Die schlimmsten Passwort-Sünden

Anfang Januar dieses Jahres hat der Online-Kurznachrichtendienst Twitter 370 unsichere Passwörter gesperrt. Darunter finden sich echte Klassiker wie "123456", "qwerty" oder "passwort" sowie "porsche" und "ferrari". Aber auch vermeintlich sichere Passwörter wie "thx1138" oder "ncc1701" stehen bei Twitter neuerdings auf der schwarzen Liste. Das erste ist der Name eines Science Fiction-Films von George Lucas, das zweite die Kennnummer des Raumschiffs Enterprise.

Im Dezember 2009 hat ein Eindringling namens Hacker Tom über eine SQL-Injection 32 Millionen Passwörter von der Foto-Site RockYou geklaut und anschließend - wenn auch ohne identifizierbare Informationen - im Klartext ins Internet gestellt. Der Sicherheitsspezialist Imperva hat sich diese Liste genauer angeschaut, denn sie gibt einen guten Einblick in die Sorglosigkeit, mit der Benutzer von Internetseiten mit ihren Passwörtern umgehen. Die Twitter-Beispiele, so scheint es, sind da nicht die Ausnahme, sondern die Regel.

"Frühere Untersuchungen basieren vor allem auf Umfragen", so Imperva in seiner Studie. "Nie zuvor gab es eine so gute Gelegenheit, echte Passwörter zu analysieren".

Das Ergebnis ist niederschmetternd: Die meisten Passwörter sind so kurz und simpel, dass die einfachen Brute Force-Attacken nicht einmal ansatzweise standhalten. Andere Studien, schreibt Imperva in seinem Report, hätten zudem ergeben, dass die Anwender dasselbe Passwort auch auf vielen anderen Seiten benutzen. Und: Das Problem hat sich in den vergangenen 20 Jahren nur sehr wenig verändert. Eine Studie von 1990 über Unix-Passwörtern zeigt eine verblüffende Ähnlichkeit mit den jüngst veröffentlichten RockYou-Zugangsdaten.