Leicht zu knacken

Die Passwörter der Hacker

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Dass sich Nutzer keine Passwörter merken können und nur wenige einen Passwort-Manager einsetzen, machen sich Hacker zunutze: Viele Systeme knacken sie ganz einfach durch Eingabe von Standard-Codes. Wir stellen die am häufigsten verwendeten Hacker-Passwörter vor.

Die SecuritySecurity-Analysten von Rapid7 haben das "Hacker’s Dictionary" veröffentlicht - eine Aufstellung der am häufigsten durch Hacker "bei der Arbeit" verwendeten Nutzername/Passwort-Kombinationen. Zusammengestellt werden konnten die Listen dank des öffentlich zugänglichen Honeypot-Netzes von Rapid7 namens "Heisenberg", mit dem Hacker fast ein Jahr lang dazu gebracht werden konnten, Eindringversuche in Fake-Systeme zu unternehmen. Alles zu Security auf CIO.de

Es sind zumeist keine Menschen, die diese Login-Versuche unternehmen, sondern von ihnen entwickelte automatisierte Scanroutinen, die mit dem Internet verbundene Systeme und Dienste auf Schwachstellen prüfen und unterwandern sollen. Deshalb gibt das "Hacker’s Dictionary" einen ziemlich guten Aufschluss über die dort verwendeten Standard-Kombinationen aus Nutzernamen und Passwörtern. Betroffen sind Point of Sale (POS)-Systeme, Kioske und durch Scamware geschwächte Desktop-PCs, die den Fernzugriff per Remote Desktop Protocol (RDP)-Service erlauben.

Die Passwörter der Hacker

Doch recht erstaunlich ist, dass das mit Abstand am häufigsten ausgetestete Passwort ein einfaches "x" war, gefolgt von einem "Zz". Komplexere Phrasen wie "P@ssw0rd" und "&Tf45tUR@28" folgen abgeschlagen:

Für die Nutzernamen gilt: "administrator" und "Administrator" liegen klar vor "user1" und "admin". Die am häufigsten verwendete Nutzername/Passwort-Kombination ist entsprechend "administrator / x". Die Häufigkeit, mit der Angreifer Nutzernamen wie ‘administrator/Administrator’, ‘pos’, ‘db2admin’ und ‘sql’ ausprobieren, impliziere laut Rapid7, dass Datenbanken und POS-Systeme unter den beliebtesten Angriffszielen sind.

Dass es mitunter ziemlich einfach sein muss, in anfällige Netze und Systeme einzudringen, liegt natürlich auch am Leichtsinn vieler Nutzer und Administratoren, die Standard-Passwörter der Hersteller nicht ändern, sich sehr einfach zu merkende Phrasen ausdenken und diese dann auch noch mehrfach verwenden.

Passwort-Manager schaffen Abhilfe

Wer seine Passwörter sicherer machen möchte, ohne gleich einen Gedächtniswettbewerb gewinnen zu müssen, nutzt am besten einen Passwort-Manager. Welche zu empfehlen sind, haben wir abschließend für Sie zusammengestellt:

Zur Startseite