Sonstiges

Gephishte Hotmail-Konten: "123456" war das beliebteste Passwort

passwort„Ich finde es immer wieder unglaublich, wie viele Leute da so leichtgläubig sind und immer wieder drauf reinfallen.“ – So lautete ein Kommentar zu unserer Meldung, dass über eine breit angelegte Phishing-Attacke die Mail-Accounts von zehntausenden Hotmail-, Gmail- und Yahoo-Nutzern ausspioniert wurden. Leichtgläubig? Sicher. Da ist aber noch Luft nach oben, immerhin geben die Leute nicht nur auf dubiosen Seiten bereitwillig ihre Passwörter preis. Sie machen es Datendieben generell sehr einfach.

Die britische IT-Sicherheitsfirma Acunetix hat sich die geleakte Liste der rund 10.000 Hotmail-Zugangsdaten einmal genauer angesehen, immerhin handelt es sich um seltenes Rohmaterial. Ein solcher Fund kommt den Entwicklern sicherlich nur selten unter die Augen. Doch dabei haben sie wirklich Erschreckendes zutage gefördert. Das häufigste Passwort der betroffenen Hotmail-Nutzer lautete „123456“, dicht gefolgt von „123456789“. Himmel! Hier habe ich euch einmal die Top-12 der am häufigsten verwendeten Kennwörter abgetippt. Die Zahl in der Klammer gibt Auskunft darüber, wie oft das jeweilige Passwort vertreten war:

1. 123456 (64)
2. 123456789 (18)
3. alejandra (11)
4. 111111 (10)
5. alberto (9)
6. tequiero (9)
7.   alejandro (9)
8.   12345678 (9)
9.   1234567 (8)
10. estrella (7)
11. iloveyou (7)
12. daniel (7)

Wie leicht ersichtlich ist, hatten die Phisher in erster Linie lateinamerikanische Hotmail-Nutzer im Visier. Das kürzte Passwort bestand übrigens aus nur einem Zeichen, nämlich „)“. Das längste brachte es auf dreißig Zeichen und lautete „lafaroleratropezoooooooooooooo“. Die meisten Kennwörter waren sechs bis neun Zeichen lang, die durchschnittliche Zeichenzahl betrug acht.

Interessant ist auch die Analyse der Zusammensetzung von Passwörtern: 42 Prozent von ihnen bestanden einzig und allein aus kleingeschriebenen Buchstaben („iloveyou“), nur drei Prozent der Nutzer hatten sich getraut, auch Großbuchstaben zu verwenden („ILoveYou“). Reine Zahlen-Kennwörter waren mit 19 Prozent in der Liste vertreten („123456“), alphanumerische Kombinationen brachten es auf 30 Prozent („Iloveyou12“). Der von allen Experten empfohlene Mix, also die Verwendung von großen und kleinen Buchstaben, von Zahlen und Sonderzeichen („1Love You$%@“), konnte nur sechs Prozent überzeugen.

Man sollte einige Leute heute wieder vom Internet auf die Schulbank schicken. Wie es aussieht, sind es dieselben, die in der U-Bahn telefonierend nach der Safe-Kombination fragen und ihre PIN-Nummer nebst EC- und Visa-Karte im Portemonnaie tragen. Eure Tipps sind also gefragt. Ich hätte gerne gewusst, wie ihr mit Passwörtern umgeht und wie ihr euch Eselsbrücken baut. Schreibt ihr sie euch auf oder benutzt ihr ein Sammelprogramm mit Master-Schlüssel?

Via: Die Presse

(André Vatter)

Über den Autor

André Vatter

André Vatter ist Journalist, Blogger und Social Median aus Hamburg. Er hat von 2009 bis 2010 über 1.000 Artikel für BASIC thinking geschrieben.

