Das Hasso-Plattner-Institut (HPI) weist seit vielen Jahren auf die Notwendigkeit sicherer Passwörter hin, um sich vor dem Zugriff Krimineller bestmöglich zu schützen. Der Blick auf die Top Twenty der in Deutschland meistgenutzten Passwörter 2019 zeigt jedoch, dass sich immer noch zu viele Internetnutzer auf simple Zahlenreihen wie „123456“, Tastenkombinationen wie „qwertz“ oder Worte wie „password“ verlassen, die keinen wirksamen Schutz darstellen.
Top Twenty deutscher Passwörter
| 1 | 123456 | 11 | dragon |
| 2 | 123456789 | 12 | iloveyou |
| 3 | 12345678 | 13 | password1 |
| 4 | 1234567 | 14 | monkey |
| 5 | password | 15 | qwertz123 |
| 6 | 111111 | 16 | target123 |
| 7 | 1234567890 | 17 | tinkle |
| 8 | 123123 | 18 | qwertz |
| 9 | 000000 | 19 | 1q2w3e4r |
| 10 | abc123 | 20 | 222222 |
Viele Nutzer sind überfordert
Das größte Problem: „Viele Internetnutzer verwalten bereits mehr als hundert Online-Konten“, sagt Professor Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI). „Denn egal ob wir eine Reise buchen, einkaufen oder einen Kurs belegen – für alle Online-Dienste benötigen wir derzeit ein Passwort. Es ist lästig, sich für jeden Dienst ein anderes Passwort zu merken, und überfordert viele Nutzer“, ergänzt Meinel.
Jeder benötige heutzutage eine Passwortstrategie oder einen Passwortmanager
Viel zu oft fällt die Wahl nach Ansicht des Institutsdirektors auf Passwörter, die man sich leicht merken kann. Außerdem würden diese für unterschiedliche Dienste gleich mehrfach genutzt. Kriminelle hätten im Ernstfall so gleich Zugriff auf mehrere Konten. Sein Tipp: Jeder benötige heutzutage eine Passwortstrategie oder einen Passwortmanager.
Datengrundlage: 67 Millionen Zugangsdaten
Wie jedes Jahr veröffentlicht das HPI auch 2019 wieder die meistgenutzten Passwörter der Deutschen. Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des HPI. Datengrundlage sind allein dieses Jahr 67 Millionen Zugangsdaten die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2019 geleakt, also veröffentlicht wurden. Insgesamt wurden dieses Jahr 178 solcher Datenlecks, in den Identity Leak Checker eingepflegt, 96 davon wurden von den Diensteanbietern bestätigt.
Der Identity Leak Checker
Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker sehr leicht überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten.
Die Sicherheitsforscher des HPI ermöglichen den Abgleich mit mittlerweile mehr als 10 Milliarden gestohlener und im Internet frei verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks bei denen deutsche Nutzer betroffen sind. Das Angebot ist in Deutschland einzigartig.
Insgesamt haben bereits mehr als 14 Millionen Nutzer mithilfe des Identity Leak Checkers die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als 3 Millionen Fällen mussten Nutzer darüber informiert werden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war.
Der Identity Leak Checker Client
Für größere Unternehmen und Organisationen bietet das HPI den kostenpflichtigen Identity Leak Checker Client an. Nach der Registrierung der E-Mail-Domäne des Unternehmens erhält dieses regelmäßig Listen mit allen E-Mail-Adressen, die in der/den Domäne/n von einem Leak betroffen sind.
Tipps zur Passwortwahl
Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut daher:
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Hier geht es zur Pressemitteilung.
