Facepalm-Alarm: Die Liste der dümmsten Passwörter von 2014

Selber schuld, kein Mitleid: Das ist das Motto für den folgenden Beitrag. Denn seit kurzem ist die Rangliste der "meistgeknackten" Passwörter des Vorjahres veröffentlicht worden. Dabei handelt es sich zwar um eine englischsprachige Aufzählung, die ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Sehr gut, 87654321 wird niemals jemand erraten :)
 
@LoD14: 876543210 ist wohl auch noch Geheim
 
@Jetiman: Und ich hab mich erst gefragt warum vor der Zwei am Ende ne Zehn kommt...
 
@Jetiman: Ich halte 999999 dagegen. ^^
 
2,2 Prozent sind ein sehr kleiner Anteil. Ausgehend davon, dass der Anteil von Accounts bei Diensten, die ich nur ein einziges Mal und nie wieder verwende, bei mir deutlich größer ist, ist der Schnitt doch gut. Denn auch wenn ich für "richtige" Passwörter den Generator von Keepass bemühe, reicht mir bei einem Müll-Account auch "qwertz" und "14567890".
 
@Niccolo Machiavelli: Naja 2,2% sind genug um diese Liste bei einem Brute-Force als allererstes zu prüfen. 25 Passwörter zu prüfen braucht praktisch keine Zeit.
Und wenns bei deinem Account nicht funktioniert, geht man zum nächsten. Bei jedem 45. hat man dann im Schnitt Erfolg. Oder alle 1125 Versuche...

Ist doch eine super Quote. Wenn pro geknackten Account im Schnitt 10€ rauskommen und du 1000 Versuche in der Minute schaffst, incl dem eigentlichen "Raub", "verdienst" du so 530€ die Stunde.
 
@Draco2007: Klar ist das eine Super Quote. Nur hat der Angreifer in dem Fall bei mir eine Handvoll Müllaccounts abgegriffen, bei denen ich mich eh nicht mit Klarnamen und echter Email registiert habe und von denen ich nicht mal mehr weiß, dass ich sie besitze.
 
Ich sags nur ungern, aber 123456 ist nicht unbedingt ein schlechtes passwort und ich verwende es auch hier und da. Warum? Weil ich diesen Artikel gelesen habe und ich dem voll zustimme! http://www.heise.de/security/artikel/Warum-123456-als-Passwort-okay-ist-2039860.html
 
@FatEric: Natürlich kann man nicht für jeden Müll ein einzigartiges komplexes Passwort haben. Ich denke aber es ist nicht zuviel verlangt wenn man wengistens ein einziges Wegwerfpasswort im Kopf behält, welches nicht ganz so furchtbar schlecht ist wie 123456.
 
@monte: Und das ändert was? Wenn ich mich irgendwo auf einem kleinen Portal nur wegen eines Downloads oder einer Suchfunktion eines Forums anmelden muss, verschwende ich dafür keine Mühen. Mir kann rein gar nichts passieren, wenn die Kombination bekannt wird. Gut ein Fremder kann sich dann ggfs auch in einem Autoforum zum Beispiel anmelden, aber einen Schaden habe ich nicht davon. Und ob er das mit 123456 macht oder mit $gZx!9*aeF% ist ziemlich egal.
 
@FatEric: naja es gibt Programme mit denen lassen sich Passwörter sehr einfach verwalten, 2 Klicks und fertig. Natürlich nervts wenn jede HP nen neuen Account haben will aber heisst ja nicht, dass man deswegen zu Passwörtern, die in 2 Sekunden geknackt sind, greifen muss.
 
@FatEric: Sag das nicht. Jemand kommt in deinen Müll-Forenaccount... begeht da eine Straftat, z.B. massive Beleidigung, postet KiPo oder was auch immer... ermittelt wirst Du durch die verwendete E-Mail Adresse... nun bist Du in der Beweispflicht, dass Du es nicht warst. Selbst wenn Du es kannst, oder Du wegen direkter Täterschaft nicht in Verantwortung genommen werden kannst, so kannst Du trotzdem noch zur Verantwortung gezogen werden. Selbes Prinzip wie z.B. bei nicht gesicherten WLAN Zugängen (Straftat) oder nicht abgeschlossenem Auto (Ordnungswidrigkeit).
Und ich kenne Leuten denen das passiert ist und mir ist es beinahe auch passiert. Ich kam nur da raus, da ich den Hack sofort bemerkt hatte, sofort das Passwort durch ein starkes ersetzt und den Admin informiert hatte.
 
Könnt ihr aufhören meine Passwörter hier zu verraten ? ;)
 
1-2-3-4-5? Die selbe Nummer habe ich an meinen Handkoffer...
 
