Ein neuer Tag, eine neue Seite, die verlangt, dass Sie ein neues Konto erstellen, um ihre Inhalte sehen zu können. Und das bedeutet, dass Sie sich ein weiteres neues Passwort ausdenken müssen.
Natürlich könnten Sie einfach das gleiche Passwort verwenden, das Sie bereits für die letzte Seite verwendet haben, die Ihnen das abverlangt hat.
Aber Sie haben gehört, dass das keine gute Idee ist, also versuchen Sie, etwas Einzigartiges zu finden.
Eine Reihe zufälliger Zeichen, einige zusammenhangslose Wörter, eine bizarre Phrase… was auch immer Sie wählen, wir beglückwünschen Sie dazu.
Denn Sie haben es vermieden, eines der am häufigsten im Internet verwendeten Passwörter zu nutzen.
Diese Passwörter mögen im Beliebtheitswettbewerb gewinnen, doch beim Sicherheitstest scheitern sie völlig. Faul, leicht zu erraten und einfach nur schrecklich – sie sind so unsicher, dass es fast dasselbe ist, als hätten Sie überhaupt kein Passwort.
Wenn ein Hacker versucht, Ihre Konten zu stehlen, wird er zuerst diese Passwörter ausprobieren. Erleichtern Sie ihm seine Arbeit nicht — vermeiden Sie diese beliebten Passwörter um jeden Preis!
Befolgen Sie stattdessen unsere besten Passwortpraktiken und sichern Sie Ihre Online-Präsenz gegen Hacker. Ein paar Minuten jetzt können Ihnen später stundenlange Kopfschmerzen ersparen.
Die beliebtesten Passwörter
Verschiedene Organisationen veröffentlichen jährlich Listen der gebräuchlichsten (sprich, schlechtesten) Passwörter.
Im Großen und Ganzen sind diese Listen ziemlich vorhersehbar. Und das illustriert ihren Punkt: Jeder könnte diese Passwörter erraten.
Hier sind drei dieser Listen und die Methoden, die verwendet wurden, um sie zu erstellen.
Falls dein Passwort auf diesen Listen steht, ändere es sofort zu etwas völlig anderem. Komme dann zurück, lies unseren Leitfaden zur Passwortsicherheit und lerne, wie du deine Anmeldedaten wirklich sicherst.
Die 100 schlechtesten Passwörter 2018 von SplashData
Jedes Jahr veröffentlicht SplashData, ein Unternehmen, das Passwortmanager herstellt, eine Liste der 100 beliebtesten Passwörter.
Die begleitenden Statistiken sind ein wenig erschreckend: etwa 10% der Menschen haben eines der 25 schlechtesten Passwörter benutzt. 3% haben das allerschlechteste Passwort benutzt – das ist erstaunlich und unglaublich gefährlich.
SplashData hat die Liste erstellt, indem es die Millionen von Passwörtern analysiert hat, die bei Datenpannen durchgesickert sind.
Sie hatten sicherlich genug Material zur Verfügung: Im Jahr 2018 wurden allein in den USA 446,52 Millionen Datensätze durchgesickert.
Werfen wir einen Blick auf die 25 schlechtesten Passwörter aus der SplashData-Liste 2018:
1. 1234562. password3. 1234567894. 123456785. 123456. 1111117. 12345678. sunshine9. qwerty10. iloveyou11. princess12. admin13. welcome14. 66666615. abc12316. football17. 12312318. monkey19. 65432120. !@#$%^&*21. charlie22. aa12345623. donald24. password125. qwerty123
Analyse der schlechtesten Passwörter von SplashData
Es gibt hier ein paar klare Trends: Reihen von Tasten (qwerty, 123456, !@#$%^&*) machen die Eingabe sicherlich leicht möglich.
Einige Variationen (12345678, qwerty123, aa123456) scheinen klar darauf ausgerichtet zu sein, das von vielen Websites aufgelegte Minimum von 8 Zeichen zu erfüllen.
Wir haben auch die omnipräsenten Standardpasswörter: Passwort, Admin, Willkommen. Faulheit oder Unwissenheit haben Millionen von Menschen daran gehindert, ihre Passwörter von ihrem Ausgangszustand zu ändern — schrecklich!
