot.com nutzen und sich das Anlegen eines Accounts sparen…

  11. @onkeloki: prinzipiell ganz gut, ich versuche mir auch meine passwörter im Kopf zu merken und verwende zu oft ähnliche:-(

    Beispielsweise folgende Regeln:

    An letzter Stelle des Basis-Passworts steht immer der erste Buchstabe der Website
    An fünfter Stelle immer der dritte. (quasi nach dem o)
    An dritter Stelle steht die Anzahl der Buchstaben der Website plus 5

    So ergeben sich:

    für facebook: Ni13koclausf
    für google: Ni11koolausg
    für iCloud: Ni10koolausc

    aber bei icloud hast du dich verzählt, oder? 😉

  12. Ich glaube auch, dass die Argumentation in dem Artikel zu kurz greift und schließ mich mal den meisten Vorpostern an

  13. Phgie hat es verstanden, Sascha nicht.

  14. Ich kann noch Keepass ans Herz legen. Funktioniert für mich unter Linux, Android, Windows und als Portable wunderbar. Die verschlüsselte Passwortdatenbank kann man auch sehr schön über die Cloud des Vertrauens syncen. http://keepass.info/

  15. Sascha Ostermaier says:

    Weil für Euch ein Adobe-Konto unwichtig ist, ist das allgemeingültig? Ihr solltet vielleicht mal einen Schritt weiter denken, als Euer eigenes Verhalten der Allgemeinheit aufzwingen zu wollen.

  16. Was nützt ein super Passwort, wenn der Dienstanbieter seine Server nicht richtig absichert und Hacker so leicht an die Daten kommen?

  17. Es geht ja auch nicht im speziellen um Adobe, sondern allgemein darum, dass es Sinn machen kann so ein simples Passwort zu nutzen, bei Benutzeraccounts, die einem persönlich nicht wichtig sind.
    Das polarisieren halt Aussagen wie: „Findet Ihr Euer Passwort darin wieder? Dann ist es an der Zeit, sich einmal ein neues zu suchen.“

    Warum sollte ich für einen Benutzeraccount auf einer x-beliebigen Webseite, den ich nur einmal nutze um auf dieser Webseite zum Beispiel etwas herunterzuladen ein sicheres Passwort benutzen? Lege ich den Benutzeraccount mit einer meiner häufig genutzten Mailadressen an und wähle ein sicheres Passwort, was ich ebenfalls häufiger nutze, oder ein Passwort, was ich nach einem Schema erstelle, kann ein Datenklau, wie bei Adobe geschehen mehr Schaden anrichten als so ein simples Passwort inklusive Mailadresse von einem Trash-Mail Anbieter. Und darum geht es.
    Dass man für seine wichtigen Konten, wie Mail, Banking oder auch Amazon sichere Passwörter nutzen sollte versteht sich von selbst.

    Ich persönlich versuche es da wo es geht Benutzerkonten zu vermeiden. Bestelle bei Online Shops oft nur, wenn diese eine Gastbestellung erlauben. Informiere mich vorher ob es einfch möglich ist das Konto wieder zu löschen. Und überlege mir genau, ob ich den Dienst überhaupt benötige, bevor ich mich dort anmelde.

  18. @uwe danke 😉

  19. Malkavianer says:

    @Sascha 20. Januar 2014 um 15:00 Uhr
    Es geht ja auch nicht im speziellen um Adobe, sondern allgemein darum, dass es Sinn machen kann so ein simples Passwort zu nutzen, bei Benutzeraccounts, die einem persönlich nicht wichtig sind.
    Das polarisieren halt Aussagen wie: “Findet Ihr Euer Passwort darin wieder? Dann ist es an der Zeit, sich einmal ein neues zu suchen.”

    Warum sollte ich für einen Benutzeraccount auf einer x-beliebigen Webseite, den ich nur einmal nutze um auf dieser Webseite zum Beispiel etwas herunterzuladen ein sicheres Passwort benutzen? Lege ich den Benutzeraccount mit einer meiner häufig genutzten Mailadressen an und wähle ein sicheres Passwort, was ich ebenfalls häufiger nutze, oder ein Passwort, was ich nach einem Schema erstelle, kann ein Datenklau, wie bei Adobe geschehen mehr Schaden anrichten als so ein simples Passwort inklusive Mailadresse von einem Trash-Mail Anbieter. Und darum geht es.
    Dass man für seine wichtigen Konten, wie Mail, Banking oder auch Amazon sichere Passwörter nutzen sollte versteht sich von selbst.

