Security: Die miserabelsten Passwörter 2017 und wurde Ihres gehackt?
2017 war das Jahr der gehackten Datenbanken und Accounts. OneLogin, Verizon, Uber, Imgur, Disqus, und Netzbetreiber, diverse Hotelketten, nur um wenige zu nennen. Millionen von Zugangsdaten und somit auch Passwörter, salted Hash oder Klartext, wurden gestohlen und sind teilweise für jeden zugänglich ins Netz gestellt worden. Im Darknet wurde erst vor Kurzem in einem Forum eine Datenbank mit mehr als 1,4 Milliarden (!) Passwörtern, die zum Verkauf angeboten wird, entdeckt. Wie jedes Jahr präsentiert nun Splashdata die miserabelsten Passwörter des vergangenen Jahres, hier sind die Top 100 von 2017. Die ersten beiden Podestplätze gehen unverändert gegenüber dem Vorjahr an "123456" und "password".
Was gilt nun aber als sicheres Passwort? Passwörter mit Sonderzeichen und einem Mix aus Klein- und Großbuchstaben, die sich das menschliche Gehirn schwierig merken kann, sind nach den neuesten Erkenntnissen bei Weitem nicht so sicher, wie in der Vergangenheit angenommen. Effektiv und entscheidend ist die Länge des Passworts, je länger, desto besser. Am besten ein langer sinnbefreiter Satz, der sich aber leicht merken läßt. Bei dem bildet man jeweils aus dem ersten Buchstaben jedes Wortes das Passwort, wie beispielsweise: "Ich gehe heute abend um 8 Uhr essen und freue mich auf das Gemüse!" Das somit 15-stellige Passwort lautet: Ighau8UeufmadG!
Geht man vom deutschen Alphabet mit 26 Grundzeichen ohne die Umlaute und das Eszett (ß), aber mit den Zahlen von 0-9 aus, ergeben sich als Beispiel bei einem 7-stelligen Passwort 3,521,614,606,208 (3 Billionen 521 Milliarden 614 Millionen) mögliche Passwörter. Wird das Passwort jetzt nur um eine einzige Stelle auf 8 Zeichen erweitert, wächst die Anzahl der Kombinationen auf das 62-Fache an, also auf 218,340,105,584,896 (218 Billionen 340 Milliarden 105 Millionen). Bei diesem Zeichensatz würde ein 12- oder noch mehrstelliges Passwort eine High-End Grafikkarte viele tausend Jahre beschäftigen, bis dieses geknackt wird.
Allerdings ist auch ein 12-stelliges Passwort, wie “123456789012” nicht sicher, wenn dieses bereits in einem der zahlreichen mehreren Gigabyte großen kostenlosen Wörterbuchdateien im Internet zu finden sind. Wer überprüfen möchte, ob sich sein Passwort in so einer “Password dictionary”-Datei für Brute Force-Attacken befindet, kann dies auf www.haveibeenpwned.com/Passwords überprüfen, in der Passwörter gehackter Accounts und Seiten gespeichert sind. Da Sie aber Ihre aktuell verwendeten Passwörter niemals, auch hier nicht, eingeben sollten, bietet Haveibeenpwned.com an, statt des Passworts in Klartext auch den SHA1-Hash des Passworts einzugeben. Wem selbst das zu riskant erscheint, kann die gesamte Kollektion von über 320 Millionen gehackten, in SHA1 verschlüsselten Passwörter als 5,5 GB große Datei downloaden und in dieser Textdatei offline nach seinen Passwörtern stöbern.