Anzeige
Passwort-Symbolbild
Passwort-Symbolbild (Bild: Marc Falardeau/Flickr.com/CC BY 2.0)

Passwortsicherheit Die 100 beliebtesten Adobe-Passwörter

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Anzeige

Unbekannte haben vor einiger Zeit eine nicht ganz unwichtige Datei aus dem Netz von Adobe kopiert. Wie vergangene Woche bekanntwurde, ist sie 3,8 Gigabyte groß und enthält die Nutzernummern und die verschlüsselten Passwörter von mindestens 38 Millionen aktiven Kunden des Unternehmens. Das zumindest ist die Zahl, die Adobe eingesteht. Sicherheitsanalysten schreiben, es seien sogar mehr als 150 Millionen Nutzerdatensätze darin enthalten.

Die Passwörter selbst sind nicht lesbar, da sie in der Datei nur verschlüsselt gespeichert sind. Doch hat nun der Sicherheitsberater Jeremi Gosney mit ein wenig Deduktion und mit Hilfe des Adobe-Systems für vergessene Passwörter einen Teil davon entschlüsselt.

Was er dabei entdeckte, ist nicht neu, aber immer wieder erschreckend: Die meisten Menschen wählen trotz aller Warnungen Passwörter, die eigentlich keine sind.

Adobe fragte seine Kunden nach einem Passwort, und 1,9 Millionen Menschen gaben als Schlüssel für ihren Account den Ausdruck 123456 ein. Fast 450.000 Menschen war das zu unsicher, sie wählten lieber 123456789, und immerhin noch 345.000 schrieben password in das Feld. Sehr beliebt waren demnach auch Tastenabfolgen der Tastatur wie qwerty oder Sätze wie iloveyou.

Gosney hat eine Liste mit den 100 am meisten verwendeten Adobe-Passwörtern aus der gehackten Datei extrahiert. Der größte Teil davon ist so simpel aufgebaut wie die fünf Beispiele. Mehr als fünf Millionen Nutzer verlassen sich demnach darauf, dass niemand ihre Sicherheitsbegriffe wie 666666 oder computer errät.

Wirklich nur Wegwerfpasswörter?

Ähnliche Hacks bestätigen das Ergebnis. Sony kamen vor zwei Jahren viele Nutzerdaten abhanden. Hier eine Analyse der von Sony-Kunden verwendeten Passwörter, die zeigt, wie viele simple Strukturen nutzen.

Jürgen Schmidt, Chefredakteur von heise Security, schreibt, das sei eigentlich kein Problem. 123456 sei völlig okay und nicht "zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert."

Das setzt voraus, dass so leicht zu erratende Kombinationen wirklich nur für unwichtige Accounts genutzt werden und dass die meisten Menschen wichtige Dinge wie ihre Mails mit einem längeren und komplexeren Schlüssel abschließen. Eine schöne Hoffnung, die sich nicht unbedingt bestätigen lässt.

Nahezu bei jedem Hack, bei dem anschließend die Passwörter bekanntwurden, stand der Ausdruck 123456 in der Beliebtheit an erster Stelle. Beispielsweise bei Rockyou, einem Fotodienst, der 2009 aufgebrochen wurde. Immerhin ging es bei diesen Accounts um private Fotos.

Vor einiger Zeit versuchten Spammer, die Konten von Nutzern des E-Mail-Dienstes GMX zu kapern - indem sie die Passwörter errieten. In vielen Fällen gelang es ihnen.

Neue Sicherheitskonzepte

Der Kryptologe Bruce Schneier analysierte 2006 Daten eines Myspace-Hacks. Das beliebteste Passwort damals war "password1". Was er mit den Worten kommentierte: "We used to quip that 'password' is the most common password. Now it's 'password1'. Who said users haven't learned anything about security?" - "Wir haben immer gewitzelt, 'Passwort' sei das beliebteste Passwort. Jetzt ist es 'Passwort1'. Wer sagt, dass Nutzer nicht lernfähig sind?"