@winhistory: oha, dann hör lieber auf damit dorgen zu schmuggeln, die bekommen das ding auf ;)
 
@Toasta: Weil wenn der Hnud die erstmal erschnüffelt, dann ist die Pozilei bald da ;)
 
@Toasta: ist jetzt noch einfacher geworden dank des TSA-schlosses -.-
 
@winhistory: "Sir wir haben die Kombination für den Luftschild!" :D
 
@Mr. Tux: gottseidank einer der's kennt. ;-)
 
@hcs: Merke: Mel Brooks hat sich schon 1987 über diese Liste lustig gemacht :)
 
@winhistory: Nur ein Idiot würde für seinen Koffer eine solche Kombination verwenden! :D
 
Ich kenne mich vermutlich nicht so gut mit dem Thema aus, wie der Ersteller der Infografik, aber warum gibt es bei dem Passwort 122312312312313 nur 3^Anz.Stellen Möglichkeiten?
Das würde ja voraussetzen, dass es nur 3 verschiedene Zeichen zur Auswahl gibt, was auch durch das Bild so gezeigt wird. Das ist aber mMn falsch.
Richtig wären hier doch auch die gesamte Palette der Zeichen mit Groß- und Kleinschreibung und allen Sonderzeichen hoch die Anzahl der Stellen?
Der Bruteforce Algorithmus weiß ja nicht, dass nur 3 Zeichen verwendet wurden...

Liege ich falsch, oder die Infografik?
 
@HideAndSeek: sehe es genau wie du, bei 3 Zeichen und allen Symbolen, wären es 866495 Kombinationen und nicht 27 !
 
@HideAndSeek: Da steht die mögliche Anzahl der Kombinationen. Das ist korrekt.
 
@dodnet: Genau da denke ich, dass es falsch ist, da der Algorithmus nicht wissen kann, dass nur 3 Zeichen verwendet wurden.
Klar, bei 3 Zeichen und X Stellen gibt es 3^X Möglichkeiten. Aber es gibt halt mehr als 3 Zeichen.

Vllt. kannst du mich ja mal aufklären.
 
@HideAndSeek: Die Infographik ist murks. Der algorithmus weiß nicht welche Zeichen verwendet werden in sofern MUSS er den gesamten Bereich des ASCII Zeichensatzs durchprobieren den die Website/Anwendung für PWs erlaubt.

In sofern wäre 64^12 die korrekte Anzahl, wie bei dem unteren PW.

Der Hacker kann natürlich hoffen das du nur Ziffern drin hast und es so probieren dein PW mit einem "limitierten Datensatz" anzugreifen der nur ziffern beinhaltet.

Ähnliches machen sie bei "Dictionary attacks". Da hoffen sie das du normale Worte als PW hast. Da gehn sie einfach das doch recht schnell abgearbeitete Wörterbuch durch.

Jeder web basierte Dienst der sensitive Daten will und mehr als 50 fehlgeschlagene Logins von unterschiedlichen IPs zulässt ohne den Account zu sperren & den user per mail zu informieren macht grundlegend was falsch.

Diese ganze Sache mit sicheren und langen PWs ist nur für Umgebungen interessant in denen der Hacker ganz in Ruhe Millionen von Kombis durchtesten kann (zB USB stick verschlüsselungen, Winzip archive etc).
 
@Aerith: Vielen Dank für die Erklärung.

Damit wäre natürlich auch das Gesetz: "Infografiken haben immer Recht widerlegt."

:D
 
@HideAndSeek: Denke die Fehler sind ganz bewusst eingebaut, denn sie wollen einen schockeffekt erzielen um die Leute dazu zu bewegen doch anzufangen sichere PWs zu benutzen.

Sowas wie "Liebe", "Sex", "Geheim" und.. "Gott" muss ja nun wirklich nicht sein.
"Wenn also eure Heilighkeit die Güte hätte ihr Passwort zu ändern..." (hackers)
 
Ha Ha, mein Lieblings Passwort kennen die nicht, schließlich ist es das einzige Wort das einen Pass hat.
 
Pff.. einfach vonnem alten Windoof Code die Untergrüppchen bissl rumwürfeln und mit anderen Sonderzeichen ergänzen. Schon hat man nen prima Pool für Passwörter.

Hilft halt wenn man mal Schuladmin war und versiffte Rechner so oft neu aufgesetzt hat das man den kompletten Code auswendig kann. Die Gesichter der Schüler wenn ich den da beim Setup schnell reingeklatscht hab warn auch ganz herrlich. :D
 
@Aerith: Du bist so ein Held.
 
@Karmageddon: Ich weiß.. ich weiß.. *spiegelbild verträumt anschaut* :<
 
@Aerith: Wann war denn das? Nach 1990? Da gabs bereits Systeme für Images zu machen. Ganz schön armseliger Schuladmin. In meinem Computerraum in der Schule, installierte ich nen neuen Boatloader. Kackte das System ab, wurde neu gestartet und die Install-Partition aufgerufen. Da wurde dann alles installiert, eingerichtet und neugestartet. System lauffähig nach 8 Minuten. Kein Code, kein nichts erforderlich. Entweder man hat es, oder man hat es nicht. :-D
 
@SunnyMarx: Jo war halt damals meine Computer Anfängerzeit (war ja selber Schüler). Da wusste ich noch ned das es Programme gibt bei denen man den key und diverse Einstellungen gleich ins image einbinden und somit ein automatisiertes setup kreieren kann.