    Ich persönlich versuche es da wo es geht Benutzerkonten zu vermeiden. Bestelle bei Online Shops oft nur, wenn diese eine Gastbestellung erlauben. Informiere mich vorher ob es einfch möglich ist das Konto wieder zu löschen. Und überlege mir genau, ob ich den Dienst überhaupt benötige, bevor ich mich dort anmelde.
    +++++++++++++++++++++
    Amen. Besser kann man es gar nicht sagen. Oder um Torsten zu zitieren:
    Als ich die Passwörter sah, wollte ich unbedingt kommentieren, dass Bullshit-Accounts auch nur Bullshit-Passwörter bekommen.

  20. Eigentlich sollte man nicht überrascht sein, diese Liste mit den schlechtesten Passwörtern zu sehen. Es gibt ja anscheinend genug Leute, die sich auf sowas einfach zu merkendes wie „12345“ beschränken, Sicherheit hin oder her, obwohl man an allen Ecken hört, wie wichtig ein sicheres Passwort ist. Allerdings halte ich den Gebrauch von Passwortmanagern ebenso problematisch, wenn man seine Passwörter sicher verwalten will, eben aus dem Grund, dass wenn eins geknackt ist, der Zugriff auf die anderen nicht mehr fern ist.

  21. Ich glaube viele haben keine Ahnung, dass Adobe ein wenig mehr macht als Flash und Acrobat. Ich beziehe z.B. über die Adobe Creative Cloud meine Täglichen Programme, und nutze die CC als Cloudspeicher. Und diese Software ist nicht gerade kostenlos, weshalb bei Adobe auch diverse Zahlungsmittel gespeichert sind.

  22. @Sascha
    Der Punkt ist glaube ich, dass gerade meistens n i c h t die Passwörter von Diensten veröffentlicht werden, die wichtig sind, sondern gerade solche die die von Adobe usw. Deshalb kann man das glaube ich schon verallgemeinern.
    Allein aufgrund der Tatsache, dass es bei Diensten wie Google, Facebook, Apple ID usw. Richtlinien für Passwörter gibt die das Erstellen unsicherer Passwörter sehr schwierig machen lassen diese Statistiken wie die in deinem Text eher darauf schließen, dass es sich um unwichtige(ere) Dienste handelt.

    Dazu denk ich, dass „Ihr solltet vielleicht mal einen Schritt weiter denken, als Euer eigenes Verhalten der Allgemeinheit aufzwingen zu wollen.“ nicht das ist was du ausdrücken wolltest aber wer weiß

  23. Da kann man mal sehen, wie wichtig das bundeseigene Tastaturlayout ist:

    „qwertz“ stehe nicht auf der Liste! :-))

  24. Hm, aber man doch auch EIN „Trash-Passwort“ verwenden, dass nicht völlig dämlich ist.
    Wenn unwichtige Dienste ein PW wollen, bekommen sie eben immer dasselbe PW.
    Das hat für mich den Vorteil, dass ein Account einigermassen gesichert ist. Gleichzeitig muss ich nicht nachdeken, weil alle „unwichtigen“ Accounts mit dem einen PW arbeiten.
    Und wenn dann jemand Adobe hackt und er bekommt darüber Zugriff auf mein Auto, Motor Sport Kommentar Zugang – damit kann ich leben.

    Wichtige Accounts, oder solche die wichtig werden, werden dann eben mit eigenen Passwörtern geadelt, die selbstredend komplett anders sind als die anderen.
    Mit dieser Methode hatte ich

  25. Für unwichtige Accounts halte ich einfache Passwörter für gut.
    Das sicherste Passwort ist immernoch das was ich selbst nicht kenne. Für wichtige Accounts einfach wild auf der Tastatur herumdrücken und fertig. Bei jeder Nutzung die Passwort vergessen-Funktion nutzen und ein neues Passwort festlegen. So hat man nie das gleiche Passwort, wechselt es ständig und fährt folglich am sichersten. Lediglich das Mail-Passwort sollte man nicht verlieren.

  26. Namenlos, weil Cookies gelöscht... says:

    @Sascha Ostermaier:
    „Ihr solltet vielleicht mal einen Schritt weiter denken, als Euer eigenes Verhalten der Allgemeinheit aufzwingen zu wollen.“

    In welche Richtung geht dieser Schritt?
    Und was wolltest Du erreichen mit Deinem Post, ausser die Verhaltensweisen der Blogleser kennenzulernen?