Das sind die sichersten Passwörter – verwenden verboten!

Die Veröffentlichung der unsichersten Passwörter hat Ende 2019 für viel Aufsehen gesorgt – aber auch um die sichersten Passwörter ist es nicht gut bestellt. Von Passwörtern haben viele wirklich die Nase voll. Eine neue Registrierung abzuschließen ist pure Überwindung – häufig wegen der gehimzuhaltenden Phrase.

Die guten, die schlechten und die sichersten Passwörter!

Passwörter wie 123456 hauen wirklich niemanden mehr vom Hocker. Die Spitzenreiter werden sich wohl auf alle Ewigkeit die ersten Plätze der Rangliste sichern. Die große Kritik ist nicht unbegründet – denn die „unsichersten Passwörter“ stammen schließlich aus diversen Datenhacks. Wer jedoch Passwörter wie Zahlenreihen entgegennimmt, der legt offensichtlich nicht viel Wert auf IT-Sicherheit. Und wer das nicht tut, den darf auch ein Datenhack nicht überraschen. Es gibt jedoch auch Beispiele, die sicher aussehen, es aber trotzdem nicht sind.

“Mb2.r5oHf-0t“ – Der Satiriker der noch nirgends auftaucht!

Der Postillion ist bekannt für Satire. Mitte 2014 kam das schmale Satiremagazin mit der Headline „IT-Experten küren MB2.r5oHf-0t zum sichersten Passwort der Welt“ um die Ecke – und sorgte damit für Lacher.

Der Aufruf, das Besorgte Nutzer das Passwort schnellstmöglich entsprechend der Empfehlung umsetzen sollen, sind jedoch nicht allzu viele nachgekommen. Knapp 6 Jahre später findet sich das Passwort in keinem Datendiebstahl. Ob das Passwort am Ende des Tages auch wirklich nicht verwendet wird, lässt sich abschließend nicht klären.

“ji32k7au4a83“ – der Klassiker!

Ein Passwort, das unknackbar aussieht. Doch im Gegensatz zu Mb2.r5oHf-0t wurde ji32k7au4a83 bereits 157x gestohlen (Stand Anfang 2020). Doch warum?

Darauf machte im März letzten Jahres Robert Ou bei Twitter aufmerksam. Er entdeckte den ungewöhnlich Fund bei Haveibeenpwned. Recht schnell folgte die Antwort: Es handelt sich um eine Übersetzung aus dem Zuhyin-Fuhao-System (Bopomofo). Wem das nichts sagt – dabei geht es um die Übersetzung von Mandarin in lateinische Zeichen. Auf Mandarin bedeutet ji32k7au4a83 so viel wie „My Password“. Kürzt man das „My“ heraus, so bleibt nur „au4a83“ übrig. Diese Zahlenkombination ist 1.543x gestohlen worden.

“p/q2-q4!“ – 40 Jahre und 4 Tage später!

Eine uralte /etc/passwd sorgte für die Entdeckung dieses Passwortes. Ken Thompson, unter anderem Co-Erfinder von Unix, sowie der Sprache B und Go, hatte in der besagten Liste ebenfalls ein Passwort, das nach 40 Jahren noch nicht geknackt war. Und das, obwohl die verwendeten Hashes längst als unsicher deklariert worden waren. Zahlreiche Versuche der Vergangenheit, das Passwort zu knacken, schlugen fehl.

Ein Grund: Die damalige Hardware war im Stande Passwörter bestehend aus Kleinbuchstaben und Ziffern zu testen bzw. zu generieren. 5 Jahre später – 2019 – schnappte sich Nigel Williams eine AMD Radeon Vega64 und jagte die auf den Hash. Die Grafikkarte schaffte ganze 930 Millionen Hashes pro Sekunde. Das Passwort zu knacken nahm am Ende über vier Tage in Anspruch. Und auch wenn das Ergebnis wie zufällig aussieht – das ist es nicht. Es handelt sich bei P/q2-q4! um eine weniger gängige Notation beim Schach. Die Eröffnung selber war übrigens gängig.

Sichere Passwörter bleiben über Jahre bestehen und sind nur mit erheblichem Aufwand zu knacken!

Alle hier aufgeführten Passwörter sollten natürlich nicht mehr verwendet werden. Doch eines zeigt sich bei den Beispielen deutlich: Die Sicherheit eines Passwortes lässt sich von außen nur schwer beurteilen. Wie so oft kommt es auf die Inneren Werte an.

Heutzutage gibt es viele Tricks mit Passwörtern umzugehen. Eine beliebter werdende Möglichkeit ist die Verwendung von Passwort Managern. Damit ließe sich auch die Mehrfachverwendung von Passwörtern stark eingrenzen. Stiftung Warentest hat erst kürzlich getestet und u.a. KeePass auf das Podest gehoben. Aber auch die Verwendung von sogenannten Kryptonizern kann es Anwenderinnen und Anwendern leicht machen, sich Passwörter zu merken. Dafür nimmt man sich ein einfaches Wort und übersetzt es mit Hilfe der Passwort-Schlüsselkarte in ein komplexes Passwort. Auf passwort-ausdenken.de kann sich jeder seinen eigenen Kryptonizer ausdrucken.

Der Beitrag Das sind die sichersten Passwörter – verwenden verboten! erschien zuerst auf AWARE7 GmbH.