"123456" noch immer beliebtestes Passwort

Einst, in den Anfängen des Internets, war das am häufigsten verwendete Passwort „12345“. Klingt naiv, oder? Heute, da die Menschheit den vorläufigen Gipfel des digitalen Zeitalters erklommen hat, muss das freilich anders sein. Der tägliche Ausflug ins Netz ist längst zur Routine geworden, die lauernden Gefahren sind seit Jahren bekannt. Ein derart simples und kurzes Passwort bietet da wirklich zu wenig Schutz, wissen die meisten und schützen ihre digitalen Schätze zumindest mit einem längeren Kennwort vor den Attacken der Cyber-Kriminellen. Origineller oder gar sicherer sind die Passwörter deswegen aber nicht geworden. Der am liebsten verwendete Schlüssel zu unseren sensibelsten Daten lautet heute „123456“.

War die laxe Einstellung der Internetnutzer zur eigenen Sicherheit bisher nur Mythos – eine auf Umfragen gestützte Vermutung –, so gibt es seit Kurzem Gewissheit. Vor wenigen Wochen verschaffte sich ein Hacker Zugang zu 32Millionen Login-Daten und Passwörtern der Nutzer von Rockyou.com, einem US-amerikanischen Unternehmen, das Software für Seiten wie Facebook oder MySpace anbietet. Kaum war die Passwort-Liste (ohne die zugehörigen Zugangsdaten) im Internet veröffentlicht, stürzten sich nicht nur Hacker, sondern auch Sicherheitsexperten auf den unerwarteten Fund. Nie zuvor standen mehr tatsächlich verwendete Passwörter für ihre Studien frei zur Verfügung.

Ein Code pro Sekunde geknackt. Freudig zugegriffen hat auch die US-Sicherheitsfirma Imperva und die Daten für die Öffentlichkeit ausgewertet. Die Ergebnisse sind ernüchternd. Jahrzehnte nach der Erfindung des Internets vertrauten fast 300.000 Rockyou-Nutzer auf „123456“ als Passwort, gefolgt von „12345“ und „123456789“. Auf den Rängen vier und fünf der Hitparade stehen „Password“ und „iloveyou“. Doch es kommt noch schlimmer. Jeder Fünfte lässt den Datendieben den Schlüssel zu seinem Account quasi gleich im Schloss stecken: Ganze 6,4 Millionen Nutzer fischten der Studie zufolge aus demselben Pool der 5000 geläufigsten Passwörter. Allesamt Namen, simple Nummernkombinationen oder Wörterbucheinträge.

Mit einer Liste dieser 5000 gängigsten Kennwörter hätte man bei jedem 111. Versuch einen Account auf Anhieb übernehmen können, berechneten die Experten von Imperva. Ein Profi bräuchte so nur eine Sekunde, um ein einzelnes Passwort zu knacken. In 17 Minuten wären 1000 Accounts unter seiner Kontrolle. Abwegig ist die Annahme nicht. Passwort-Cracker verwenden häufig solche Wörterlisten, lassen Lexika und Telefonbücher automatisch durch die Anmeldeformulare der Internetseiten rattern. Wo das nicht mehr reicht, setzen sie auf „Brute Force“. Hier wird jede beliebige Kombination durchprobiert, bis sich Erfolg einstellt. Je länger und abwegiger das Kennwort ist, desto schwerer wird es für den Angreifer. Letztlich führt die Methode immer zum Ziel. Wer aber, so wie ein Drittel der Rockyou-Nutzer, ein Passwort aus sechs oder weniger Zeichen verwendet, öffnet den Dieben quasi selbst die Tür.

Und meist nicht nur eine. Nach einer Studie des Sicherheitssoftwareanbieters Avira nutzt ein Viertel aller Internetnutzer ihr liebstes Kennwort gleich als Zugangscode für mehrere, wenn nicht für alle Internetseiten, die angesteuert werden.

Passwort-Flut. Bleibt die Frage, warum die Mehrheit der Internetnutzer mit Achselzucken auf die Bemühungen der Datenschutz-Experten und die abschreckenden Berichte über die Folgen des Passwort-Klaus reagiert. Eine Erklärung könnte in der zunehmenden Flut an ständig neuen Zahlen- und Ziffernkombinationen liegen, die ein typischer Nutzer heutzutage aus dem Ärmel schütteln muss.

Kaum wird der Computer frühmorgens eingeschaltet, verlangt er eine ganze Reihe an Geheimcodes von seinem Besitzer. Der private Mailaccount schreit ebenso nach einer persönlichen Kennung wie Twitter, Facebook und die Bank. Es geht im selben Takt weiter: Am Bürotisch will die Arbeitsmaschine wissen, wer vor ihr sitzt, neue Bücher wollen bei Amazon gekauft, alte auf Ebay wieder versteigert werden. Die meisten Internetseiten offenbaren interessante Inhalte nur gegen den eigenen Zugangscode. Und der soll nur ja nicht immer derselbe sein, so die Empfehlung. Nur wie soll man zig Passwörter für all seine Lieblingsseiten im Kopf behalten? Die einfachste Antwort wird leider oft gewählt und ist entsprechend unsicher: Auf Platz sieben der häufigsten Rockyou-Passwörter landete „rockyou“. Der Seitenname als Passwort? Ein alter Hut, aber keine Lösung.

Wer also weder über ein fotografisches Gedächtnis verfügt, noch technisch versiert genug ist, um sich mit entsprechenden Hilfsprogrammen anzufreunden, sollte sich zumindest zwei unterschiedliche Passwörter zulegen, eines für hochsensible und eines für unbedenkliche Daten. Als Faustregel gilt: Mindestens acht Zeichen lang, Ziffern, große und kleine Buchstaben sowie Sonderzeichen (etwa ein $-Zeichen statt einem S) gemischt. Schwaches Gedächtnis? Kein Problem, wenn man einen einfachen Satz als Stütze nimmt. Aus „Ich bin sechzig Jahre alt, aber sicher kein dummer Internetnutzer“ wird mühelos „Ib60Jaa$kdIn“. Völlige Sicherheit bietet auch das nicht. Aber bevor dieses Passwort geknackt wird, erwischt es abertausende, die weiter auf „Schatzi69“, „monkey“ oder eben „123456“ vertrauen.

("Die Presse", Print-Ausgabe, 14.02.2010)