Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Kommentar
  4. Warum 123456 als Passwort okay ist

Warum 123456 als Passwort okay ist

Kommentar 05.11.2013 11:32 Uhr Jürgen Schmidt

Die Empörung über die häufigsten Passwörter bei Adobe zeigt nur eines: Dass die Empörten das Problem nicht richtig verstanden haben -- und Adobe etwas grundsätzlich falsch gemacht hat.

Nach dem Einbruch bei Adobe hat ein cleverer Hacker die am häufigsten verwendeten Passwörter geknackt. Ganz oben auf der Liste: 123456. Fast 2 Millionen Anwender verwendeten dieses einfach zu erratende Passwort und aus fast allen Kommentaren trieft die Häme über diese DAUs. Dabei ist 123456 keineswegs zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert.

Denn ein richtiges Passwort belegt Speicher in unserem Gedächtnis und wir können uns nur wenige davon merken. Die setzen wir dann möglichst für Dinge ein, wo wir wirklich was zu beschützen haben. Das E-Mail-Konto, den Arbeitsplatz-PC und so weiter. Wenn ich aber für die Zwangsregistrierung zu irgendeinem Produkt oder den Download einer Informationsbroschüre ein Konto einrichten muss, das ich gar nicht will, dann darf sich die Firma nicht wundern, wenn ich dafür Wegwerf-Passwörter benutze.

Genau das haben fast 2 Millionen Nutzer vermutlich getan und bei Adobe das Passwort 123456 benutzt. Wenn die Mail-Adressen zu den jetzt geknackten Top-Passwörtern bekannt wären, könnte man diese Theorie auch leicht überprüfen. Wenn sie stimmt, dürften Provider von Wegwerf-Mailadressen wie Mailinator da ganz weit oben stehen.

Sorgen mache ich mir nicht um die Nutzer, die bei Adobe ein Wegwerf-Passwort eingesetzt haben. Die Gefahr, dass die das gleiche Passwort für ihr Online-Shopping oder ihr E-Mail-Konto verwenden, ist gering. Probleme haben vielmehr die, die eines ihrer kostbaren, schwer zu knackenden Passwörter an Adobe verschwendet haben. Denn die geben damit unter Umständen etwas preis, was ihre wichtigen Konten gefährdet.

Die Liste der einfach zu knackenden Top-100-Passwörter zeigt also keineswegs, wie dumm wir Anwender sind (weil wir uns nicht 100 verschiedene Passwörter mit 12 zufälligen Zeichen merken können). Sie ist vielmehr eine Lektion für Firmen wie Adobe: Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co sich bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat – und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang.

bye ju

PS: Nach einigen diesbezüglichen Leserzuschriften möchte ich doch noch einmal klarstellen: Selbstverständlich ist 123456 kein sicheres Passwort, das man für wichtige Dinge verwenden darf. Wie wirklich sichere Passwörter aussehen und wie man die als Normalsterblicher auch noch benutzen kann, beschreibt mein Artikel Passwort-Schutz für jeden.

(ju)

Mehr zum Thema

  • Adobe
  • Identity Management
  • OpenID
  • Passwörter

Forum bei heise online: Politik & Gesellschaft

Teile diesen Beitrag

https://heise.de/-2039860 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Junos OS

Tor Browser

Cisco: Updates für div. Produkte

Patchday SAP

Der digitale Treffpunkt für Security-Experten

secIT by Heise

Auf der secIT Digital präsentieren wir Ihnen die neuesten Trends, Lösungen und Informationen zum Thema IT-Security. Freuen Sie sich auf ein neues, innovatives Format, das Ihnen alle Möglichkeiten eines Präsenzevents ermöglicht. Zudem haben wir die secIT Digital auf 3 Tage verlängert – 23. bis 25. Februar 2021, damit wir ausreichend Raum für alle aktuellen Themen haben.

Anzeige
Anzeige
  • Zweitgrößte FinanzGruppe Deutschlands sucht dich
  • So sieht der Arbeitsplatz der Zukunft aus!
  • Threat-Hunting: Gefahr erkannt, Gefahr gebannt!
  • Einheitliche Plattform für digitale Zusammenarbeit
  • Mehr Sicherheit für digitale Prozesse
  • Huawei AppGallery: Nie mehr Apps suchen müssen!
  • Themenspecial: Moderne IT-Infrastruktur
  • Digitalisierung: BWI optimiert die Zukunft
  • Onlineshops für kleine Firmen – geht das gut?
  • Themenspecial: Zukunftssichere IT für KMU
Artikel

Ausprobiert: BlackArch Linux als umfangreiches Penetration-Testing-Toolkit

2621 mitgelieferte Security-Tools und die Option, vorhandene Arch-Systeme mit den Paketquellen flexibel aufzurüsten sind gute Gründe zum Antesten von BlackArch.

38 Kommentare mit Bilderstrecke

Kommentar: Wie offen ist FireEye?

Angriffstechniken, die noch keiner kenne, sollen den Hack gegen FireEye ermöglicht haben. Höchste Zeit, diese offenzulegen, findet Jürgen Schmidt.

50 Kommentare

Risk Based Authentication: Die Krücke für Passwörter und wie sie ausgenutzt wird

Mit der Risikoabschätzung RBA wollen Online-Dienste den Passwortmissbrauch bekämpfen. Doch Cybercrime macht daraus ein Geschäft: mit digitalen Doppelgängern.

300 Kommentare mit Bilderstrecke

Neueste Forenbeiträge

  1. F-Secure, ERROR: Permission denied
    Beim scannen eines Ordners des M$ Flight Simulators meinte F-Secure das ihm der Zugriff verweigert wurde. Mit den Ordnern der WindowsApps hatte…

    Forum:  Desinfect

    The lonely hat keinen Avatar
    von The lonely; vor 21 Stunden
  2. HDD Schreibschutz
    Hallo, vorausschicken möchte ich dass ich nur sehr rudimentäre Kenntnisse von Linux habe. Nun mein Problem: Mein Win 10 Rechner bootet nicht…

    Forum:  Desinfect

    berndione hat keinen Avatar
    von berndione; Samstag, 13:58
  3. Re: Desinfect 2020 findet "DirtyDog" Virus mit Sophos in pagefile.sys
    iMil schrieb am 15.01.2021 18:37: Das ist in der Tat ein gutes Argument :). Da der Scan auch keine Treffer mehr hatte nachdem ich die…

    Forum:  Desinfect

    elknipso hat keinen Avatar
    von elknipso; Freitag, 18:51
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 1125986
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien