Passwortsicherheit: Die 100 beliebtesten Adobe-Passwörter

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Artikel veröffentlicht am , Kai Biermann/Zeit Online
Passwort-Symbolbild
Passwort-Symbolbild (Bild: Marc Falardeau/Flickr.com/CC BY 2.0)

Unbekannte haben vor einiger Zeit eine nicht ganz unwichtige Datei aus dem Netz von Adobe kopiert. Wie vergangene Woche bekanntwurde, ist sie 3,8 Gigabyte groß und enthält die Nutzernummern und die verschlüsselten Passwörter von mindestens 38 Millionen aktiven Kunden des Unternehmens. Das zumindest ist die Zahl, die Adobe eingesteht. Sicherheitsanalysten schreiben, es seien sogar mehr als 150 Millionen Nutzerdatensätze darin enthalten.

Die Passwörter selbst sind nicht lesbar, da sie in der Datei nur verschlüsselt gespeichert sind. Doch hat nun der Sicherheitsberater Jeremi Gosney mit ein wenig Deduktion und mit Hilfe des Adobe-Systems für vergessene Passwörter einen Teil davon entschlüsselt.

Was er dabei entdeckte, ist nicht neu, aber immer wieder erschreckend: Die meisten Menschen wählen trotz aller Warnungen Passwörter, die eigentlich keine sind.

Adobe fragte seine Kunden nach einem Passwort, und 1,9 Millionen Menschen gaben als Schlüssel für ihren Account den Ausdruck 123456 ein. Fast 450.000 Menschen war das zu unsicher, sie wählten lieber 123456789, und immerhin noch 345.000 schrieben password in das Feld. Sehr beliebt waren demnach auch Tastenabfolgen der Tastatur wie qwerty oder Sätze wie iloveyou.

Gosney hat eine Liste mit den 100 am meisten verwendeten Adobe-Passwörtern aus der gehackten Datei extrahiert. Der größte Teil davon ist so simpel aufgebaut wie die fünf Beispiele. Mehr als fünf Millionen Nutzer verlassen sich demnach darauf, dass niemand ihre Sicherheitsbegriffe wie 666666 oder computer errät.

Wirklich nur Wegwerfpasswörter?

Ähnliche Hacks bestätigen das Ergebnis. Sony kamen vor zwei Jahren viele Nutzerdaten abhanden. Hier eine Analyse der von Sony-Kunden verwendeten Passwörter, die zeigt, wie viele simple Strukturen nutzen.

Jürgen Schmidt, Chefredakteur von heise Security, schreibt, das sei eigentlich kein Problem. 123456 sei völlig okay und nicht "zwangsläufig ein schlechtes Passwort und sein Benutzer kein grenzdebiler Idiot. Es ist ein Wegwerf-Passwort und ich habe selbst eine ganze Reihe von Konten mit ähnlichen Passwörtern. Aus dem einfachen Grund: Der Account ist mir kein richtiges Passwort wert."

Das setzt voraus, dass so leicht zu erratende Kombinationen wirklich nur für unwichtige Accounts genutzt werden und dass die meisten Menschen wichtige Dinge wie ihre Mails mit einem längeren und komplexeren Schlüssel abschließen. Eine schöne Hoffnung, die sich nicht unbedingt bestätigen lässt.

Nahezu bei jedem Hack, bei dem anschließend die Passwörter bekanntwurden, stand der Ausdruck 123456 in der Beliebtheit an erster Stelle. Beispielsweise bei Rockyou, einem Fotodienst, der 2009 aufgebrochen wurde. Immerhin ging es bei diesen Accounts um private Fotos.

Vor einiger Zeit versuchten Spammer, die Konten von Nutzern des E-Mail-Dienstes GMX zu kapern - indem sie die Passwörter errieten. In vielen Fällen gelang es ihnen.

Neue Sicherheitskonzepte

Der Kryptologe Bruce Schneier analysierte 2006 Daten eines Myspace-Hacks. Das beliebteste Passwort damals war "password1". Was er mit den Worten kommentierte: "We used to quip that 'password' is the most common password. Now it's 'password1'. Who said users haven't learned anything about security?" - "Wir haben immer gewitzelt, 'Passwort' sei das beliebteste Passwort. Jetzt ist es 'Passwort1'. Wer sagt, dass Nutzer nicht lernfähig sind?"

