Twitter
RSS ShortGephishte Hotmail-Konten: “123456″ war das beliebteste Passwort
“Ich finde es immer wieder unglaublich, wie viele Leute da so leichtgläubig sind und immer wieder drauf reinfallen.” – So lautete ein Kommentar zu unserer Meldung, dass über eine breit angelegte Phishing-Attacke die Mail-Accounts von zehntausenden Hotmail-, Gmail- und Yahoo-Nutzern ausspioniert wurden. Leichtgläubig? Sicher. Da ist aber noch Luft nach oben, immerhin geben die Leute nicht nur auf dubiosen Seiten bereitwillig ihre Passwörter preis. Sie machen es Datendieben generell sehr einfach.
Die britische IT-Sicherheitsfirma Acunetix hat sich die geleakte Liste der rund 10.000 Hotmail-Zugangsdaten einmal genauer angesehen, immerhin handelt es sich um seltenes Rohmaterial. Ein solcher Fund kommt den Entwicklern sicherlich nur selten unter die Augen. Doch dabei haben sie wirklich Erschreckendes zutage gefördert. Das häufigste Passwort der betroffenen Hotmail-Nutzer lautete “123456″, dicht gefolgt von “123456789″. Himmel! Hier habe ich euch einmal die Top-12 der am häufigsten verwendeten Kennwörter abgetippt. Die Zahl in der Klammer gibt Auskunft darüber, wie oft das jeweilige Passwort vertreten war:
|
1. 123456 (64) 2. 123456789 (18) 3. alejandra (11) 4. 111111 (10) 5. alberto (9) 6. tequiero (9) |
7. alejandro (9) 8. 12345678 (9) 9. 1234567 (8) 10. estrella (7) 11. iloveyou (7) 12. daniel (7) |
Wie leicht ersichtlich ist, hatten die Phisher in erster Linie lateinamerikanische Hotmail-Nutzer im Visier. Das kürzte Passwort bestand übrigens aus nur einem Zeichen, nämlich “)”. Das längste brachte es auf dreißig Zeichen und lautete “lafaroleratropezoooooooooooooo”. Die meisten Kennwörter waren sechs bis neun Zeichen lang, die durchschnittliche Zeichenzahl betrug acht.
Interessant ist auch die Analyse der Zusammensetzung von Passwörtern: 42 Prozent von ihnen bestanden einzig und allein aus kleingeschriebenen Buchstaben (“iloveyou”), nur drei Prozent der Nutzer hatten sich getraut, auch Großbuchstaben zu verwenden (“ILoveYou”). Reine Zahlen-Kennwörter waren mit 19 Prozent in der Liste vertreten (“123456″), alphanumerische Kombinationen brachten es auf 30 Prozent (“Iloveyou12″). Der von allen Experten empfohlene Mix, also die Verwendung von großen und kleinen Buchstaben, von Zahlen und Sonderzeichen (“1Love You$%@”), konnte nur sechs Prozent überzeugen.
Man sollte einige Leute heute wieder vom Internet auf die Schulbank schicken. Wie es aussieht, sind es dieselben, die in der U-Bahn telefonierend nach der Safe-Kombination fragen und ihre PIN-Nummer nebst EC- und Visa-Karte im Portemonnaie tragen. Eure Tipps sind also gefragt. Ich hätte gerne gewusst, wie ihr mit Passwörtern umgeht und wie ihr euch Eselsbrücken baut. Schreibt ihr sie euch auf oder benutzt ihr ein Sammelprogramm mit Master-Schlüssel?
Via: Die Presse
(André Vatter)
3. Artikelstatistik:
· read: 6083 · today: 11 · last: 19. March 2010
[...] Dieser Eintrag wurde auf Twitter von Anton P erwähnt. Anton P sagte: RT: @basicthinking: Gephishte Hotmail-Konten: “123456″ war das beliebteste Passwort – http://bit.ly/46PxhV (ava) [...]
[...] http://www.basicthinking.de/bl.....este-pas... a few seconds ago from nambu [...]
Jeder Depp kann sich Zugang zum Netz leisten und weiß nicht damit umzugehen.
Sehe ich das richtig, dass von 10.000 Nutzern nur 64 als Passwort “123456″ gewählt haben? Was ist daran erschreckend? Ich hätte wesentlich mehr erwartet. Bei der Statistik hat man es als Phisher nun wirklich nicht leicht.