Offensichtlich ändern einige Leute ihr Passwort in ein einfaches Wort oder eine einfache Phrase (Affe, Fußball, Ichliebedich) und denken, das sei ausreichend.
Offensichtlich ist es das nicht, da Millionen andere dieselbe Idee hatten.
Und wir scheinen auch einige echte Namen (Donald, Charlie) und Kosenamen (Sonnenschein, Prinzessin) in weitem Umlauf zu haben.
Die einzige echte Überraschung ist die neue Hinzufügung von 666666. Ein Zeichen für den Aufstieg des Teufels, eine Reflexion der allgemeinen Verachtung für den Zustand der Welt — oder wahrscheinlicher, schlichte Faulheit.
Die vollständige Liste der 100 schlechtesten Passwörter von SplashData offenbart einige interessante Trends.
Häufige Namen (Daniel, Joshua, Hannah, Thomas, Jessica, George) sind in den Top 50 vertreten. Andere Namen klingen, als könnten sie beliebten Haustieren gehören: Shadow, Buster, Bailey, Ginger, Tigger und Harley sind ebenfalls auf der Liste.
Einige beliebte Passwörter zeigen eine gewisse Verärgerung über das Konzept von Passwörtern: letmein, blahblah, whatever, trustno1, biteme.
Einige sind schlichte Variationen anderer geläufiger Passwörter: querty, 1qaz2wsx, zaq1zaq1.
Jahreszahlen (1991, 1990, 1989), Autos (Mercedes, Corvette, Ferrari), Sportarten (Baseball, Lakers, Maverick, Liverpool, Hockey) und einige Sonderfälle (Starwars, Cheese, Killer, Pussy) runden die Top 100 ab.
Die Liste des National Cyber Security Centre der schlechtesten Passwörter 2019
Das britische National Cyber Security Centre (NCSC) hat in Zusammenarbeit mit Troy Hunt von der Datenbank für Sicherheitsverletzungen HaveIBeenPwned eine Liste der im Jahr 2019 am häufigsten verwendeten Passwörter erstellt.
Die Sammlung geleakter Passwörter von HaveIBeenPwned umfasst mehr als 100 Millionen Passwörter. In dieser Sammlung gibt es über 23 Millionen Vorkommen des Passworts 123456!
Nach Analyse all dieser Passwörter hat das NCSC eine Liste der 100.000 häufigsten Passwörter (TXT-Datei-Link) erstellt. Wir teilen hier jedoch nur die Top 20 mit Ihnen.
1. 1234562. 1234567893. qwerty4. password5. 11111116. 123456787. abc1238. 12345679. password110. 1234511. 123456789012. 12312313. 00000014. iloveyou15. 123416. 1q2w3e4r5t17. qwertyuiop18. 12319. monkey20. dragon
Analyse der 20 schlechtesten Passwörter des NCSC
Dies ist die neueste Liste der gängigsten Passwörter. Und es zeigt, dass wir nicht besser im Umgang mit schlechten Passwörtern geworden sind.
Variationen von qwerty und 123456 machen den Großteil dieser Liste aus. Alte Gewohnheiten sterben offensichtlich schwer.
Überraschenderweise gibt es auch einige sehr kurze Passwörter: 123, 1234 und 12345.
Selbst die unsichersten Websites verlangen normalerweise mindestens sechs Zeichen für Passwörter. Daher ist das Vorkommen dieser drei-, vier- und fünfstelligen Passwörter recht schockierend.
Es ist ein Beweis dafür, dass nicht nur User schlechte Passwörter perpetuieren – auch Websites tun das.
Andere als Passwörter wie “qwerty” und ähnliches, sind die einzigen nicht numerischen Passwörter hier “iloveyou”, “monkey” und “dragon”. “Dragon” ist ein wenig unerwartet, mit fast 1 Million Auftritten auf HaveIBeenPwned.
Nerdig genug, um “dragon” als Passwort zu verwenden, aber nicht nerdig genug zu wissen, dass das eine schlechte Idee ist.
Interessant, aber dennoch gefährlich. Ein echter Drache könnte weniger bedrohlich sein als dieses Passwort!
Die 25 am häufigsten verwendeten Passwörter des Jahres 2016 laut Keeper
Die Liste der häufig verwendeten Passwörter des Passwort-Managers Keeper stammt aus dem Jahr 2016 und wurde aus mehr als 10 Millionen in diesem Jahr durchgesickerten Passwörtern zusammengestellt.
