Sonntag, 21. Juli 2024

HPI: Passwort-Inhaber sind 2023 nicht kreativer geworden

Potsdam. (hpi) Mit jedem neuen Onlinedienst kommt für Nutzerinnen und Nutzer in der Regel auch ein neues Passwort hinzu, das sie sich merken müssen. Das verleitet manche dazu, für verschiedene Dienste einfache und immer dieselben Passworte zu wählen. Dies macht es Cyberkriminellen leicht, an wichtige persönliche Informationen zu kommen. Und so kursieren viele Passworte offen im Netz, wenn Online-Dienste gehackt werden und mit den Daten auf dem Schwarzmarkt gehandelt wird. Das Hasso-Plattner-Instituts (HPI) hat auch 2023 ausgewertet, welche Passworte aktuell am häufigsten dazu gehören:

Top Ten deutscher Passworte 2023: 123456789 – 12345678 – hallo – 1234567890 – 1234567 – password – password1 – target123 – iloveyou – gwerty123.

Die Datensätze privater Identitäten wurden zusammen mit den Passworten unter anderem im Darknet gefunden. Dort lassen sich auch ganze Listen finden, die die Passworte von Millionen Menschen enthalten. Das Team von Prof. Christian Dörr, Leiter des Fachbereichs «Cybersecurity – Enterprise Security» am HPI, hat die Leaks ausgewertet. Die Analyse zeigt, dass Internetnutzer nicht kreativer bei der Passwortwahl werden – selbst, wenn Online-Dienste die Anforderungen für Passworte verschärfen. So wird aus «123456789» oft einfach nur «1234567890». Die Ergebnisse deuten zudem darauf hin, dass Cyberkriminelle offenbar selbst etwa für Botfarmen und Desinformationskampagnen einfachste Passworte verwenden. So ist zu erklären, weshalb auch Passworte wie «target123» und «gwerty123» auffällig oft verwendet wurden – und die mit mutmaßlichen Cyberkriminellen in Verbindung gebracht werden können.

Christian Dörr: «Die Auswertung zeigt, wie wichtig es ist, die eigene digitale Identität zu schützen. Das Passwort ist der Schlüssel für die digitale Welt. Das Verständnis dafür sollte man so früh wie möglich lernen. Das sichere Verhalten im Internet sollte schon in den Schulen auf dem Lehrplan stehen – ebenso wie Kinder früh lernen, sich sicher im Straßenverkehr zu bewegen.»

Das Hasso-Plattner-Institut weist seit Jahren auf die Wichtigkeit starker, individueller Passworte für mehr Cybersicherheit hin. Zu diesem Zweck bietet das HPI seit 2014 mit dem «Identity Leak Checker» einen kostenlosen Online-Service an, mit dem Nutzer überprüfen können, ob die eigene E-Mail-Adresse Teil eines Datenlecks war und damit verbundene persönliche Daten im Internet kursieren. Der Identity Leak Checker ermöglicht den Abgleich mit Milliarden gestohlener und im Internet verfügbarer Identitätsdaten.

Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut grundsätzlich:

  • Lange Passworte mit mehr als 15 Zeichen – am besten ein Mix aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen (die dank Passwortmanager nicht vergessen werden können)
  • Keine Wiederverwendung von gleichen oder ähnlichen Passworten bei unterschiedlichen Diensten
  • Verwendung von Passwortmanagern (… wie etwa für Privatleute kostenfreie Versionen von «KeePassXC», «EnPass» oder «Bitwarden» oder das für Firmen kostenpflichtige, doch hochgelobte «Nordpass» oder auch «EnPass» für Unternehmen)
  • Passwortwechsel bei Sicherheitsvorfällen und bei Passworten, die die obigen Regeln nicht erfüllen
  • Zwei-Faktor-Authentifizierung aktivieren, falls möglich
  • Spezialangebot für Unternehmen und Organisationen: HPI Identity Leak Checker Desktop Client

Neben dem kostenlosen Identity Leak Checker bietet der Identity Leak Checker Desktop Client ein kostenpflichtiges Angebot für Unternehmen und Organisationen, das sie bei der kontinuierlichen Überwachung der eigenen Domäne(n) unterstützt. Werden neue Datenlecks in den ILC importiert, prüft der Desktop Client automatisch, ob E-Mail-Adressen der überwachten Domäne(n) betroffen sind. Die betroffene(n) E-Mail-Adresse(n) können dann sofort gewarnt werden.