Der Mathematiker Joseph Bonneau von der Universität Cambridge zeigte in einer Studie, dass Angreifer ungefähr ein Prozent aller Accounts öffnen können, wenn sie pro Account zehnmal raten. Ein Prozent aller Konten mag wenig klingen, aber es gibt genügend Software, die das Passwortraten automatisiert und damit die Erfolgschance erhöht.

Passwörter sind lästig und komplexe Passwörter schwer zu merken. Noch dazu, wenn man für jeden Dienst ein anderes wählt, wie ebenfalls dringend empfohlen wird. Schmidt schreibt daher: "Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat - und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang."

Übrigens: Fingerabdruckscanner sind ebenfalls eine schlechte Idee, um etwas abzuschließen.


eye home zur Startseite
Eheran 09. Nov 2013

Nein, so einfach ist das eben nicht. Wenn irgendwer einen anderen Weg findet (z.B...

Fuchs 08. Nov 2013

Hm ja, vermutlich schon. Ob Leerzeichen oder Bindestrich, die Wörter zu iterieren ist...

der_wahre_hannes 08. Nov 2013

"I tried changing my password to 'penis' but it said it wasn't long enough. :( "

borg 08. Nov 2013

Früher kannte man die Tslefonnummern von mindestens zwei Dutzend Bekannter ohne einen...

Gontah 07. Nov 2013

und immerhin noch 345.000 schrieben password in das Feld. Ist Ihnen bekannt, das man in...



Anzeige

Stellenmarkt
  1. Rücker + Schindele Beratende Ingenieure GmbH, München
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. eFulfilment Transaction Services GmbH, Ludwigsburg bei Stuttgart
  4. ckc group, Region Braunschweig/Wolfsburg


Anzeige
Hardware-Angebote
  1. nur 649,90€

Folgen Sie uns
       

  1. United Internet

    Festnetzbetreiber heißt jetzt 1&1 Versatel

  2. Kabelnetz

    Großflächige Störung bei Vodafone

  3. Google

    Nächste Android-Version heißt Nougat

  4. Pleurobot

    Bewegungen verstehen mit einem Robo-Salamander

  5. Überwachung

    Google sammelt Telefonprotokolle von Android-Geräten

  6. Fritzbox

    AVM veröffentlicht FAQ zur Routerfreiheit

  7. Wertschöpfungslücke

    Musiker beschweren sich bei EU-Kommission über Youtube

  8. Vodafone und Ericsson

    Prototyp eines 5G-Netzes in Deutschland

  9. Slim

    Hinweise auf schlanke Playstation 4

  10. Wasserwaagen-App

    Android-Trojaner im Play Store installiert ungewollt Apps



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zelda Breath of the Wild angespielt: Das Versprechen von 1986 wird eingelöst
Zelda Breath of the Wild angespielt
Das Versprechen von 1986 wird eingelöst

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

Trials of the Blood Dragon im Test: Motorräder im B-Movie-Rausch
Trials of the Blood Dragon im Test
Motorräder im B-Movie-Rausch
  1. Anki Cozmo Kleiner Roboter als eigensinniger Spielkamerad
  2. Crowdfunding Echtwelt-Survival-Spiel Reroll gescheitert
  3. Anki Overdrive Mit dem Truck auf der Rennbahn

  1. Re: Triggert dass das Knox Bit bei den Samsung...

    Mumu | 06:04

  2. Re: Auch wenn es hart klingt...

    Moe479 | 06:01

  3. Re: Krass

    Prinzeumel | 05:53

  4. Re: Die Firma Braun könnte Apple ebenso verklagen.

    Iomegan | 05:25

  5. als bislang bekannt?

    HibikiTaisuna | 05:23


  1. 06:00

  2. 22:47

  3. 19:06

  4. 18:38

  5. 17:19

  6. 16:19

  7. 16:04

  8. 15:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel