123456, password, iloveyou
Die schlimmsten Passwort-Sünden
Wenn man die User lässt, so das lapidare Fazit, werden sie wohl immer die einfachsten Passwörter auch für solche Seiten wählen, die private und persönliche Informationen enthalten. Das Risiko für private und Firmenanwender steigt nicht nur deshalb an, sondern auch aufgrund der Tatsache, dass Hacker immer intelligentere und leistungsfähigere Software für ihre Attacken verwenden würden, schreibt Imperva. Die Auswertung der Kombination einfacher Passwörter und automatisierter Angriffe hat ergeben, dass ein Hacker ganze 17 Minuten benötigt, um auf einer beliebigen Webseite 1.000 Accounts zu knacken.
Weitere Ergebnisse der Studie: Rund jeder dritte Anwender benutzt ein Passwort, dass nicht länger als sechs Zeichen hat. Fast zwei Drittel benutzt ein Passwort mit einem sehr limitierten Zeichensatz. Etwa die Hälfte verwendet Namen, Begriffe aus der Alltagssprache, Begriffe aus dem Lexikon oder einfachste Zeichenfolgen (aufeinander folgende Ziffern, nebeneinander liegende Buchstaben auf der Tastatur). Das beliebteste Passwort in der Hack-Liste unter den 32 Millionen von RockYou lautet mit großem Abstand: "123456"; insgesamt 290731 User nutzen bei RockYou diese Zugangskennung. Auf den Plätzen landen die Zeichenfolgen "12345", "123456789" und "Password".
Regeln für sichere Passwörter
Dabei gibt es eigentlich genügend Regeln für sichere Passwörter. Nur halten sollte man sich auch daran.
1. Das Passwort sollte mindestens acht Zeichen lang sein
Die Zahl möglicher Kombinationen ist bei acht Zeichen groß genug, um einfache Brute Force-Angriffe abwehren zu können. Die Imperva-Analyse hat ergeben, dass die Hälfte aller verwendeten Passwörter höchstens sieben Zeichen umfasst.
2. Passwörter sollten aus einer Kombination verschiedener Zeichentypen bestehen
Nicht einfach zu raten sind Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wie "$", "&" oder ")". Rund 40 Prozent der analysierten Zugangsdaten enthielt nur Kleinbuchstaben, 16 Prozent nur Ziffern. Nicht einmal vier Prozent verwendeten komplexe Zeichenfolgen. In der Summe verwendeten gar nur 0,2 Prozent der RockYou-User Passwörter mit acht oder mehr sowie kombinierten Zeichen.
3. Verwenden Sie keine Namen, gängige Ausdrücke oder lexikalische Begriffe. Passwörter sollten auch keine Teile davon oder die E-Mail-Adresse enthalten.
Nahezu jedes der 5000 beliebtesten Passwörter bei RockYou hat diese Regel gebrochen, heißt es bei Imperva. Zudem sollten Anwender unterschiedliche Passwörter für verschiedene Seiten benutzen, nicht eins für alle. Und: Niemand sollte sein Passwort anderen anvertrauen, schon gar nicht, wenn die Aufforderung per E-Mail ins Haus flattert, sein Passwort irgendjemandem mitzuteilen.