@6: Es geht nicht nur darum, dass 64 Leute zu faul waren, um sich ein Passwort auszusuchen. Es geht auch darum, dass die überwiegende Mehrheit der Nutzer es noch nicht einmal schafft, alphanumerische Kombinationen anzuwenden. Von Großbuchstaben ja ganz zu schweigen…
Dauert zwar immer ne Weile bis man sich die eingeprägt hat, aber geht schon ;-)
als simples Beispiel wenn ich hier nen account hätte:
abcd12ef3bt (hinten das bt für basic thinking)
Warum bessere Passwörter wählen wenn alle gehackt werden? ;-)
s.Beispiel
@Markis: Die Konten wurden nicht gehackt – es war Phishing…
dahinter dann noch der erste buchstabe der domain und ein .de und das ganze ist eigentlich nicht erratbar und auch gegen brute force ganz gut
Mein Passwörter sind generell >12 Zeichen, eher 18 oder teilweise bis um die 30.
Mein PW ist: einhasesitztindervaseundschautfernsehrsehrgern MUAHAHAHA!
Eigentlich finde ich es nicht verwerflich, dass so einfache Passwörter verwendet werden. NUR wenn es um empfindliche Daten geht, sollte man vorsichtig sein!
Ich z.B. benutze mehr als 5 verschiedene Passwörter, je nach “Sicherheitsstufe”. Da entspricht die niedrigste Stufe tatsächlich einem Wort. Solche Logins sind dann meist aber auch in Verbindung mit trash-mail.com :)
> Man sollte einige Leute heute wieder
> vom Internet auf die Schulbank schicken.
Das wäre doch mal was ;-)
Für sinnvoller halte ich es, wenn Onlinedienste bei der Passwortvergabe die Sicherheit des Passwortes prüfen (Komplexität, Entropie, blabla) und anzeigen würden (hat PGP schon vor 10 Jahren so gemacht). Aber dem steht ja das auf kurzfristigen Erfolg ausgerichtete Interesse an niedrigen Barrieren bei der Anmeldung entgegen.
Ich verwende meist Passwort-Sätze – bei gleicher Entropie leichter zu merken als “gute” kurze Passwörter.
Das “123456″ wurde genauso ge Phisher wie das 12 Stellige mit Sonderzeichen ect. pp … war daher auch nicht sicherer!
Die Diskussion ist daher sinnlos wie eine um die sicherste Schlüsseltechnik wenn das Schloss geklaut…..
@19: Da hast du absolut recht. :) Ich wollte ja vom Hotmail-Login einen Screenshot machen – der ist allerdings sehr unspektakulär. Deshalb hier das schöne Symbolbild – und ein bißchen Werbung für Wordpress. :)
Zum Thema Phishing: Ich warte ja auch schon seit Jahren auf den aktuellen SSL-Fingerprint fürs Online-Banking auf meinem Kontoauszug. Nun ja, so habe ich immer eine Ausrede ;-)
Es wäre interessant, auch einmal solche Daten für Deutschland zu erhalten – nicht, dass ich es irgendjemandem wünsche, dass sein Passwort geklaut wird. Dann könnte man mal einen IQ-Vergleich starten…
Ich habe immer ein Passwort welches ich regelmäßig alle 8-12 Wochen ändere. Es ist mein jeweiliges Lieblingsessen mit Sonderzeichen versehen, indem z.B. l und i durch 1 oder ! ersetzt werden…
wenn du dich wirklich mal damit beschäftigst, es gibt pishing seiten welche sehr gut gemacht sind. bei einigen ist es keine schande, darauf reinzufallen…. also bitte nicht immer solche vorverurteilungen…
Wenn es um wichtige Accounts geht, wie zB Ebay, Onlinebanking, etc. dann habe ich ebenfalls komplizierte Passwörter.
Bezüglich Phising: Wenn man die URL direkt in die Adresszeile eingibt oder aus den Lesezeichen heraus surft, ist die Gefahr mMn ziemlich gering.
Ich habe gerade wegen dem Skandal mein google Konto pw geändert, das alte war:
-5eTFKKuG;X2W|13JE3dSV21J{yN[yGRqf8<i9g5J}$H-C%Wwo
Die Wichtigkeit eines Passworts muss man erklären und hoffen, dass das gegenüber es versteht.
Wenn man dann aber Tricks vermittelt (nimm einen sinnvollen Satz, nimm davon die Anfangsbuchstaben inkl. Gross-Kleinschreibung, ersetzte einzelne Buchstaben sinnvoll durch Zahlen, ersetze Zahlen durch die Sonderzeichen auf der Taste, ergänze Dein Passwort durch die zwei Buchstaben, mit denen der Name des Dienstes beginnt, für den Du das Passwort brauchst) kann man meiner Erfahrung nach den meisten Usern ein gutes Passwort nahebringen.
