Der Unsinn von den Top-10 Passwörtern

Jedes Jahr wieder tauchen sie auf in den Medien. Und jedes Jahr wieder schaffen sie es sogar auf die Titelseiten. Die Rede ist von den Top-10 Passwörtern, die wir so verwenden. Vor ein paar Tagen war es wieder so weit. Dutzende Nachrichtenseiten, darunter der Spiegel, der Münchner Merkur oder das ZDF, übernahmen eine Meldung des von mir außerordentlich geschätzten Hasso-Plattner-Instituts (HPI) und machten daraus eine Meldung über die ich jedes Jahr den Kopf schüttele: Das Lieblingspasswort 2020 ist – wie jedes Jahr – „123456“, gefolgt von „123456789“ und „passwort“. Auf Platz 6 landete dieses Jahr „ichliebedich“, welches immer auf den vorderen Plätzen landet.

Ich frage mich seit Jahren, welchen Sinn solche Top-10 haben – vor allem, weil sie unsinnig sind. Uns wird nämlich vorgegaukelt, dass die meisten Nutzer 2020 ein derart simples und schwaches Passwort ausgewählt hätten.

Bei den meisten Passwort-Top-10, wird aber gar nicht erst angegeben, wie sie entstanden sind. Anders beim HPI, das mitteilt: Grundlage der Top-10 sind „3,1 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2020 geleakt wurden“.

Der entscheidende Teil dieses Satzes ist „und 2020 geleakt wurden“. Es handelt sich also um Passwörter, die 2020 „von Hackern“ veröffentlicht wurden. Das HPI sagt nicht, dass sie auch 2020 gestohlen wurden und schon gar nicht, dass die Nutzer sie 2020 ausgewählt haben. Das weiß das HPI ja auch gar nicht. Daher noch einmal: Es sind keine Passwörter, die 2020 eingerichtet wurden, 2020 geklaut wurden und 2020 veröffentlicht wurden. Es sind daher keine Top-10 von 2020-Passwörtern! Viele Systeme lassen bei der Neuanlage eines Accounts Passwörter wie den alljährlichen Sieger der Passwort-Top-10 „123456“ ja auch gar nicht mehr zu. Sie lotsen die Nutzer mit grafischer Ampel-Anzeige eines neu zu wählenden Passworts von „123456“ (rot) hin zu „$bd7Zp5sdZ“ (grün). Die eigentliche Liste mit echten 2020-Passwörtern würde völlig anders aussehen!

Die Top-10 stellen im besten Fall eine Liste an Passwörtern dar, die irgendwann einmal – vielleicht vor Jahrzehnten – gewählt wurden, die (vielleicht) heute noch genutzt werden und die (erst) dieses Jahr im Netz auftauchten. Eigentlich geht es dann doch gar nicht darum, dass wir immer noch, jedes Jahr, am häufigsten Passwörter wie „123456 “wählen, wie uns die Meldung suggeriert. Eigentlich geht es doch darum, dass wir unsere Passwörter nie ändern (mussten). Denn ein aktueller Datendiebstahl bei einem Anbieter enthält ja in der Regel alle Passwörter, die er hat. Von Tag 1, als er online ging, bis heute.

Diese Listen sind also eher Zeugnis der Versäumnisse der Anbieter, die es zulassen, dass Ihre User seit Jahren das gleiche, unveränderte Passwort verwenden. Auch wenn Experten sich mittlerweile weitgehend einig sind, dass ein zu häufig erzwungener Passwortwechsel kontraproduktiv ist: dass „123456“ seit Jahren auf Platz 1 und „ichliebedich“ auf Platz 6 steht, ist nicht Fehler der Nutzer. Seit dem Tag, an dem ich meine erste private E-Mail Adresse eingerichtet habe – das ist weit über 20 Jahre her – musste ich mein Passwort dort noch nie ändern. Damals war die Welt auch noch besser. Und „ichliebedich“ als Passwort war völlig in Ordnung.

2 Kommentare zu “Der Unsinn von den Top-10 Passwörtern

  1. und ist es nicht sogar letztlich egal, welches Passwort es war? Geleakt wurden alle, weil die Serverbetreiber keinen zuverlässigen Schutz geboten haben.

    • Ja, das ist tatsächlich egal. Die Top-10 halte ich nur für Unsinn – außer, dass es das Thema mal wieder in die Medien schafft, das ist natürlich hilfreich.
      Die Gefahr ergibt sich bei geleakten Passwörtern zudem ja aus mehreren Komponenten.
      a) ist das Passwort noch aktuell?
      b) wird es woanders ebenfalls genutzt (und ist aktuell)?
      c) es verrät etwas über die „Art und Weise“ wie Du Deine Passwörter baust
      d) es zeigt, wo Du Dich anmeldest (Erpressung mgl, wenn Datingportal, obwohl verheiratet)
      e) identische, komplexe Passwörter in mehreren Leaks verraten u.U. „unbekannte“ E-Mail Adressen und Login-Namen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.