Der Mathematiker Joseph Bonneau von der Universität Cambridge zeigte in einer Studie, dass Angreifer ungefähr ein Prozent aller Accounts öffnen können, wenn sie pro Account zehnmal raten. Ein Prozent aller Konten mag wenig klingen, aber es gibt genügend Software, die das Passwortraten automatisiert und damit die Erfolgschance erhöht.

Passwörter sind lästig und komplexe Passwörter schwer zu merken. Noch dazu, wenn man für jeden Dienst ein anderes wählt, wie ebenfalls dringend empfohlen wird. Schmidt schreibt daher: "Passwörter sind kostbar. Und wenn wir aus dem Passwort-Dilemma raus wollen, müssen sich Adobe & Co bessere Konzepte einfallen lassen, wie wir uns im Internet ausweisen. Und zwar solche, bei denen wir bestimmen, wer wann Zugriff auf welche Daten hat - und wer die für uns verwalten darf. OAuth und OpenID sind da bestenfalls ein Anfang."

Übrigens: Fingerabdruckscanner sind ebenfalls eine schlechte Idee, um etwas abzuschließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Sicherheitsupdate
Adobe verärgert mit Browsererweiterung
Meistgelesen
artikel-bild
CS GO mit Source 2
Das ist Valves Counter-Strike 2
artikel-bild
Offenbach am Main
Anwohnerparkausweis wegen zu schwerem E-Auto entzogen
artikel-bild
Akkutechnik
4695-Akku schafft 40 Prozent mehr Reichweite als Tesla
Kommentarübersicht
Re: Satz mit Leerzeichen = unknackbares Passwort
Eheran 09. Nov 2013

Nein, so einfach ist das eben nicht. Wenn irgendwer einen anderen Weg findet (z.B...

Re: Der Chefredakteur von Heise Security ...
Fuchs 08. Nov 2013

Hm ja, vermutlich schon. Ob Leerzeichen oder Bindestrich, die Wörter zu iterieren ist...

Re: 123456 ist doch viel zu kompliziert zu merken...
der_wahre_hannes 08. Nov 2013

"I tried changing my password to 'penis' but it said it wasn't long enough. :( "

früher und heute
borg 08. Nov 2013

Früher kannte man die Tslefonnummern von mindestens zwei Dutzend Bekannter ohne einen...

Aktuell auf der Startseite von Golem.de
A Plague Tale Requiem
Mit den richtigen Tricks schaffen kleine Teams tolle Grafik

GDC 2023 A Plague Tale Requiem sieht spektakulär aus - trotz eines relativ kleinen Teams und mit wenig Budget. Ein Macher erklärt, wie das funktioniert hat.

A Plague Tale Requiem: Mit den richtigen Tricks schaffen kleine Teams tolle Grafik
Artikel
  1. Android: Pebble-Macher planen kleines Android-Smartphone
    Android
    Pebble-Macher planen kleines Android-Smartphone

    Pebble-Gründer Eric Migicovsky wünscht sich ein kleines Smartphone - und scheint auf dem Weg zu sein, ein eigenes Modell zu bauen.

  2. CS GO mit Source 2: Das ist Valves Counter-Strike 2
    CS GO mit Source 2
    Das ist Valves Counter-Strike 2

    Es ist offiziell: Valve stellt Counter-Strike 2 vor. Die Source-2-Engine bringt neues Gameplay und soll klassische Tickraten loswerden.

  3. Zum Tod von Spiros Simitis: The Godfather of Datenschutz
    Zum Tod von Spiros Simitis
    The Godfather of Datenschutz

    Spiros Simitis, Wegbereiter des deutschen und europäischen Datenschutzes, ist gestorben. Was hätte er wohl zu den aktuellen Plänen gesagt, gigantische Mengen an Patientendaten der Wissenschaft zur Verfügung zu stellen?
    Ein Nachruf von Christiane Schulzki-Haddouti

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Ryzen 9 7900X3D 619€ • Crucial SSD 2TB (PS5) 158€ • Neu: Amazon Smart TVs ab 189€ • Nur bis 24.03.: 38GB Allnet-Flat 12,99€ • MindStar: Ryzen 9 5900X 319€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Spiel 569€ • LG OLED TV -57% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /