Auf den ersten Blick kommt "ji32k7au4a83" dem perfekten Passwort ziemlich nahe: zwölf Zeichen, Buchstaben und Zahlen scheinbar zufällig kombiniert, ohne dass ein Muster erkennbar ist. Na klar, 16 Zeichen wären noch besser, ein paar Großbuchstaben oder Sonderzeichen würden auch nicht schaden. Aber "ji32k7au4a83" dürfte ein guter Anfang sein, um Online-Konten zu schützen. Oder?
Leider nein: Die Chiffre taucht 141 Mal in der Datenbank des Dienstes " Have I Been Pwned?" auf. Dort sammelt IT-Sicherheitsforscher Troy Hunt Zugangsdaten, die im Netz herumschwirren oder von Kriminellen im Darknet verkauft werden. Das fiel dem Hacker und IT-Experten Robert Ou auf. Anfang März forderte er seine Twitter-Follower deshalb auf: "Erklärt mir, warum das passiert ist und wie dieses Passwort erraten werden könnte."
E-Mail-Adressen und Passwörter:So checken Sie Ihre Daten nach einem Leak
Wurden Ihre Daten im Netz geklaut? Sind Sie Opfer eines Identitätsdiebstahls geworden? Sicherheitsexperten wie Troy Hunt haben Datenbanken entwickelt, um diese Fragen zu beantworten.
Dutzende Menschen antworteten ihm und dachten sich mögliche Gründe aus. Ist es eine zufällige Ziffernkombination, die ein bestimmter Generator oder Passwortmanager bevorzugt ausspuckt? Nutzt eine weit verbreitete Anleitung für sichere Kennwörter "ji32k7au4a83" als Beispiel, das Nutzer einfach kopieren? Liegen die Zeichen auf ausländischen Tastaturen nahe beieinander, vergleichbar mit "qwertz" oder "asdf"? Oder hat ein besonders naiver Mensch dasselbe Passwort Hunderte Male für unterschiedliche Dienste wiederverwendet?
Die richtige Lösung lässt sich kaum erraten, denn sie setzt Taiwanisch-Kenntnisse voraus: "ji32k7au4a83" ist die Zeichenkombination, die man eingeben muss, um auf der Zhuyin-Tastatur "我的密码" zu erhalten. Zhuyin Fuhao ist eine phonetische Transkription für chinesische Schriftzeichen, die vor allem in Taiwan genutzt wird, etwa um Nachrichten zu codieren. "我的密码" entspricht einem Klassiker, der regelmäßig in den Grusellisten der häufigsten (und damit unsichersten) Kennwörter auftaucht: "Mein Passwort".
Daraus lassen sich einige Dinge lernen:
- Verwenden Sie "ji32k7au4a83" nicht als Passwort. Sobald eine Chiffre in einer Leak-Datenbank auftaucht, nutzen Kriminelle sie für Angriffe. Mit sogenannten Brute-Force-Attacken probieren sie in kurzer Zeit möglichst viele Kombinationen aus. Die Software versucht, Passwörter zu erraten, und greift dabei auch auf bereits geleakte Login-Daten zurück. Damit haben die Angreifer oft Erfolg, weil Menschen dazu neigen, Kennwörter mehrfach zu verwenden.
- Selbst Passwörter, die auf dem Papier den meisten IT-Regeln entsprechen, können unsicher sein. Ein weiteres Beispiel: Im Forum von Hacker News weist ein Nutzer darauf hin, dass sich "fckgw rhqq2" mehr als 4000 Mal in der Datenbank von "Have I Been Pwned?" findet. Die Erklärung: Es sind die ersten zehn Zeichen eines Lizenzschlüssels, mit dem Windows XP illegal aktiviert werden konnte. Der Code hat sogar einen eigenen Wikipedia-Eintrag. Daran erinnern sich offenbar viele Menschen.
- Das bedeutet im Umkehrschluss: Lassen Sie sich Ihre Passwörter am besten von einem Zufallsgenerator erzeugen. Nur so stellen Sie sicher, dass Sie eine einzigartige Kombination verwenden, die niemand anderes einsetzt.
Robert Ou nutzte die unverhoffte Aufmerksamkeit, die ihm sein Tweet bescherte, um eine Botschaft loszuwerden. "Oh wow, ist das explodiert", schrieb er auf Twitter. Da er kein persönliches Projekt habe, das er bewerben könne, wolle er auf etwas anderes hinweisen: "Trans-Rechte sind Menschenrechte. Trans-Frauen sind Frauen. Trans-Männer sind Männer."
Falls dieser Text immer noch Ihre Aufmerksamkeit hat und Sie sich dafür interessieren, wie Sie Ihre Konten schützen, haben wir hier weitere Tipps und Ratgeber gesammelt:
- Lang, komplex, einzigartig - und Vorsicht vor Sicherheitsfragen! Sieben Tipps für sichere Passwörter.
- Nutzen Sie einen Passwortmanager, sichern Sie wichtige Konten mit einem zweiten Faktor, und entsorgen Sie alte E-Mail-Adressen: Zehn Regeln für Ihre digitale Sicherheit.
- Passwortmanager? Das sind die Empfehlungen der Stiftung Warentest.
- Zwei-Faktor-Authentisierung? Hier steht, was 2FA bedeutet und wie das funktioniert.
- Wenn Sie sicher kommunizieren wollen, setzen Sie am besten auf diese verschlüsselten Messenger.
- Oh, schon wieder Hunderte Millionen Passwörter geleakt: Das Potsdamer Hasso-Plattner-Institut betreibt eine Webseite, auf der Sie können, ob Ihre Daten betroffen sind.