Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 12/2016
  4. "hallo" ist meistgenutztes deutsches Passwort – auf Platz zehn steht…

"hallo" ist meistgenutztes deutsches Passwort – auf Platz zehn steht "ficken"

22.12.2016 06:18 Uhr Lea Lang
vorlesen
"Enter Password"

(Bild: dpa, Oliver Berg/Illustration)

Die zehn meistgenutzten Passwörter auf Websites mit .de-Domain sind simpel aufgebaut und augenscheinlich nicht sicher. Das eigentliche Problem ist aber der oftmals fehlende zweite Faktor in der Authentifizierung auf deutschen Webseiten.

Das Hasso-Plattner-Institut (HPI) gab am Mittwoch eine Liste der zehn meistverwendeten Passwörter auf Websites mit .de-Domains heraus. Das Passwort "hallo" steht dabei an erster Stelle, gefolgt von "passwort" und "hallo123". Die Passwörter stammen aus insgesamt 31 Daten-Leaks, deren Resultate laut HPI frei abrufbar seien. Entstanden ist die Liste im Rahmen der Forschung zur Mehrfachverwendung von Passwörtern. Insgesamt wurden circa eine Milliarde Nutzerkonten ausgewertet. "123456" ist laut der Studie weltweit das meistbenutzte Passwort in den untersuchten Daten-Leaks.

Top Ten der Passwörter auf .de-Domains

1. hallo
2. passwort
3. hallo123
4. schalke04
5. passwort1
6. qwertz
7. arschloch
8. schatz
9. hallo1
10. ficken

Anzeige

Die wichtigste Regel für ein gutes Passwort ist, dass es einmalig ist: Man sollte für jeden Dienst ein anderes Passwort nutzen, da sich ein Online-Ganove ansonsten mit dem einmal erbeuteten Passwort auch bei anderen Diensten einbuchen kann. Länge und Komplexität sind dann entscheidend, wenn der Angreifer Passwort-Hashes erbeutet hat und versucht, dazu das Klartext-Passwort herauszufinden. Übertreiben sollte man es damit jedoch nicht – denn ein gutes Passwort ist auch alltagstauglich. Bei den analysierten Leaks trifft die Schuld allerdings vor allem die Webseiten-Betreiber, schließlich hätte der Zugriff auf die wertvollen Nutzerdaten gar nicht möglich sein dürfen.

Seitenbetreiber stehen in der Verantwortung

Die Verfehlungen fangen damit an, dass sich die Websites, von denen die Passwörter stammen, offenbar hacken ließen – und zwar ziemlich sicher nicht über die zu einfachen Passwörter der Nutzer. Irgendwer konnte unberechtigt auf die sensiblen Daten der Nutzer zugreifen. Selbst ein 20-stelliges Passwort aus zufälligen Sonderzeichen, Groß- und Kleinbuchstaben hätte sie nicht geschützt. Dann waren die Passwörter auch noch in einem Format abgespeichert, aus dem sie sich einfach rekonstruieren – vulgo "knacken" ließen. Dabei ist es kein Hexenwerk, mit Hash-Funktionen wie PBKDF2 oder bcrypt den Crackern den Spaß zu verderben.

Es geht weiter damit, dass eigentlich fast alle Webseiten unbegrenzt viele Passworteingaben erlauben. Wir reden nicht von 10 oder 20, sondern von 10.000 und mehr – in weniger als einer Stunde, wie sie für einen realistischen Angriff notwendig wären. Nur sehr wenig Sites bestrafen Fehleingaben mit immer längeren Wartezeiten, um Brute-Force-Angriffe zu verhindern. Und die Zahl der Sites mit sinnvoll nutzbarerer Zweifaktor-Authentifizierung ist auch sehr überschaubar. Lange Rede kurzer Sinn: Man sollte lieber den Druck auf Webseiten-Betreiber erhöhen, mehr für die Sicherheit der ihnen anvertrauten Daten zu tun, als die Anwender zu immer komplizierteren Passwörtern zu zwingen.

Kursieren meine Daten öffentlich?

Der Identity Leak Checker des HPI ermöglicht jedem Nutzer die Einsicht in seinen "Online-Fußabdruck". Falls man Opfer eines Datendiebstahls geworden ist, kann man zumindest per Eingabe der eigenen E-Mail-Adresse prüfen, ob Daten gehackt und veröffentlicht worden sind. Das Institut gleicht die Adresse mit über zwei Milliarden gestohlenen Identitätsdaten ab. Die Alternative Have I been pwned? informiert auf Wunsch auch via Mail, sobald die eigene Mail-Adresse in einem Leak auftaucht. (lel)

Kommentare lesen (431 Beiträge)

Forum zum Thema: Diverses

https://heise.de/-3579567 Drucken
Mehr zum Thema:
Domain Hacking Identity Management Passwörter Zweifaktor-Authentifizierung
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Hier handelt es sich um Fake News
    Der Marktführer kümmert sich grundsätzlich und schnell um Patches für bekannte Bugs. Dafür zahlen ja schließlich die Leute. Gegen den Support…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    Pil hat keinen Avatar
    von Pil; vor 10 Minuten
  2. Immer schön Google bashen!
    Wie beim letzten Mal ist auch hier wieder Microsoft nicht in der Lage, eine Sicherheitslücke innerhalb von 3 Monaten zu patchen. Dieses Mal…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    braidy hat keinen Avatar
    von braidy; vor 21 Minuten
  3. Liebe Microsofties: Sicherheitslücken sind in jeder supporteten Version zu fixen
    Es gibt auch Anwender, die nicht sofort auf die neue Version upgraden können/wollen. "Wird in der neuen Version gefixt" ist daher nicht…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    Beaker hat keinen Avatar
    von Beaker; vor 26 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2112123
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien