Abo
  • IT-Karriere:

Passwortsicherheit: Die 100 beliebtesten Adobe-Passwörter

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
Passwort-Symbolbild
Passwort-Symbolbild (Bild: Marc Falardeau/Flickr.com/CC BY 2.0)

Unbekannte haben vor einiger Zeit eine nicht ganz unwichtige Datei aus dem Netz von Adobe kopiert. Wie vergangene Woche bekanntwurde, ist sie 3,8 Gigabyte groß und enthält die Nutzernummern und die verschlüsselten Passwörter von mindestens 38 Millionen aktiven Kunden des Unternehmens. Das zumindest ist die Zahl, die Adobe eingesteht. Sicherheitsanalysten schreiben, es seien sogar mehr als 150 Millionen Nutzerdatensätze darin enthalten.

Stellenmarkt
  1. Modis GmbH, Köln
  2. regiocom SE, Magdeburg

Die Passwörter selbst sind nicht lesbar, da sie in der Datei nur verschlüsselt gespeichert sind. Doch hat nun der Sicherheitsberater Jeremi Gosney mit ein wenig Deduktion und mit Hilfe des Adobe-Systems für vergessene Passwörter einen Teil davon entschlüsselt.

Was er dabei entdeckte, ist nicht neu, aber immer wieder erschreckend: Die meisten Menschen wählen trotz aller Warnungen Passwörter, die eigentlich keine sind.

Adobe fragte seine Kunden nach einem Passwort, und 1,9 Millionen Menschen gaben als Schlüssel für ihren Account den Ausdruck 123456 ein. Fast 450.000 Menschen war das zu unsicher, sie wählten lieber 123456789, und immerhin noch 345.000 schrieben password in das Feld. Sehr beliebt waren demnach auch Tastenabfolgen der Tastatur wie qwerty oder Sätze wie iloveyou.

Gosney hat eine Liste mit den 100 am meisten verwendeten Adobe-Passwörtern aus der gehackten Datei extrahiert. Der größte Teil davon ist so simpel aufgebaut wie die fünf Beispiele. Mehr als fünf Millionen Nutzer verlassen sich demnach darauf, dass niemand ihre Sicherheitsbegriffe wie 666666 oder computer errät.

Wirklich nur Wegwerfpasswörter?

Ähnliche Hacks bestätigen das Ergebnis. Sony kamen vor zwei Jahren viele Nutzerdaten abhanden. Hier eine Analyse der von Sony-Kunden verwendeten Passwörter, die zeigt, wie viele simple Strukturen nutzen.

Jürgen Schmidt, Chefredakteur von heise Security, schreibt, das sei eigentlich kein Problem. 123456 sei völlig okay und nicht "zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert."

Das setzt voraus, dass so leicht zu erratende Kombinationen wirklich nur für unwichtige Accounts genutzt werden und dass die meisten Menschen wichtige Dinge wie ihre Mails mit einem längeren und komplexeren Schlüssel abschließen. Eine schöne Hoffnung, die sich nicht unbedingt bestätigen lässt.

Nahezu bei jedem Hack, bei dem anschließend die Passwörter bekanntwurden, stand der Ausdruck 123456 in der Beliebtheit an erster Stelle. Beispielsweise bei Rockyou, einem Fotodienst, der 2009 aufgebrochen wurde. Immerhin ging es bei diesen Accounts um private Fotos.

Vor einiger Zeit versuchten Spammer, die Konten von Nutzern des E-Mail-Dienstes GMX zu kapern - indem sie die Passwörter errieten. In vielen Fällen gelang es ihnen.

Neue Sicherheitskonzepte

Der Kryptologe Bruce Schneier analysierte 2006 Daten eines Myspace-Hacks. Das beliebteste Passwort damals war "password1". Was er mit den Worten kommentierte: "We used to quip that 'password' is the most common password. Now it's 'password1'. Who said users haven't learned anything about security?" - "Wir haben immer gewitzelt, 'Passwort' sei das beliebteste Passwort. Jetzt ist es 'Passwort1'. Wer sagt, dass Nutzer nicht lernfähig sind?"

Der Mathematiker Joseph Bonneau von der Universität Cambridge zeigte in einer Studie, dass Angreifer ungefähr ein Prozent aller Accounts öffnen können, wenn sie pro Account zehnmal raten. Ein Prozent aller Konten mag wenig klingen, aber es gibt genügend Software, die das Passwortraten automatisiert und damit die Erfolgschance erhöht.

Passwörter sind lästig und komplexe Passwörter schwer zu merken. Noch dazu, wenn man für jeden Dienst ein anderes wählt, wie ebenfalls dringend empfohlen wird. Schmidt schreibt daher: "Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat - und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang."

Übrigens: Fingerabdruckscanner sind ebenfalls eine schlechte Idee, um etwas abzuschließen.



Anzeige
Top-Angebote
  1. 139,00€ (Bestpreis!)
  2. (aktuell u. a. Speedlink Velator Gaming-Tastatur für 9,99€, Deepcool New Ark Gehäuse für 249...
  3. 104,90€

Eheran 09. Nov 2013

Nein, so einfach ist das eben nicht. Wenn irgendwer einen anderen Weg findet (z.B...

Fuchs 08. Nov 2013

Hm ja, vermutlich schon. Ob Leerzeichen oder Bindestrich, die Wörter zu iterieren ist...

der_wahre_hannes 08. Nov 2013

"I tried changing my password to 'penis' but it said it wasn't long enough. :( "

borg 08. Nov 2013

Früher kannte man die Tslefonnummern von mindestens zwei Dutzend Bekannter ohne einen...

Gontah 07. Nov 2013

und immerhin noch 345.000 schrieben password in das Feld. Ist Ihnen bekannt, das man in...


Folgen Sie uns
       


Acer Predator Helios 700 - Hands on (Ifa 2019)

Was für ein skurriles Gerät: Golem.de schaut sich das Gaming-Notebook Predator Triton 700 von Acer an und probiert die Schiebetastatur aus.

Acer Predator Helios 700 - Hands on (Ifa 2019) Video aufrufen
Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
Surface Hub 2S angesehen
Das Surface Hub, das auch in kleine Meeting-Räume passt

Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
Ein Hands on von Oliver Nickel

  1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
  2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
  3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

Acer Predator Thronos im Sit on: Der Nerd-Olymp
Acer Predator Thronos im Sit on
Der Nerd-Olymp

Ifa 2019 Ob wir es nun den eisernen Thron oder den Sitz der Götter nennen: Der Predator Thronos von Acer fällt auf dem Messestand des Herstellers schon auf. Golem.de konnte den skurrilen Stuhl ausprobieren. Er ist eines Gaming-Kellers würdig.
Ein Hands on von Oliver Nickel

  1. Nitro XV273X Acer baut ersten Monitor mit IPS-Panel und 240 Hz
  2. Acer Beim Predator-Notebook fährt die Tastatur wie eine Rampe aus
  3. Geräte für Mediengestalter Acer gibt Verfügbarkeit der Concept-D-Laptops bekannt

    •  /