Die Empörung über die häufigsten Passwörter bei Adobe zeigt nur eines: Dass die Empörten das Problem nicht richtig verstanden haben -- und Adobe etwas grundsätzlich falsch gemacht hat.
Nach dem Einbruch bei Adobe hat ein cleverer Hacker die am häufigsten verwendeten Passwörter geknackt. Ganz oben auf der Liste: 123456. Fast 2 Millionen Anwender verwendeten dieses einfach zu erratende Passwort und aus fast allen Kommentaren trieft die Häme über diese DAUs. Dabei ist 123456 keineswegs zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert.
Denn ein richtiges Passwort belegt Speicher in unserem Gedächtnis und wir können uns nur wenige davon merken. Die setzen wir dann möglichst für Dinge ein, wo wir wirklich was zu beschützen haben. Das E-Mail-Konto, den Arbeitsplatz-PC und so weiter. Wenn ich aber für die Zwangsregistrierung zu irgendeinem Produkt oder den Download einer Informationsbroschüre ein Konto einrichten muss, das ich gar nicht will, dann darf sich die Firma nicht wundern, wenn ich dafür Wegwerf-Passwörter benutze.
Genau das haben fast 2 Millionen Nutzer vermutlich getan und bei Adobe das Passwort 123456 benutzt. Wenn die Mail-Adressen zu den jetzt geknackten Top-Passwörtern bekannt wären, könnte man diese Theorie auch leicht überprüfen. Wenn sie stimmt, dürften Provider von Wegwerf-Mailadressen wie Mailinator da ganz weit oben stehen.
Sorgen mache ich mir nicht um die Nutzer, die bei Adobe ein Wegwerf-Passwort eingesetzt haben. Die Gefahr, dass die das gleiche Passwort für ihr Online-Shopping oder ihr E-Mail-Konto verwenden, ist gering. Probleme haben vielmehr die, die eines ihrer kostbaren, schwer zu knackenden Passwörter an Adobe verschwendet haben. Denn die geben damit unter Umständen etwas preis, was ihre wichtigen Konten gefährdet.
Die Liste der einfach zu knackenden Top-100-Passwörter zeigt also keineswegs, wie dumm wir Anwender sind (weil wir uns nicht 100 verschiedene Passwörter mit 12 zufälligen Zeichen merken können). Sie ist vielmehr eine Lektion für Firmen wie Adobe: Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co sich bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat – und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang.
bye ju
PS: Nach einigen diesbezüglichen Leserzuschriften möchte ich doch noch einmal klarstellen: Selbstverständlich ist 123456 kein sicheres Passwort, das man für wichtige Dinge verwenden darf. Wie wirklich sichere Passwörter aussehen und wie man die als Normalsterblicher auch noch benutzen kann, beschreibt mein Artikel Passwort-Schutz für jeden.
(ju)