IT-Sicherheit Sogar "ji32k7au4a83" ist ein mieses Passwort

Der Dienst "Have I Been Pwned?" sammelt geleakte Zugangsdaten. "ji32k7au4a83" wurde bereits 141 Mal entdeckt.

(Foto: Screenshot / haveibeenpwned.com)
  • "ji32k7au4a83" taucht fast 150 Mal in einer Datenbank für geleakte Zugangsdaten auf.
  • Die Erklärung hängt mit einer taiwanischen Tastatur und dem deutschen Klassiker "Mein Passwort" zusammen.
  • Das Beispiel zeigt: Verwenden Sie Passwortmanager und lassen Sie Ihre Kennwörter zufällig generieren.
Von Simon Hurtz

Auf den ersten Blick kommt "ji32k7au4a83" dem perfekten Passwort ziemlich nahe: zwölf Zeichen, Buchstaben und Zahlen scheinbar zufällig kombiniert, ohne dass ein Muster erkennbar ist. Na klar, 16 Zeichen wären noch besser, ein paar Großbuchstaben oder Sonderzeichen würden auch nicht schaden. Aber "ji32k7au4a83" dürfte ein guter Anfang sein, um Online-Konten zu schützen. Oder?

Leider nein: Die Chiffre taucht 141 Mal in der Datenbank des Dienstes "Have I Been Pwned?" auf. Dort sammelt IT-Sicherheitsforscher Troy Hunt Zugangsdaten, die im Netz herumschwirren oder von Kriminellen im Darknet verkauft werden. Das fiel dem Hacker und IT-Experten Robert Ou auf. Anfang März forderte er seine Twitter-Follower deshalb auf: "Erklärt mir, warum das passiert ist und wie dieses Passwort erraten werden könnte."

IT-Sicherheit So checken Sie Ihre Daten nach einem Leak
E-Mail-Adressen und Passwörter

So checken Sie Ihre Daten nach einem Leak

Wurden Ihre Daten im Netz geklaut? Sind Sie Opfer eines Identitätsdiebstahls geworden? Sicherheitsexperten wie Troy Hunt haben Datenbanken entwickelt, um diese Fragen zu beantworten.   Von Jannis Brühl und Mirjam Hauck

Dutzende Menschen antworteten ihm und dachten sich mögliche Gründe aus. Ist es eine zufällige Ziffernkombination, die ein bestimmter Generator oder Passwortmanager bevorzugt ausspuckt? Nutzt eine weit verbreitete Anleitung für sichere Kennwörter "ji32k7au4a83" als Beispiel, das Nutzer einfach kopieren? Liegen die Zeichen auf ausländischen Tastaturen nahe beieinander, vergleichbar mit "qwertz" oder "asdf"? Oder hat ein besonders naiver Mensch dasselbe Passwort Hunderte Male für unterschiedliche Dienste wiederverwendet?

Die richtige Lösung lässt sich kaum erraten, denn sie setzt Taiwanisch-Kenntnisse voraus: "ji32k7au4a83" ist die Zeichenkombination, die man eingeben muss, um auf der Zhuyin-Tastatur "我的密码" zu erhalten. Zhuyin Fuhao ist eine phonetische Transkription für chinesische Schriftzeichen, die vor allem in Taiwan genutzt wird, etwa um Nachrichten zu codieren. "我的密码" entspricht einem Klassiker, der regelmäßig in den Grusellisten der häufigsten (und damit unsichersten) Kennwörter auftaucht: "Mein Passwort".

Daraus lassen sich einige Dinge lernen:

  • Verwenden Sie "ji32k7au4a83" nicht als Passwort. Sobald eine Chiffre in einer Leak-Datenbank auftaucht, nutzen Kriminelle sie für Angriffe. Mit sogenannten Brute-Force-Attacken probieren sie in kurzer Zeit möglichst viele Kombinationen aus. Die Software versucht, Passwörter zu erraten, und greift dabei auch auf bereits geleakte Login-Daten zurück. Damit haben die Angreifer oft Erfolg, weil Menschen dazu neigen, Kennwörter mehrfach zu verwenden.
  • Selbst Passwörter, die auf dem Papier den meisten IT-Regeln entsprechen, können unsicher sein. Ein weiteres Beispiel: Im Forum von Hacker News weist ein Nutzer darauf hin, dass sich "fckgw rhqq2" mehr als 4000 Mal in der Datenbank von "Have I Been Pwned?" findet. Die Erklärung: Es sind die ersten zehn Zeichen eines Lizenzschlüssels, mit dem Windows XP illegal aktiviert werden konnte. Der Code hat sogar einen eigenen Wikipedia-Eintrag. Daran erinnern sich offenbar viele Menschen.
  • Das bedeutet im Umkehrschluss: Lassen Sie sich Ihre Passwörter am besten von einem Zufallsgenerator erzeugen. Nur so stellen Sie sicher, dass Sie eine einzigartige Kombination verwenden, die niemand anderes einsetzt.

Robert Ou nutzte die unverhoffte Aufmerksamkeit, die ihm sein Tweet bescherte, um eine Botschaft loszuwerden. "Oh wow, ist das explodiert", schrieb er auf Twitter. Da er kein persönliches Projekt habe, das er bewerben könne, wolle er auf etwas anderes hinweisen: "Trans-Rechte sind Menschenrechte. Trans-Frauen sind Frauen. Trans-Männer sind Männer."

Falls dieser Text immer noch Ihre Aufmerksamkeit hat und Sie sich dafür interessieren, wie Sie Ihre Konten schützen, haben wir hier weitere Tipps und Ratgeber gesammelt:

IT-Sicherheit Zehn Regeln für Ihre digitale Sicherheit

Privatsphäre

Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.   Von Simon Hurtz