55 Kommentare

  • Ich benutze KeePass und bin sehr damit zufrieden. ist zwar etwas umständlicher, immer erst das Programm zu starten, um sich irgendwo einzuloggen, aber wesentlich sicherer als überall das selbe, leicht zu merkende, Passwort zu benutzen.

  • In meinen Augen müsste man eine Art Seminar, Schulung oder Führerschein für das Internet bestehen/absolvieren.

    Jeder Depp kann sich Zugang zum Netz leisten und weiß nicht damit umzugehen.

  • Ich nutze komplizierte Passwörter. Und die merkt man sich mit ein wenig Übung auch recht leicht. Zusätzlich stehen die auch nochmal alle im Paßwortsafe – so sind auch selten gebrauchte sicher.

  • Sehe ich das richtig, dass von 10.000 Nutzern nur 64 als Passwort „123456“ gewählt haben? Was ist daran erschreckend? Ich hätte wesentlich mehr erwartet. Bei der Statistik hat man es als Phisher nun wirklich nicht leicht.

  • @6: Es geht nicht nur darum, dass 64 Leute zu faul waren, um sich ein Passwort auszusuchen. Es geht auch darum, dass die überwiegende Mehrheit der Nutzer es noch nicht einmal schafft, alphanumerische Kombinationen anzuwenden. Von Großbuchstaben ja ganz zu schweigen…

  • Ich benutze meist komplizierte Kombinationen, also Großbuchstaben, Kleinbuchstaben, Zahlen, Zeichen (wenn erlaubt), usw.
    Dauert zwar immer ne Weile bis man sich die eingeprägt hat, aber geht schon 😉

  • Also ich hab ein grundpasswort, was relativ durcheinander zahlen und buchstaben hat (hab ich damals auswendig gelernt indem ich das mehrfach aufgeschrieben und wiederholt hab, seit dem ist es in meinem Kopf) und das wird dann auf jeder Internetseite etwas angepasst, dass es auf die Seite passt…
    als simples Beispiel wenn ich hier nen account hätte:
    abcd12ef3bt (hinten das bt für basic thinking)

  • die einfachste lösung für ein passwort ist meiner meinung nach die anfangsbuchstaben von einem satz zu nehmen, dabei alle großgeschriebenen wörter mit großen buchstaben zu benutzen.
    dahinter dann noch der erste buchstabe der domain und ein .de und das ganze ist eigentlich nicht erratbar und auch gegen brute force ganz gut

  • Wenns optimal wäre käme jedes Passwort exakt 1 mal vor. Aber das ist wohl etwas zu utopisch, leider 🙁
    Mein Passwörter sind generell >12 Zeichen, eher 18 oder teilweise bis um die 30.

  • Ich nutze 1Password, bin also bei der Auswahl recht frei. Doch auch bei mir gibt es ein Grundkennwort, dass meist durch die domain oder der damit verbundene dienst (google -> xxxmail). Durch den passwortmanager tue ich da meist noch beliebig ein paar Sonderzeichen/Ziffern rein.

  • Eigentlich finde ich es nicht verwerflich, dass so einfache Passwörter verwendet werden. NUR wenn es um empfindliche Daten geht, sollte man vorsichtig sein!
    Ich z.B. benutze mehr als 5 verschiedene Passwörter, je nach „Sicherheitsstufe“. Da entspricht die niedrigste Stufe tatsächlich einem Wort. Solche Logins sind dann meist aber auch in Verbindung mit trash-mail.com 🙂

  • > Man sollte einige Leute heute wieder
    > vom Internet auf die Schulbank schicken.

    Das wäre doch mal was 😉

    Für sinnvoller halte ich es, wenn Onlinedienste bei der Passwortvergabe die Sicherheit des Passwortes prüfen (Komplexität, Entropie, blabla) und anzeigen würden (hat PGP schon vor 10 Jahren so gemacht). Aber dem steht ja das auf kurzfristigen Erfolg ausgerichtete Interesse an niedrigen Barrieren bei der Anmeldung entgegen.

    Ich verwende meist Passwort-Sätze – bei gleicher Entropie leichter zu merken als „gute“ kurze Passwörter.

  • Den Login-Screen von WordPress bei einem Beitrag über eMail-Konten-Phishing als Foto zu zeigen, würde auf Bildblog.de zu einem Artikel der Rubrik „Symbolfotos“ führen 🙂

  • Nur das die ganzen „Sicheren“ Passwörter auch nix genutzt haben!!!

    Das „123456“ wurde genauso ge Phisher wie das 12 Stellige mit Sonderzeichen ect. pp … war daher auch nicht sicherer!
    Die Diskussion ist daher sinnlos wie eine um die sicherste Schlüsseltechnik wenn das Schloss geklaut…..

  • @19: Da hast du absolut recht. 🙂 Ich wollte ja vom Hotmail-Login einen Screenshot machen – der ist allerdings sehr unspektakulär. Deshalb hier das schöne Symbolbild – und ein bißchen Werbung für WordPress. 🙂

  • Zum Thema Phishing: Ich warte ja auch schon seit Jahren auf den aktuellen SSL-Fingerprint fürs Online-Banking auf meinem Kontoauszug. Nun ja, so habe ich immer eine Ausrede 😉

  • Allerdings neigen Personen, die auf Phishing reinfallen, vielleicht auch vermehrt zu einfachen Passwörtern? 😉

  • @Ich (#23): Genau meine Meinung. Auf Phishing reinzufallen, benötigt schon eine gewisse geistige Unreife. Daher konnte das sonst so beliebte „password“ nicht auf Platz 1 landen – beim aktuellen Legasthenie-Wahn im Internet war „123456“ die am einfachsten zu merkende Kombination 🙂

  • Bei Vokabeln habe ich zwar meine Schwierigkeiten, aber komplizierteste Passwörter kann ich mir seltsamerweise gut merken – auch im Dutzend.

    Es wäre interessant, auch einmal solche Daten für Deutschland zu erhalten – nicht, dass ich es irgendjemandem wünsche, dass sein Passwort geklaut wird. Dann könnte man mal einen IQ-Vergleich starten…

  • Ich habe immer ein Passwort welches ich regelmäßig alle 8-12 Wochen ändere. Es ist mein jeweiliges Lieblingsessen mit Sonderzeichen versehen, indem z.B. l und i durch 1 oder ! ersetzt werden…

  • @24,
    wenn du dich wirklich mal damit beschäftigst, es gibt pishing seiten welche sehr gut gemacht sind. bei einigen ist es keine schande, darauf reinzufallen…. also bitte nicht immer solche vorverurteilungen…

  • Es ist wirklich erschreckend wie viele Hollköpfe durch unser Land rumlungern. meine Passwörter sind ab 10 zeichen lang, und immer mit Ziffern und Sonderzeichen, und damit ich diese nicht vergesse, werden sie auf einem CodeMeter verschlüsselt gespeichert. Der Zugang zum Stick ist natürlich auch mit einem Passwort geschützt.

  • Ich gebe offen zu ziemlich simple Passwörter zu benutzen (wie etwa: „ddgg66“). Warum? Weil mir bei 80% meiner Anmeldungen die Sicherheit relativ egal ist. (Persöhnliche Daten sind da nicht hinterlegt) Bei so vielen unwichtigen Foren muss man sich anmelden nur um bestimmte Inhalte zu sehen. Da muss die Eingabe auch auf dem Handy schnell gehen.

    Wenn es um wichtige Accounts geht, wie zB Ebay, Onlinebanking, etc. dann habe ich ebenfalls komplizierte Passwörter.

    Bezüglich Phising: Wenn man die URL direkt in die Adresszeile eingibt oder aus den Lesezeichen heraus surft, ist die Gefahr mMn ziemlich gering.

  • wow, scheint wirklich das ich hier übervorsichtig bin.

    Ich habe gerade wegen dem Skandal mein google Konto pw geändert, das alte war:
    -5eTFKKuG;X2W|13JE3dSV21J{yN[yGRqf8<i9g5J}$H-C%Wwo

  • ich glaube, hier kommen zwei Dinge zusammen: User müssen erkennen, dass ein Passwort etwas wichtiges ist („ach, meine eMail ist ja auch nicht soooo wichtig, wer soll sich dafür interessieren?“) und dann ein Prinzip erlernen, wie man ein sicheres Passwort benutzbar hält. Wer sich jeden Tag 5x bei GMail einloggt kann sich ein gutes Passwort halt besser merken als jemand, der 2x in der Woche in seine eMails schaut.
    Die Wichtigkeit eines Passworts muss man erklären und hoffen, dass das gegenüber es versteht.
    Wenn man dann aber Tricks vermittelt (nimm einen sinnvollen Satz, nimm davon die Anfangsbuchstaben inkl. Gross-Kleinschreibung, ersetzte einzelne Buchstaben sinnvoll durch Zahlen, ersetze Zahlen durch die Sonderzeichen auf der Taste, ergänze Dein Passwort durch die zwei Buchstaben, mit denen der Name des Dienstes beginnt, für den Du das Passwort brauchst) kann man meiner Erfahrung nach den meisten Usern ein gutes Passwort nahebringen.

  • Ich trage alle meine Passwörter in das Mac-Programm LittleSecrets ein, um sie nicht zu vergessen. Außerdem vergebe ich niemals ein Passwort mehr als einmal und versuche so sichere Passwörter wie möglich zu benutzen.

  • @Ferenghi (#27): Daß Phishing-Seiten „sehr gut gemacht sind“, darf kein Argument für die Dummheit sein, vier TANs zu verbraten, die Kontonummer und die PIN rauszugeben – nur weil man per eMail dazu aufgefordert wurde.

    Jedem, der auf sowas reingefallen ist, gehört eigentlich der Online-Zugang seiner Bank gesperrt … erhöhtes Betriebsrisiko.

  • au man…..da sieht man mal wieder wie leichtfertig die leute doch sind ^^…. ich persoenlich bau mir meine passwoerter in 1337(leet)Speech…angenommen ich moechte das wort basicthinking als pw…also schreib ich das pw wie folgt: 84$!c7h!nk!n9….am besten noch mit irgend nem buchstaben großgeschrieben.

  • Lastpass.com ist auch eine gute Alternative um überall ein eigenes Passwort generieren zu können. Ich muss gestehen auf unwichtigen Seiten wie z.b. Foren ist mein PW in der Regel 123456789 🙂

  • beliebtestes passwort: 123456…

    „Die britische IT-Sicherheitsfirma Acunetix hat sich die geleakte
    Liste der rund 10.000 Hotmail-Zugangsdaten einmal genauer angesehen,
    immerhin handelt es sich um seltenes Rohmaterial. E… Das häufigste
    Passwort der betroffenen Hotmail-Nutze…

  • Ne also nunmal ehrlich: Wer x-beliebige Phishing-Attacken reinfällt der benutzt auch solche Passwörter. Ein wenig Verantwortung sollte schon da sein…aber wenn ich mir meinen Freundeskreis anschaue: Die sehen das Internet als riesiges Spiel an was man nicht ernstnehmen braucht. Selber Schuld wie ich finde…

  • Bleibt offen, ob die Liste an Passwörtern repräsentativ ist. Vielleicht fallen auch die User, die sich Gedanken um Passwörter machen, nicht so leicht auf Phishing herein ?

  • Naja, also ich verwende komplizierte Passwörter auch nur bei wichtigen Seiten, wo ein knacken des Passworts schwerwiegende Folgen für mich haben könnte. Jedoch wähle ich nicht für jedes Popelforum oder Spam E-Mail Accounts komplizierte Passwörter. Wenn z.B. so ein Hotmail Account nur dafür da war diese E-Mail Addy angeben zu können, wenn irgendwelche Seiten unbedingt ne Email Addy haben wollen (und wo man weiß, dass dann bald die Werbemassen anrollen werden), dann braucht man dafür nicht unbedingt ein kompliziertes Passwort.

  • also ich denke auch, dass da viele Nutzer dabei waren, denen es schlicht und ergreifend egal ist, ob nun jemand in ihr Mailkonto reinkommt.
    Ich habe auch bei ein paar Freemailern Email Adressen die ich nur für „relativ sinnlose“ Anmeldungen und ähnliches benutze. Dort verwende ich auch mal Passwörter wie „123456“.
    Nur bei wirklich wirklich wichtigen Konten verwende ich auch entsprechend sichere und lange Passwörter…

  • Ich mache meist einen Mix von Namen und Nummern – da habe ich ein Repertoire, das ich mir gut merken kann und erstelle damit sichere längere Passwörter so wie einfach kurze für Foren u.ä. Da die Namen und Zahlen nichts mit mir zu tun haben, sind sie auch kaum herauszufinden.
    Diese Lösung hat sich für mich über Jahre so ergeben – es muss halt jeder für sich selbst eine passende Lösung finden.

  • Ich mache keine Komplizierten sachen bei Kennwörtern, weil ich die nach 20 Minuten vergessen habe. Als ich mich für ne Prüfung bei Pearson VUE Anmelden musste, habe ich das Kennwort wo die mich zu gezwungen haben auf nen zettel geschrieben….

    Und im Seminarraum ist son geiles Kennwort vorgegeben: P@ssw0rd
    Nehm ich jetzt immer las Kennwort auf meinen Linuxrechnern, die jammern auch immer rum wenn ich linux als Kennwort eingebe. Sind ja keine von aussen erreichbaren Rechner, was solls.

  • #30 Jan Deissler schrieb am 10.10.2009, 04:41:
    > wow, scheint wirklich das ich hier übervorsichtig bin.
    > Ich habe gerade wegen dem Skandal
    > mein google Konto pw geändert, das alte war:
    > -5eTFKKuG;X2W|13JE3dSV21J{yN[yGRqf8<i9g5J}$H-C%Wwo

    Heilige Sch… ich habe vor einigen Monaten mein WPA2-Key geändert, auch denselben Zeichensatz benutzt wie du, aber was mich gerade wirklich etwas schockiert:

    Die ersten 11 Zeichen stimmen mit denen aus deinem Passwort überein !!!!!

    (Ich saß jedes Mal ein paar Minuten daran, das im iPhone&Co. einzutippen ^^)

    PS: Bei uns war das Schulungskennwort z.B. br@tsche, we1c0me! (beim Zweiten gab’s echt Probleme wegen 1 und l)

  • ich hab für jeden account, anderes passwort, mit Groß/klein-Buchstaben , zahlen und Zeichen und ne andere E-mail adresse XD
    Ich habe meine Passwörter nirgenswo notiert, alles nur im Kopf ^^

  • Ich habe mindestens 20 emailadressen mit dem Passwort „qwertzuiop“(die ersten 10 Buchstaben der Tastatur) natürlich ohne persönliche Daten aber die Adressen benutze ich nur für Müll oder Experimente oder ich hab den Benutzernamen vergessen. Bei meinem Richtigen Email ac hab ich natürlich ein vernünftiges und Sicheres Passwort.

  • Also ich finde es ja nicht mal schlimm wenn jemand einfache Passwörter nutzt… Wenn man z.b. als ein Albert Einstein das Passwort 123 nutzen würde, dann würde es niemand erraten weil ja alle denken das man schlau ist und man so ein Passwort nicht Nutzen würde.
    Ich meinerseits verwende einen selbstprogrammierten 256-bit
    Passwortgenerator.