123456, password, iloveyou

Die schlimmsten Passwort-Sünden

02.02.2010 von Thomas Pelkmann
123456 lautet das beliebteste Passwort unter den 32 Millionen Usern der Foto-Site RockYou. Auf den Plätzen danach landen 12345, 123456789 und "Password".

Anfang Januar dieses Jahres hat der Online-Kurznachrichtendienst Twitter 370 unsichere Passwörter gesperrt. Darunter finden sich echte Klassiker wie "123456", "qwerty" oder "passwort" sowie "porsche" und "ferrari". Aber auch vermeintlich sichere Passwörter wie "thx1138" oder "ncc1701" stehen bei Twitter neuerdings auf der schwarzen Liste. Das erste ist der Name eines Science Fiction-Films von George Lucas, das zweite die Kennnummer des Raumschiffs Enterprise.

Im Dezember 2009 hat ein Eindringling namens Hacker Tom über eine SQL-Injection 32 Millionen Passwörter von der Foto-Site RockYou geklaut und anschließend - wenn auch ohne identifizierbare Informationen - im Klartext ins Internet gestellt. Der Sicherheitsspezialist Imperva hat sich diese Liste genauer angeschaut, denn sie gibt einen guten Einblick in die Sorglosigkeit, mit der Benutzer von Internetseiten mit ihren Passwörtern umgehen. Die Twitter-Beispiele, so scheint es, sind da nicht die Ausnahme, sondern die Regel.

"Frühere Untersuchungen basieren vor allem auf Umfragen", so Imperva in seiner Studie. "Nie zuvor gab es eine so gute Gelegenheit, echte Passwörter zu analysieren".

Das Ergebnis ist niederschmetternd: Die meisten Passwörter sind so kurz und simpel, dass die einfachen Brute Force-Attacken nicht einmal ansatzweise standhalten. Andere Studien, schreibt Imperva in seinem Report, hätten zudem ergeben, dass die Anwender dasselbe Passwort auch auf vielen anderen Seiten benutzen. Und: Das Problem hat sich in den vergangenen 20 Jahren nur sehr wenig verändert. Eine Studie von 1990 über Unix-Passwörtern zeigt eine verblüffende Ähnlichkeit mit den jüngst veröffentlichten RockYou-Zugangsdaten.

Wenn man die User lässt, so das lapidare Fazit, werden sie wohl immer die einfachsten Passwörter auch für solche Seiten wählen, die private und persönliche Informationen enthalten. Das Risiko für private und Firmenanwender steigt nicht nur deshalb an, sondern auch aufgrund der Tatsache, dass Hacker immer intelligentere und leistungsfähigere Software für ihre Attacken verwenden würden, schreibt Imperva. Die Auswertung der Kombination einfacher Passwörter und automatisierter Angriffe hat ergeben, dass ein Hacker ganze 17 Minuten benötigt, um auf einer beliebigen Webseite 1.000 Accounts zu knacken.

Weitere Ergebnisse der Studie: Rund jeder dritte Anwender benutzt ein Passwort, dass nicht länger als sechs Zeichen hat. Fast zwei Drittel benutzt ein Passwort mit einem sehr limitierten Zeichensatz. Etwa die Hälfte verwendet Namen, Begriffe aus der Alltagssprache, Begriffe aus dem Lexikon oder einfachste Zeichenfolgen (aufeinander folgende Ziffern, nebeneinander liegende Buchstaben auf der Tastatur). Das beliebteste Passwort in der Hack-Liste unter den 32 Millionen von RockYou lautet mit großem Abstand: "123456"; insgesamt 290731 User nutzen bei RockYou diese Zugangskennung. Auf den Plätzen landen die Zeichenfolgen "12345", "123456789" und "Password".

Regeln für sichere Passwörter

Dabei gibt es eigentlich genügend Regeln für sichere Passwörter. Nur halten sollte man sich auch daran.

1. Das Passwort sollte mindestens acht Zeichen lang sein

Die Zahl möglicher Kombinationen ist bei acht Zeichen groß genug, um einfache Brute Force-Angriffe abwehren zu können. Die Imperva-Analyse hat ergeben, dass die Hälfte aller verwendeten Passwörter höchstens sieben Zeichen umfasst.

2. Passwörter sollten aus einer Kombination verschiedener Zeichentypen bestehen

Nicht einfach zu raten sind Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wie "$", "&" oder ")". Rund 40 Prozent der analysierten Zugangsdaten enthielt nur Kleinbuchstaben, 16 Prozent nur Ziffern. Nicht einmal vier Prozent verwendeten komplexe Zeichenfolgen. In der Summe verwendeten gar nur 0,2 Prozent der RockYou-User Passwörter mit acht oder mehr sowie kombinierten Zeichen.

3. Verwenden Sie keine Namen, gängige Ausdrücke oder lexikalische Begriffe. Passwörter sollten auch keine Teile davon oder die E-Mail-Adresse enthalten.

Nahezu jedes der 5000 beliebtesten Passwörter bei RockYou hat diese Regel gebrochen, heißt es bei Imperva. Zudem sollten Anwender unterschiedliche Passwörter für verschiedene Seiten benutzen, nicht eins für alle. Und: Niemand sollte sein Passwort anderen anvertrauen, schon gar nicht, wenn die Aufforderung per E-Mail ins Haus flattert, sein Passwort irgendjemandem mitzuteilen.

Passwortschutz für Adminstratoren

Auch für Administratoren hält der Report Empfehlungen bereit:

  1. Sorgen Sie in Ihrem Unternehmen für eine Passwort-Policy mit strengen Regeln. Überlassen Sie nicht den Anwendern die Wahl, sondern definieren Sie, wie "stark" Passwörter sein müssen.

  2. Sichern Sie die Übertragung von Passwörtern immer über HTTPS-Verbindungen. So verhindern Sie, dass Passwörter im Klartext übertragen werden.

  3. Sorgen Sie dafür, dass Passwörter niemals im Klartext, sondern immer verschlüsselt in Datenbanken abgelegt werden.

  4. Beschäftigen Sie sich mit Brute Force-Methoden von Hackern und entschärfen Sie solche möglichen Attacken durch geeignete Vorsorgemaßnahmen. Captchas etwa verhindern die automatische Eingabe zahlreicher Passwörter. Lange Kennungen sorgen zudem dafür, dass Attacken uneffektiv werden, weil sie zu lang dauern.

  5. Gehen Sie vom Begriff des Passwortes ab und werben Sie für die Verwendung von Passphrasen. Das können ebenso beliebige, aber sinnlose Zeichenfolgen sein (siehe oben) wie ganze Wortfolgen, die man sich leichter merken kann, die aber nicht leicht zu knacken sind.