[...] war “123456”, dicht gefolgt von “123456789”, auch “111111” kam mehrfach vor. Auf Basic Thinking hat man sich die Mühe gemacht, dies noch etwas weiter zu [...]
Ich trage alle meine Passwörter in das Mac-Programm LittleSecrets ein, um sie nicht zu vergessen. Außerdem vergebe ich niemals ein Passwort mehr als einmal und versuche so sichere Passwörter wie möglich zu benutzen.
Jedem, der auf sowas reingefallen ist, gehört eigentlich der Online-Zugang seiner Bank gesperrt … erhöhtes Betriebsrisiko.
ich glaub das ist sicher genug ;)
au man…..da sieht man mal wieder wie leichtfertig die leute doch sind ^^…. ich persoenlich bau mir meine passwoerter in 1337(leet)Speech…angenommen ich moechte das wort basicthinking als pw…also schreib ich das pw wie folgt: 84$!c7h!nk!n9….am besten noch mit irgend nem buchstaben großgeschrieben.
beliebtestes passwort: 123456…
“Die britische IT-Sicherheitsfirma Acunetix hat sich die geleakte
Liste der rund 10.000 Hotmail-Zugangsdaten einmal genauer angesehen,
immerhin handelt es sich um seltenes Rohmaterial. E… Das häufigste
Passwort der betroffenen Hotmail-Nutze…
[...] (via Basic Thinking) [...]
Bleibt offen, ob die Liste an Passwörtern repräsentativ ist. Vielleicht fallen auch die User, die sich Gedanken um Passwörter machen, nicht so leicht auf Phishing herein ?
Naja, also ich verwende komplizierte Passwörter auch nur bei wichtigen Seiten, wo ein knacken des Passworts schwerwiegende Folgen für mich haben könnte. Jedoch wähle ich nicht für jedes Popelforum oder Spam E-Mail Accounts komplizierte Passwörter. Wenn z.B. so ein Hotmail Account nur dafür da war diese E-Mail Addy angeben zu können, wenn irgendwelche Seiten unbedingt ne Email Addy haben wollen (und wo man weiß, dass dann bald die Werbemassen anrollen werden), dann braucht man dafür nicht unbedingt ein kompliziertes Passwort.
Ich habe auch bei ein paar Freemailern Email Adressen die ich nur für “relativ sinnlose” Anmeldungen und ähnliches benutze. Dort verwende ich auch mal Passwörter wie “123456″.
Nur bei wirklich wirklich wichtigen Konten verwende ich auch entsprechend sichere und lange Passwörter…
[...] Accounts inkl. der ersten und letzten Stelle des Passwort, sicherlich des öfteren in Form von 1****6, [...]
Diese Lösung hat sich für mich über Jahre so ergeben – es muss halt jeder für sich selbst eine passende Lösung finden.
Und im Seminarraum ist son geiles Kennwort vorgegeben: P@ssw0rd
Nehm ich jetzt immer las Kennwort auf meinen Linuxrechnern, die jammern auch immer rum wenn ich linux als Kennwort eingebe. Sind ja keine von aussen erreichbaren Rechner, was solls.
#30 Jan Deissler schrieb am 10.10.2009, 04:41:
> wow, scheint wirklich das ich hier übervorsichtig bin.
> Ich habe gerade wegen dem Skandal
> mein google Konto pw geändert, das alte war:
> -5eTFKKuG;X2W|13JE3dSV21J{yN[yGRqf8<i9g5J}$H-C%Wwo
Heilige Sch… ich habe vor einigen Monaten mein WPA2-Key geändert, auch denselben Zeichensatz benutzt wie du, aber was mich gerade wirklich etwas schockiert:
Die ersten 11 Zeichen stimmen mit denen aus deinem Passwort überein !!!!!
(Ich saß jedes Mal ein paar Minuten daran, das im iPhone&Co. einzutippen ^^)
PS: Bei uns war das Schulungskennwort z.B. br@tsche, we1c0me! (beim Zweiten gab’s echt Probleme wegen 1 und l)
[...] Gephishte Hotmail-Konten: “123456″ war das beliebteste Passwort | Basic Thinking Blog [...]
ich hab für jeden account, anderes passwort, mit Groß/klein-Buchstaben , zahlen und Zeichen und ne andere E-mail adresse XD
Ich habe meine Passwörter nirgenswo notiert, alles nur im Kopf ^^