Aber sie gibt nach wie vor viele Aufschlüsse über unsere Passwort-Auswahl und Gewohnheiten, sowie über sehr interessante Bot-Aktivitäten.
Diese 25 Passwörter machen über 50% der mehr als 10 Millionen durchgesickerten Passwörter (PDF-Link) aus.
Das am häufigsten genutzte Passwort machte fast 17% von diesen 10 Millionen aus – absolut atemberaubend.
Ohne weiteres Zögern die 25 häufigsten Passwörter laut Keeper.
1. 1234562. 1234567893. qwerty4. 123456785. 1111116. 12345678907. 12345678. password9. 12312310. 98765432111. qwertyuiop12. mynoob13. 12332114. 66666615. 18atcskd2w16. 777777717. 1q2w3e4r18. 65432119. 55555520. 3rjs1la7qe21. google22. 1q2w3e4r5t23. 123qwe24. zxcvbnm25. 1q2w3e
Analyse der schlechtesten Passwörter von Keeper
Wie in anderen Listen, nimmt 123456 den ersten Platz ein. Andere, längere Variationen (123456789, 12345567890, 987654321) sind ebenfalls vorhanden – wahrscheinlich aufgrund von Mindestanforderungen von 8 Zeichen.
Einmal mehr besetzen ‘password’ und ‘qwerty’ zwei der obersten Plätze.
Letzteres weist auch einige interessante, aber gleichermaßen unsichere Abwandlungen auf: qwertyuiop, 1q2w3e4r, 1q2w3e4r5t und das Gegenstück in der unteren Reihe zxcvbnm.
Der teuflisch dumme 666666 wird von den gleich langen Tastendrücken 111111, 555555 und 7777777 begleitet. Man muss es dem Letzteren zugutehalten – immerhin sind es sieben!
Ein paar davon – google, mynoob – wären lustig, wenn sie nicht so schrecklich wären.
Aber was ist mit den ungewöhnlichen 3rjs1la7qe und 18atcskd2w? Diese folgen keinem erkennbaren Muster und scheinen sicherer als der Rest dieser Passwörter, also was gibt’s?
Laut Cybersicherheitsexperte Graham Cluley werden diese beiden Passwörter häufig von Bots verwendet, um Spam-E-Mails einzurichten.
Automatisierte Software erstellt Konten auf kostenlosen E-Mail-Seiten und verwendet immer das gleiche Passwort, um effizient zu agieren. Diese Dummy-Konten werden dann zum Versenden von Phishing- oder Spam-E-Mails verwendet.
Als die E-Mail-Anbieter gehackt wurden, waren unter den Datenlecks auch Tausende von Bot-Konten, die diese beiden Passwörter genutzt hatten.
Das verdeutlicht, wie viele Bots für das Versenden von E-Mails im Netz unterwegs sind – genug, um auf die Liste der schlechtesten Passwörter von Keeper zu gelangen.
Die besten Praktiken für Passwörter
Es sollte offensichtlich sein, dass keines der Passwörter auf dieser Liste jemals genutzt werden sollte.
Sie werden die ersten sein, die automatisierte Hacking-Bots ausprobieren, wenn sie versuchen, auf Ihre Konten zuzugreifen. Aber sie werden dort nicht aufhören.
Es ist von entscheidender Bedeutung, dass Sie diese Best Practices bei der Erstellung von Passwörtern befolgen. Ein Nichtbefolgen könnte durchaus zu Konto-Sperrungen, kompromittierten Daten und sogar Identitätsdiebstahl führen.
Vermeiden Sie Wörter aus dem Wörterbuch und andere gängige Passwörter
Sobald ein Hacker die gängigsten Passwörter vom Typ “123456” durchgeht, ist es Zeit für einen Wörterbuch-Angriff
Bei einem Wörterbuch-Angriff werden gängige Wörter, Namen, Orte und Daten schnell in das Passwortfeld eingegeben. Es gibt Zehntausende davon, aber für ein automatisiertes Programm dauert der Prozess nur wenige Minuten.
Das bedeutet, dass das Geburtsdatum Ihres Kindes, Ihr Lieblingsurlaubsort und das zufällige Wort, das Sie aus dem Wörterbuch ausgewählt haben, fast genauso unsicher sind wie “Qwerty”.
