Klar, nicht in jedem Fall, aber viel häufiger, als man denkt. Im Kern wäre das Login über ein Passwort eine sichere Sache, sofern User sich an altbekannte und seit Jahren gepredigte Regeln halten würden. Das tun sie jedoch oftmals nicht. Zahlreiche Dienste arbeiten heute noch nicht mit Multi-Faktor-Authentifizierung, das Passwort genügt und gibt den Zutritt frei. Deshalb wird das Login immer wieder auch für Angreifer zum Kinderspiel. Ein Blick auf die Hitparade der meist gewählten Passwörter zeigt, dass Regeln, Handbücher und Anleitungen zum starken Passwort ziemlich wirkungslos bleiben.
Die Top Ten deutscher Passwörter
Wissenschaftler des Hasso-Plattner-Instituts (HPI) haben im Rahmen einer Studie rund 1 Milliarde (geleakter) Nutzerkonten analysiert. Das weltweit meistbenutzte und Passwort, das für alle Interessierten als Einladung verstanden werden darf:
123456
Bei den deutschen Passwörtern wird's nicht unglaublich viel schwieriger. Innerhalb derselben Studie sind die Top Ten der beliebtesten deutschen Passwörter aus rund 30 Millionen Nutzerkonten ermittelt worden. Für die meisten braucht's weder einen ausgedehnten Brute-Force-Angriff noch ausgeklügelte Software – die Passwörter sind im Handumdrehen geknackt, oftmals genügt blosses Ausprobieren von Hand:
| 1. hallo | 6. qwertz | ||||||||||||||||||||
| 2. passwort | 7. arschloch | ||||||||||||||||||||
| 3. hallo123 | 8. schatz | ||||||||||||||||||||
| 4. schalke04 | 9. hallo1 | ||||||||||||||||||||
| 5. passwort1 | 10. ficken |
Zeit für sichere Lösungen
Das Internet ist voll von Tipps und Regeln, was ein Passwort zu einem wirklich guten Passwort macht. Und wie man mit einem starken Passwort umgehen sollte, damit es nicht in falsche Hände gerät. Bei einem beträchtlichen Teil von Nutzern vergebliche Liebesmüh, sie ziehen ein kurzes und simples Passwort vor, das zudem jederzeit verfügbar auf dem Post-it am Monitor abgelesen werden kann. Dieses Verhalten braucht man als Diensteanbieter nicht zu bewerten, es genügt, das als schlichte Tatsache zu akzeptieren. Und User mit neuen Verfahren vor sich selbst zu schützen.
Höchste Zeit, das Passwort zu ersetzen durch Authentifizierungs-Verfahren, die dem User weniger Spielraum lassen, sich und seine Accounts widerstandslos auszuliefern. Zahlreiche intelligente Technologien über Stimme, Fingerabdruck oder andere biometrische Merkmale sind verfügbar und die Digital Identity ist ebenfalls Realität.
Hasso-Plattner-Institut (HPI): Details zur Studie
Stichworte im Lexikon zum Thema: Authentifizierung | Biometrische Authentifizierung | Digital Identity