Die denkbar unsi­chersten Pass­wörter sind die am häufigsten genutzten. Kann das sein? Leider ja, wie eine Auswer­tung jedes Jahr aufs Neue eindrucks­voll unter Beweis stellt.

Primitive Passwörter sind ein Fest für Hacker

Bild: dpa Dem Leicht­sinn verpflichtet fühlen sich offenbar mehr Inter­net­nutzer, als man sich in seinen kühnsten Träumen ausmalen würde. Auch 2021 zeigt das Hasso-Plattner-Institut (HPI) mit der Auswer­tung einer riesigen Daten­bank mit gele­akten Zugangs­daten wieder, dass viele Menschen auf einfachste Wörter oder simple Tastatur-Muster als Pass­wörter vertrauen.

Den ersten Platz der belieb­testen unsi­cheren Pass­wörter bean­sprucht in der HPI-Analyse seit Jahren "123456", dieses Jahr gefolgt vom eben­falls unge­bro­chen popu­lären "pass­wort". Auf den Plätzen dann die Sieger-Vari­ante "12345", das entwaff­nende "hallo" sowie die ausge­baute Sieger-Vari­ante "123456789" und ein kraft­loses "qwertz". Eben­falls noch in den Top Ten: "schatz", "basteln" und "berlin".

Leak-Daten­banken liefern Antworten

Bild: dpa Für die aktu­elle Auswer­tung wurden 1,8 Millionen, im Jahr 2021 gele­akte Zugangs­daten mit .de-Mail-Adressen heran­gezogen, mit dem das HPI seinen Iden­tity Leak Checker füttert. Mit dem Tool, dessen Daten­bank bereits 640 Millionen Online-Iden­titäten erhält, können Nutzer heraus­finden, ob sie gehackt worden sind und ihre Zugangs­daten zu bestimmten Diensten unter Umständen frei im Netz auffindbar sind. "Have I been pwned?" ist ein vergleich­bares und eben­falls bekanntes Daten­bank-Tool.

Der Preis für herr­lich einfach zu merkende Pass­wörter ist hoch. Denn Angrei­fern macht man es mit Pass­wör­tern, die im Wörter­buch stehen, mit Tasta­tur­mus­tern, bekannten Zeichen­folgen und Kombi­nationen sowie ganz allge­mein mit zu kurzen Pass­wör­tern gera­dezu para­die­sisch leicht, Online­konten zu knacken.

So geht das mit den Pass­wör­tern

So geht es richtig: Lange (mindes­tens 15 Zeichen), komplexe und für jeden Zweck indi­vidu­elle Pass­wörter wählen, also keine glei­chen oder ähnli­chen Pass­wörter bei unter­schied­lichen Diensten, rät das HPI. Dabei gilt es, alle Zeichen­klassen zu benutzen, also Groß- und Klein­buch­staben, Zahlen sowie Sonder­zei­chen, und bloß keine Namen oder echten Wörter zu verwenden. Nach einem Sicher­heits­vor­fall sollte man sofort das betref­fende Pass­wort ändern

Pass­wort­manager machen es leichter, all diese Regeln einzu­halten. Das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) empfiehlt etwa das kosten­lose und quellof­fene Keepass. Zudem ist es ratsam, bei Online-Konten und -Diensten die Zwei-Faktor-Authen­tifi­zie­rung zu akti­vieren, wo immer sie verfügbar ist.