Und nein, die Kombination des Geburtsdatums Ihres Kindes mit seinem Namen hilft nicht.
Zwei gängige Passwörter zusammenzufügen, ergibt nicht automatisch ein sicheres Passwort. Hacker sind technisch versiert genug, um derartige “Kombinations”-Passwörter mühelos zu knacken.
Aber wie wir gleich sehen werden, bedeutet das nicht, dass Ihre Passwörter unmöglich zu merken sein müssen.
Verwenden Sie lange Passwörter (auch wenn sie einfach sind)
Ihr Passwort muss nicht einmal Sinn ergeben, um hochgradig knackbar zu sein. Es könnte völliger Unsinn sein und innerhalb eines Augenblicks kompromittiert werden.
Das liegt daran, dass bei der Knackung von Passwörtern die Länge einen enormen Unterschied ausmacht.
Ein durchschnittlicher Desktop-Computer mit einer anständigen GPU könnte ein alphanumerisches Passwort mit 8 Zeichen (Groß- und Kleinbuchstaben) in etwa 5 Tagen knacken.
Aber die meisten Hacker verfügen über noch mehr Ausrüstung. Und diese zusätzliche Ausrüstung verringert die Zeit zur Passwort-Knackung erheblich.
Ein zehnstelliges alphanumerisches Passwort (Groß- und Kleinbuchstaben) könnte von einem erfahrenen Hacker in nur 2 Stunden geknackt werden. Wenn man eine Ziffer durch ein Sonderzeichen ersetzt, gewinnt man zwar eine Woche – das ist aber schon alles.
Erhöhen Sie jedoch das Passwort auf 11 Ziffern (ohne Sonderzeichen), dauert es sechs Tage, es zu knacken. Und wenn eine dieser 11 Ziffern ein Sonderzeichen ist, schaut man auf eine Knackzeit von zwei Jahren!
Erhöhen Sie das Passwort nun auf 12 Ziffern mit einem Sonderzeichen. Dann dauert es 64 Jahre, es zu knacken – bis dahin könnte der Hacker sogar bereits verstorben sein!
Und das unter der Annahme, dass der Hacker modernste Geräte verwendet oder die Power eines Botnetzwerks nutzt. Der Durchschnittsmensch würde Hunderte Male länger benötigen, um diese Operationen durchzuführen.
Glauben Sie es oder nicht, das 24 Zeichen lange “#MeinKatzennameistFlauschig$1314” ist 95 Mal stärker als das 23 Zeichen umfassende “g*45HU@$cjg04L%snf8&n5F”!
Es ist sowohl einprägsamer als auch sicherer als das Kauderwelsch-Passwort, dank dieses einen Extra-Zeichens.
Versuchen Sie dennoch, nicht die üblichen Wörterbuch-Passwörter zu verwenden, wie wir zuvor besprochen haben.
Aber vor allem: Machen Sie Ihre Passwörter lang – idealerweise 16 Zeichen oder mehr.
Ignorieren Sie “Passwortstärke”-Anzeigen
Diese kleinen Anzeigen neben dem Passwortfeld, die Ihre Passwortstärke messen?
Die sind überflüssig.
Eine Webseite mag behaupten, dass ein achtstelligen alphanumerisches Passwort sicher sei, aber wie wir gesehen haben, ist es das eigentlich nicht.
Viele Seiten verlangen, dass Passwörter 8-16 Zeichen lang sind und Zahlen, Klein- und Großbuchstaben und gelegentlich ein Sonderzeichen enthalten.
Aber acht Zeichen sind selbst mit einem Sonderzeichen nicht sicher genug.
Sonderzeichen sollten immer erlaubt sein.
Und 16 Zeichen sollten wirklich die Mindestlänge sein, nicht das Maximum. Es sollte überhaupt keine maximale Länge geben!
Fazit: Websites halten diese Anforderungen aufrecht, um faule oder unwissende Nutzer zu besänftigen, die keine längeren Passwörter erstellen wollen. Lassen Sie sich nicht von den falschen Sicherheitsversprechen täuschen.
Wählen Sie Ihr Passwort immer so lang wie möglich und verwenden Sie alle erlaubten Zeichentypen mehrfach.