Setup in 8 minuten konntest du aber selbst mit optimierten Images bei den alten Krücken vergessen. ^^
 
Meines ist "incorrect" wenn ich es auf einem englischen System vergesse kommt bei Falscheingabe "Your password is incorrect" dann weis ich es wieder. Klappt super.
 
@Tomato_DeluXe: Und bei deutschen Seiten scheiterst du, da das PW dann Falsch ist ;)
 
All die Passwort Tipps helfen aber auch nicht viel, wenn die Anbieter Sonderzeichen verbieten oder die Länge z.B. auf 8 Zeichen begrenzen...
 
die passwörter klingen einfach nur nach seiten mit registrierungszwang. da verwende ich genau die o.g.
 
12345 ist doch in Ordnung. Der planetare Verteidigungsschild des Planeten Druidia hat das selbe Passwort.
 
Mein Password ist alles 0, ich verrate nur nicht in welcher Reihenfolge :)
 
Mache ich mir keine Gedanken. Mein Standard-Passwort hat genau 13 Stellen. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Von daher, das knackt so schnell niemand.
 
@SunnyMarx: Da musst du vorsichtig mit sein. Wenn das Passwort auf einer Seite im Klartext oder nur sehr, sehr einfach verschlüsselt abgespeichert wird (kommt häufiger vor, als man denken mag), bringt dir auch dein 13-stelliges Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen nichts. Insbesondere dann nicht, wenn du es auf mehreren Seiten verwendest.

Einfach Keepass installieren (gibt auch Plugins für Chrome und Firefox) und schwupps kannst du innerhalb von Sekunden (nichtmal, reicht eigentlich 1 Klick für aus) dir für jede Seite ein eigenes, sicheres Passwort generieren lassen, welches auch wieder automatisch in die Formulare kopiert werden kann.
 
@RebelSoldier: Yop, deswegen hab ich ein pw für alle anwendungen und Seiten die ich als "low risk" (zB Winfuture, gamingforen etc etc) einstufe. Bei diesem PW geh ich auch davon aus das es längst bekannt ist.

Mail provider (hat keine real daten) und services die realdaten brauchen wie zB battle.net bekommen dann eigene PWs.

Von diesen automatischen PW speicherproggis halte ich jetzt nicht so viel. Kann immer mal passieren das man irgendwo auf etwas zugreifen muß und diese proggis gerade nicht zur Hand hat.
 
@Aerith: Dein Bedenken, dass man das Programm gerade nicht zur Hand hat, kann ich zumindest im Falle von KeePass relativieren. Für iOS und Android gibt's eine kostenlose App und per BT Sync kannst du auch die verschlüsselte Passwortdatenbank zwischen verschiedenen Geräten synchronisieren.
 
Mein bestes Passwort bisher war "geheim". Das habe ich sogar Leuten gegeben die mich danach gefragt haben.
"Das darf ich Ihnen nicht sagen. Das Passwort ist GEHEIM."
 
Na super jetzt kann jeder mein WF-Passwort hier sehen..???
 
Facepalm ist nur die News und die dauernde empörung über sowas. Man braucht auf müllseiten nunmal kein 32 Zeichen Passwort aus Gross und Kleinbuchstaben, Satzzeichen, Hieroglyphen und dem Blut einer Jungfrau. Was juckt es mich wenn sich jemand in mein Konto bei Left4Deadmaps.com einloggen kann weil ich da 123456789 als Passwort benutze? Genau garnichts, deswegen bin ich aber kein Idiot. Die Seite ist es einfach nicht Wert da was kompliziertes zu benutzen. Nichtmal hier hab ich ein kompliziertes Passwort wozu auch? Da wo es wichtig ist, Steam, Emails, Amazon etc, da hab ich Passwörter die lang und kompliziert sind und selbst die werden Monatlich geändert.

Die dummen sind die Leute die überall das selbe Passwort nutzen, da hilft ein noch so kompliziertes Passwort nichts wenn es auf irgend nem gecracktem VB Forum von irgend nem Gameserver im klartext rumliegt.
 
Einfache 0815 Passwörter seien mal so dahingestellt. Nicht überall ist ein höherer Schutz als 123456notwendig. König Rolands Koffer in "Spaceballs" hats bewiesen, da musste erst einer Folter androhen. ABER: Splashdata, ein Hersteller eines mobilen Passwort-Managers also durchforstet die ihr (der Firma) anvertrauten Passwörter der Kunden, erstellt Listen und veröffentlicht diese ? Ahja...
 
@Alfamat: Dat war nicht König Roland sein Passwort für seinen Koffer, sondern für das Luftschild. Der Präsident hatte es am Koffer. Ist schon lange her...
 
@Roger_Tuff: Erwischt ! Richtig, DAS Passwort für das Luftschild war gleich dem Koffer vom Präsident Scroop ! Demnächst nochmal reinziehen :-)
 
@Alfamat: Bestimmt... Lohnt sich, bei den Filmen von Heute und dann gleich danach "Per Anhalter durch die Galaxis"
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles