Die Passwortvielfalt der Deutschen
Das Hasso-Plattner-Institut (HPI) hat eine Studie zu den am meisten verwendeten deutschen Passwörtern veröffentlicht. Analysiert wurden hierbei rund 1 Milliarde Nutzerkonten aus 31 bekannt gewordenen Datenlecks auf verschiedenen Bereichen.
Dabei wurden die Konten herangezogen, welche unter einer .de-Domain liegen, was dann zu einer Menge von rund 30 Millionen Nutzerkonten geführt hat. Die Top Ten sind:
- hallo
- passwort
- hallo123
- schalke04
- passwort1
- qwertz
- arschloch
- schatz
- hallo1
- ficken
Leider ist das aber nur die Spitze des Eisberges. Denn zu den sehr einfachen Passwörtern kommt ja noch hinzu, dass viele Benutzer diese ja mehrfach bei verschiedenen Konten verwenden. Das heißt, dass es sehr einfach ist, zu mehreren Konten Zugriff zu erlangen.
Besonders schlimm wird es dann, wenn ein solches Kennwort bei einem E-Mail-Konto verwendet wird und dieses nicht mit weiteren Sicherheitsfunktionen wie einer kompletten Postfachverschlüsselung geschützt ist. Wer Zugriff auf das Postfach hat, kann sich somit ganz einfach von anderen Diensten über die “Passwort vergessen” Funktion ein neues Kennwort zusenden lassen.
So empfiehlt der Mitautor der Studie Professor Christoph Meinel allen Internetnutzern, für jeden Account ein eigenes Kennwort zu verwenden und dieses auch regelmäßig zu wechseln. Wenn möglich sollte dies generiert werden, was beispielsweise durch einen Passwortmanager geschehen kann.
Das ist eine Empfehlung, die ich voll unterstütze und die ich sogar noch erweitere. Ich empfehle, wenn es irgendwie technisch möglich ist, das E-Mail-Postfach komplett zu verschlüsseln (z.[nbsp]B. durch ein S/MIME Zertifikat). Dann hat ein Angreifer zwar unter Umständen Zugriff auf die E-Mails, benötigt aber dann noch zusätzlich ein Zertifikat um diese Mails zu lesen. Somit funktioniert auch das oben beschriebene Szenario mit dem “Passwort vergessen” Link nicht mehr.