Und wenn Sie dazu bereit sind, kontaktieren Sie die Websites mit diesen unterdurchschnittlichen Passwortanforderungen und ermutigen Sie sie, etwas zu ändern.
Schicken Sie ihnen einen Link zu diesem Artikel oder einige der von uns zitierten Statistiken, wenn sie weitere Überzeugungsarbeit benötigen!
Aktivieren Sie die Zwei-Faktor-Authentifizierung
Einige Websites und Apps beginnen, die Zwei-Faktor-Authentifizierung umzusetzen. Dies haben Sie vielleicht schon bei Google, Facebook oder auf Ihrer Bankwebseite gesehen.
Grundsätzlich ergänzt die Zwei-Faktor-Authentifizierung Ihr Passwort um einen weiteren Authentifizierungsschritt, bevor Sie auf Ihr Konto zugreifen können.
Sie benötigen weiterhin Ihr Passwort, aber das allein reicht nicht aus, um auf Ihr Konto zuzugreifen.
Im Grunde gibt es drei Formen der Authentifizierung: etwas, das Sie wissen, etwas, das Sie haben, und etwas, das Sie sind.
Ihr Passwort zählt als “etwas, das Sie wissen”. Die Zwei-Faktor-Authentifizierung bringt eine der beiden anderen Arten ins Spiel.
“Etwas, das Sie besitzen”, ist normalerweise ein anderes Gerät, wie zum Beispiel Ihr Smartphone.
Sie geben Ihr Passwort ein, und die Website sendet eine Push-Benachrichtigung oder eine SMS mit einem Verifizierungscode an Ihr Telefon.
Um fortzufahren, müssen Sie diesen Code auf der Website eingeben. Auf diese Weise hat jemand, der Ihr Passwort kennt, aber nicht Ihr Telefon hat, Pech.
Zu den Gegenständen, die als “etwas, das Sie besitzen” gelten, gehören Apps wie Google Authenticator und spezielle USB-Schlüssel wie YubiKey.
Und was ist mit “etwas, das Sie sind”? Nun, Fingerabdrücke und Gesichtserkennung sind immer häufiger.
Selbst wenn jemand Ihr Passwort hat, ist er ohne Ihren Fingerabdruck oder Ihr Gesicht aufgeschmissen, die nur Sie besitzen. Wenn es je ein “Etwas, das Sie sind” gab, dann dieses!
Kombinieren Sie also Ihr Passwort mit einem Fingerabdruck, einer Gesichtserkennung, einem Telefon oder einem anderen Gerät und voila! Sie sind zweifaktorauthentifiziert und dadurch umso sicherer.
Wir empfehlen die Aktivierung der Zwei-Faktor-Authentifizierung, wann immer es möglich ist. Immer mehr Seiten unterstützen sie und es ist nur eine Frage der Zeit, bis sie zur Norm wird.
Überwachen Sie das Internet auf Passwort-Leaks
Gute Neuigkeiten: Aktuelle Empfehlungen des National Institute of Standards and Technology erfordern oder empfehlen nicht einmal regelmäßige Passwortänderungen. Einmal im Jahr ist immer noch ratsam, aber nicht strikt notwendig.
Wenn Ihr Passwort jedoch aufgrund eines Datenlecks offengelegt wird, müssen Sie es sofort ändern.
Unternehmen sollten Konsumenten umgehend über Datenschutzverletzungen informieren. Wenn jedoch Ihre Kontaktinformationen bei diesem Unternehmen veraltet sind, erhalten Sie möglicherweise diese Benachrichtigung nicht.
Deshalb ist es wichtig, regelmäßig Seiten wie HaveIBeenPwned zu überprüfen. Geben Sie Ihre E-Mail-Adresse ein und Sie erfahren, ob Passwörter eines Ihrer Konten durchgesickert sind.
Sollten Sie auf der Liste der Sicherheitsverstöße auftauchen, ändern Sie das betroffene Passwort sofort.
Für automatische Warnmeldungen bei Datenlecks bieten Dienste wie Norton Dark Web Monitoring und Avast Hack Check ihre Hilfe an. Sie übernehmen die Arbeit für Sie und senden Ihnen eine E-Mail, wenn Ihr Passwort geleakt wird.
Chrome und Firefox haben mittlerweile auch ähnliche eingebaute Funktionen.
Passwörter nicht wiederverwenden
Wir wissen, dass es schwierig ist, viele verschiedene Passwörter für jede Webseite, die Sie nutzen, im Kopf zu behalten. Die Versuchung, das gleiche Passwort für mehrere Seiten zu verwenden, ist groß.
Wenn Sie dies tun, sind Sie nicht allein: 61% der Internetnutzer verwenden ihr Passwort auf mehr als einer Seite.
Aber wenn einer dieser Seiten gehackt wird und Ihr Passwort offenbart wird, hat der Hacker auch Zugang zu all Ihren anderen Konten. Die Wiederverwendung von Passwörtern kann Schäden verursachen, die weit über eine einzelne Webseite hinausgehen.
Verwenden Sie auf jeden Fall ein anderes Passwort für Ihr E-Mail-Konto als für andere Seiten. Wenn Ihre E-Mail gehackt wird, fallen alle Ihre anderen Konten mit ihr.
Da ein Hacker mit Zugang zu Ihrer E-Mail Passwort-Resets auf anderen Seiten durchführen kann.
Das Gleiche gilt für andere Seiten, die sensible Informationen enthalten. Jede Bankseite, Social Media-Seite und Online-Shoppingseite muss ihr eigenes Passwort haben.
Tatsächlich sollte jede Seite ein unterschiedliches Passwort haben, unabhängig davon, ob sie sensible Daten enthält oder nicht.
Und wie wir im nächsten Schritt sehen werden, ist das bei Weitem nicht so schwierig, wie es klingt.
Verwenden Sie einen Passwort-Manager
Hunderte von einzigartigen Passwörtern zu merken, würde eine lächerliche Menge an Gehirnleistung erfordern. Aber mit einem Passwort-Manager müssen Sie sich nur eines merken.
Ein Passwort-Manager verschlüsselt und speichert alle Ihre Passwörter für alle Ihre Websites und Apps.
Sie füllen diese dann bei Bedarf automatisch aus. Viele tun dasselbe auch für Kreditkarten und andere Daten.
Geben Sie einfach Ihr Hauptkennwort ein (welches so lang und stark wie möglich sein sollte) und Sie sind startklar.
Sie müssen sich nicht merken, welches Passwort Sie auf welcher Website verwendet haben. Der Passwort-Manager kümmert sich um alles.
Passwort-Manager synchronisieren auf all Ihren Geräten, sodass Sie sich immer und überall anmelden können. Sie sind unendlich sicherer und vielseitiger als die Schaltfläche “Passwort merken” in Ihrem Browser.
Wir empfehlen dringend, mit einem kostenlosen Passwort-Manager wie Bitwarden, KeePassXC oder LastPass zu beginnen. Sie sind mit Funktionen vollgepackt und super-einfach einzurichten.
Und wenn Sie dann noch mehr Funktionen möchten, können Sie auf die Premium-Version Ihres gewählten Passwort-Managers upgraden. Oder Sie probieren einen kostenpflichtigen Passwort-Manager wie 1Password oder Keeper aus, wenn Sie neugierig sind.
Unsere letzten Worte zum Thema Passwörter
Von abc123 bis zxcvbnm, die beliebtesten Passwörter sind auch die anfälligsten.
Wir würden sie nicht mal mit einem 15 Meter langen Ethernet-Kabel anfassen – und Sie sollten das auch nicht tun!
Es ist an der Zeit, klug über Passwortsicherheit zu werden. Und wirklich, es ist gar nicht so schwierig.
Halten Sie sich von offensichtlichen Passwörtern fern, machen Sie Ihre so lang wie möglich und ergänzen Sie sie mit Zwei-Faktor-Authentifizierung. Verpacken Sie dann alles in einer vertrauenswürdigen Passwort-Manager und sagen Sie ‘Sayonara’ zu Passwortdieben!
Denn glauben Sie uns: Das ist ein Beliebtheitswettbewerb, den Sie nicht gewinnen wollen.
Abschließende Gedanken
Millionen von Internetnutzern verlassen sich noch immer auf schreckliche Passwörter: 123456, qwerty und natürlich password. Aber es ist einfacher als Sie denken, lange, starke und dennoch einprägsame Passwörter zu erstellen!
