Abo
  • Services:
Anzeige
Passwort-Symbolbild
Passwort-Symbolbild (Bild: Marc Falardeau/Flickr.com/CC BY 2.0)

Passwortsicherheit Die 100 beliebtesten Adobe-Passwörter

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Anzeige

Unbekannte haben vor einiger Zeit eine nicht ganz unwichtige Datei aus dem Netz von Adobe kopiert. Wie vergangene Woche bekanntwurde, ist sie 3,8 Gigabyte groß und enthält die Nutzernummern und die verschlüsselten Passwörter von mindestens 38 Millionen aktiven Kunden des Unternehmens. Das zumindest ist die Zahl, die Adobe eingesteht. Sicherheitsanalysten schreiben, es seien sogar mehr als 150 Millionen Nutzerdatensätze darin enthalten.

Die Passwörter selbst sind nicht lesbar, da sie in der Datei nur verschlüsselt gespeichert sind. Doch hat nun der Sicherheitsberater Jeremi Gosney mit ein wenig Deduktion und mit Hilfe des Adobe-Systems für vergessene Passwörter einen Teil davon entschlüsselt.

Was er dabei entdeckte, ist nicht neu, aber immer wieder erschreckend: Die meisten Menschen wählen trotz aller Warnungen Passwörter, die eigentlich keine sind.

Adobe fragte seine Kunden nach einem Passwort, und 1,9 Millionen Menschen gaben als Schlüssel für ihren Account den Ausdruck 123456 ein. Fast 450.000 Menschen war das zu unsicher, sie wählten lieber 123456789, und immerhin noch 345.000 schrieben password in das Feld. Sehr beliebt waren demnach auch Tastenabfolgen der Tastatur wie qwerty oder Sätze wie iloveyou.

Gosney hat eine Liste mit den 100 am meisten verwendeten Adobe-Passwörtern aus der gehackten Datei extrahiert. Der größte Teil davon ist so simpel aufgebaut wie die fünf Beispiele. Mehr als fünf Millionen Nutzer verlassen sich demnach darauf, dass niemand ihre Sicherheitsbegriffe wie 666666 oder computer errät.

Wirklich nur Wegwerfpasswörter?

Ähnliche Hacks bestätigen das Ergebnis. Sony kamen vor zwei Jahren viele Nutzerdaten abhanden. Hier eine Analyse der von Sony-Kunden verwendeten Passwörter, die zeigt, wie viele simple Strukturen nutzen.

Jürgen Schmidt, Chefredakteur von heise Security, schreibt, das sei eigentlich kein Problem. 123456 sei völlig okay und nicht "zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert."

Das setzt voraus, dass so leicht zu erratende Kombinationen wirklich nur für unwichtige Accounts genutzt werden und dass die meisten Menschen wichtige Dinge wie ihre Mails mit einem längeren und komplexeren Schlüssel abschließen. Eine schöne Hoffnung, die sich nicht unbedingt bestätigen lässt.

Nahezu bei jedem Hack, bei dem anschließend die Passwörter bekanntwurden, stand der Ausdruck 123456 in der Beliebtheit an erster Stelle. Beispielsweise bei Rockyou, einem Fotodienst, der 2009 aufgebrochen wurde. Immerhin ging es bei diesen Accounts um private Fotos.

Vor einiger Zeit versuchten Spammer, die Konten von Nutzern des E-Mail-Dienstes GMX zu kapern - indem sie die Passwörter errieten. In vielen Fällen gelang es ihnen.

Neue Sicherheitskonzepte

Der Kryptologe Bruce Schneier analysierte 2006 Daten eines Myspace-Hacks. Das beliebteste Passwort damals war "password1". Was er mit den Worten kommentierte: "We used to quip that 'password' is the most common password. Now it's 'password1'. Who said users haven't learned anything about security?" - "Wir haben immer gewitzelt, 'Passwort' sei das beliebteste Passwort. Jetzt ist es 'Passwort1'. Wer sagt, dass Nutzer nicht lernfähig sind?"

Der Mathematiker Joseph Bonneau von der Universität Cambridge zeigte in einer Studie, dass Angreifer ungefähr ein Prozent aller Accounts öffnen können, wenn sie pro Account zehnmal raten. Ein Prozent aller Konten mag wenig klingen, aber es gibt genügend Software, die das Passwortraten automatisiert und damit die Erfolgschance erhöht.

Passwörter sind lästig und komplexe Passwörter schwer zu merken. Noch dazu, wenn man für jeden Dienst ein anderes wählt, wie ebenfalls dringend empfohlen wird. Schmidt schreibt daher: "Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat - und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang."

Übrigens: Fingerabdruckscanner sind ebenfalls eine schlechte Idee, um etwas abzuschließen.


eye home zur Startseite
Eheran 09. Nov 2013

Nein, so einfach ist das eben nicht. Wenn irgendwer einen anderen Weg findet (z.B...

Fuchs 08. Nov 2013

Hm ja, vermutlich schon. Ob Leerzeichen oder Bindestrich, die Wörter zu iterieren ist...

der_wahre_hannes 08. Nov 2013

"I tried changing my password to 'penis' but it said it wasn't long enough. :( "

borg 08. Nov 2013

Früher kannte man die Tslefonnummern von mindestens zwei Dutzend Bekannter ohne einen...

Gontah 07. Nov 2013

und immerhin noch 345.000 schrieben password in das Feld. Ist Ihnen bekannt, das man in...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Daimler AG, Leinfelden-Echterdingen
  3. PSI Logistics GmbH, Aschaffenburg, Dortmund
  4. Baden-Württembergischer Genossenschaftsverband e.V., Stuttgart


Anzeige
Spiele-Angebote
  1. (-74%) 10,49€
  2. (-66%) 6,80€
  3. 79,98€ + 5€ Rabatt (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

  1. Unternehmen

    1&1 Versatel bietet Gigabit für Frankfurt

  2. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  3. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  4. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  5. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  6. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  7. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  8. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  9. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  10. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Was man hätte tun müssen damit es nicht scheitert

    schily | 19:12

  2. Re: Zwei oder drei Sekunden = niedrige Latenz?

    tingelchen | 19:11

  3. Re: Er sollte sich mal Blender ansehen

    Cystasy | 19:09

  4. Man ließt ja viel von irgendwelchen...

    Tuxgamer12 | 19:08

  5. Emuliert?

    superdachs | 19:08


  1. 18:46

  2. 17:54

  3. 17:38

  4. 16:38

  5. 16:28

  6. 15:53

  7. 15:38

  8. 15:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel