Abo
  • Services:

Passwortsicherheit: Die 100 beliebtesten Adobe-Passwörter

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
Passwort-Symbolbild
Passwort-Symbolbild (Bild: Marc Falardeau/Flickr.com/CC BY 2.0)

Unbekannte haben vor einiger Zeit eine nicht ganz unwichtige Datei aus dem Netz von Adobe kopiert. Wie vergangene Woche bekanntwurde, ist sie 3,8 Gigabyte groß und enthält die Nutzernummern und die verschlüsselten Passwörter von mindestens 38 Millionen aktiven Kunden des Unternehmens. Das zumindest ist die Zahl, die Adobe eingesteht. Sicherheitsanalysten schreiben, es seien sogar mehr als 150 Millionen Nutzerdatensätze darin enthalten.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Versicherungskammer Bayern, Saarbrücken, München

Die Passwörter selbst sind nicht lesbar, da sie in der Datei nur verschlüsselt gespeichert sind. Doch hat nun der Sicherheitsberater Jeremi Gosney mit ein wenig Deduktion und mit Hilfe des Adobe-Systems für vergessene Passwörter einen Teil davon entschlüsselt.

Was er dabei entdeckte, ist nicht neu, aber immer wieder erschreckend: Die meisten Menschen wählen trotz aller Warnungen Passwörter, die eigentlich keine sind.

Adobe fragte seine Kunden nach einem Passwort, und 1,9 Millionen Menschen gaben als Schlüssel für ihren Account den Ausdruck 123456 ein. Fast 450.000 Menschen war das zu unsicher, sie wählten lieber 123456789, und immerhin noch 345.000 schrieben password in das Feld. Sehr beliebt waren demnach auch Tastenabfolgen der Tastatur wie qwerty oder Sätze wie iloveyou.

Gosney hat eine Liste mit den 100 am meisten verwendeten Adobe-Passwörtern aus der gehackten Datei extrahiert. Der größte Teil davon ist so simpel aufgebaut wie die fünf Beispiele. Mehr als fünf Millionen Nutzer verlassen sich demnach darauf, dass niemand ihre Sicherheitsbegriffe wie 666666 oder computer errät.

Wirklich nur Wegwerfpasswörter?

Ähnliche Hacks bestätigen das Ergebnis. Sony kamen vor zwei Jahren viele Nutzerdaten abhanden. Hier eine Analyse der von Sony-Kunden verwendeten Passwörter, die zeigt, wie viele simple Strukturen nutzen.

Jürgen Schmidt, Chefredakteur von heise Security, schreibt, das sei eigentlich kein Problem. 123456 sei völlig okay und nicht "zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert."

Das setzt voraus, dass so leicht zu erratende Kombinationen wirklich nur für unwichtige Accounts genutzt werden und dass die meisten Menschen wichtige Dinge wie ihre Mails mit einem längeren und komplexeren Schlüssel abschließen. Eine schöne Hoffnung, die sich nicht unbedingt bestätigen lässt.

Nahezu bei jedem Hack, bei dem anschließend die Passwörter bekanntwurden, stand der Ausdruck 123456 in der Beliebtheit an erster Stelle. Beispielsweise bei Rockyou, einem Fotodienst, der 2009 aufgebrochen wurde. Immerhin ging es bei diesen Accounts um private Fotos.

Vor einiger Zeit versuchten Spammer, die Konten von Nutzern des E-Mail-Dienstes GMX zu kapern - indem sie die Passwörter errieten. In vielen Fällen gelang es ihnen.

Neue Sicherheitskonzepte

Der Kryptologe Bruce Schneier analysierte 2006 Daten eines Myspace-Hacks. Das beliebteste Passwort damals war "password1". Was er mit den Worten kommentierte: "We used to quip that 'password' is the most common password. Now it's 'password1'. Who said users haven't learned anything about security?" - "Wir haben immer gewitzelt, 'Passwort' sei das beliebteste Passwort. Jetzt ist es 'Passwort1'. Wer sagt, dass Nutzer nicht lernfähig sind?"

Der Mathematiker Joseph Bonneau von der Universität Cambridge zeigte in einer Studie, dass Angreifer ungefähr ein Prozent aller Accounts öffnen können, wenn sie pro Account zehnmal raten. Ein Prozent aller Konten mag wenig klingen, aber es gibt genügend Software, die das Passwortraten automatisiert und damit die Erfolgschance erhöht.

Passwörter sind lästig und komplexe Passwörter schwer zu merken. Noch dazu, wenn man für jeden Dienst ein anderes wählt, wie ebenfalls dringend empfohlen wird. Schmidt schreibt daher: "Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat - und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang."

Übrigens: Fingerabdruckscanner sind ebenfalls eine schlechte Idee, um etwas abzuschließen.



Anzeige
Top-Angebote
  1. (u. a. DOOM für 6,99€, Assassin's Creed Odyssey für 49,99€ und Civilization VI - Digital...
  2. (u. a. UE65NU7409 für 849€ statt 1.039,98€ im Vergleich)
  3. 39,98€ (Vergleichspreis ca. 72€)
  4. ab 519€ bei Alternate lieferbar

Eheran 09. Nov 2013

Nein, so einfach ist das eben nicht. Wenn irgendwer einen anderen Weg findet (z.B...

Fuchs 08. Nov 2013

Hm ja, vermutlich schon. Ob Leerzeichen oder Bindestrich, die Wörter zu iterieren ist...

der_wahre_hannes 08. Nov 2013

"I tried changing my password to 'penis' but it said it wasn't long enough. :( "

borg 08. Nov 2013

Früher kannte man die Tslefonnummern von mindestens zwei Dutzend Bekannter ohne einen...

Gontah 07. Nov 2013

und immerhin noch 345.000 schrieben password in das Feld. Ist Ihnen bekannt, das man in...


Folgen Sie uns
       


Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /