Manche Menschen lernen einfach nicht dazu, zumindest wenn es um die Sicherheit ihrer Zugänge zu Webseiten geht. Das beliebteste Passwort bleibt: "123456" - eine höchst unsichere Kombination. Je simpler und weiter verbreitet ein Passwort, desto größer die Chance, dass Online-Angreifer es erraten und sich Zugang zu fremden Nutzerkonten verschaffen. Sie probieren zuerst die beliebtesten Passwörter aus. Oft greifen sie mit "brute-force" an, übersetzt "rohe Gewalt": Sie testen automatisiert alle möglichen Zeichen-Kombinationen aus, die auf einer Tastatur möglich sind. Bei heutiger Rechnerleistung dauert das nicht besonders lange, die schnellsten Computer probieren bis zu zwei Milliarden Schlüssel pro Sekunde durch. Bei simplen Passwörtern müssen Hacker weniger Aufwand in ihre Attacke stecken.
Dass einfache Zeichenfolgen wie "123456", "password" oder die auf (englischen) Tastaturen nebeneinander liegenden Buchstabenfolge "qwerty" am beliebtesten sind, bestätigt eine Analyse des Hasso-Plattner-Instituts für Systemtechnik, das der gleichnamige SAP-Gründer gestiftet hat und das der Uni Potsdam angegliedert ist. Seine Mitarbeiter haben 35 Millionen gestohlene Identitätsdaten wie Passwörter, Namen oder Kreditkartennummern analysiert. Die Daten stammen aus 15 Quellen, die gehackt wurden, darunter das Seitensprungportal Ashley Madison, die Kommunikationsdienste Skype und Twitter, das Computerspiel Minecraft und einige andere Datenlecks und -diebstähle.
Unter https://sec.hpi.de/ilc können Internetnutzer ihre E-Mail-Adresse eingeben und herausfinden, ob ihre eigenen Daten unter den gestohlenen sind.
Mit mehr als zehn Promille der untersuchten Daten steht "123456" weit an der Spitze, gefolgt vom etwas längeren "123456789" mit dreieinhalb Promille. Auch andere supersimple Zahlenfolgen stehen in den Top Ten, Platz 8 ("111111") könnte ein IT-Schurke wohl eingeben, wenn er mit dem Finger auf der Taste einschläft. Zwar kommen die Daten vor allem aus dem englischsprachigen Raum, in Deutschland dürften sie aber ähnlich lauten. Fast die Hälfte der gefundenen Adressen endet auf "hotmail.com", "gmail.com" oder "yahoo.com".
Wer sein Passwort auf der Liste des Instituts entdeckt, sollte es schleunigst ändern. Ein relativ sicheres Passwort sollte überhaupt keine Worte oder Teile von Worten enthalten. Die können Angreifer automatisiert in einer Wörterbuch-Datenbank nachschlagen und ausprobieren lassen. Es sollte mindestens zwölf Zeichen haben, Groß- und Kleinbuchstaben sollten gemischt werden. Werden zwischen den Buchstaben Sonderzeichen und Zahlen eingebaut, wird es noch sicherer. Nutzer sollten zudem für jeden Dienst ein anderes Passwort verwenden und sie regelmäßig wechseln, rät das Bundesamt für Sicherheit in der Informationstechnik. Es empfiehlt, sich einen Satz auszudenken und aus dessen Anfangsbuchstaben beziehungsweise -ziffern den persönlichen Code zum Einloggen zu bilden.