Die 5 schlimmsten Passwortfehler

Die 5 schlimmsten Passwortfehler

Wenn es um den richtigen und sicheren Umgang mit Passwörtern geht, sind wir als Menschen meistens ziemlich schlecht. Entweder es kümmert uns nicht genug und wir denken „Ach, mir wird schon nix passieren“ oder wir sind naiv genug, um die selbstgewählten schlechten Passwörter richtig gut zu finden.

Das krasse ist: unser Schlechtsein hat Methode. Wenn wir sie machen, machen wir alle mehr oder weniger die gleichen Fehler – zumindest laut einer neuen Studie von der Virginia Tech. Dafür wurden 61,5 Millionen Passwörter von 28,8 Millionen Nutzern und 107 Online-Services ausgewertet, die sich in den letzten acht Jahren über Datenlecks angesammelt haben.

Hier sind die fünf schlimmsten Fehler, die die Forscher ermittelt haben und die Sie auf jeden Fall vermeiden sollten:

Fehler 1: Das Wiederverwenden von Passwörtern

Jede Webseite hat heutzutage ihren eigenen Login und es ist für einen simplen Menschen sehr schwer, überall ein gutes Passwort anzulegen und es sich zu merken. Das Problem spiegelt sich auch in der Studie wider: 52% der Nutzer verwenden entweder nur ein einziges oder ein leicht abgewandeltes Passwort für ihre Accounts. Das ist problematisch, denn dank der ganzen Datenlecks haben Hacker nun bessere und effektivere Tools um genau solche Passwörter abzuleiten und so zu erraten.

Im Klartext heißt das, man sollte weder das Passwort „huoF!0l7bsH-1“ für all seine Accounts verwenden, noch „huoF!0l7bsH-1“, „huoF!0l7bsH-2“, „huoF!0l7bsH-3“, etc. Genauso unsicher ist es übrigens für Twitter „huoF!0l7bsH-rettiwt“ zu nutzen – für die meisten Cyberkriminellen ergibt sich schnell, dass das Paypal-Passwort dann wahrscheinlich „huoF!0l7bsH-lapyap“ ist.

Fehler 2: Teilzeichenfolgen oder nebeneinanderliegende Buchstaben

Was ziemlich zufällig aussieht, ist es eigentlich nicht: y1a2q3x4s5w ist einfach eine Mischung aus Buchstaben- und Zahlenfolgen, die man bequem auf dem Keyboard eingeben und sich deswegen auch klasse merken kann. Das Problem: Die Online-Bösewichte wissen das auch. Am besten also, man hält Abstand von solch vermeintlich sicheren, aber einfach zu merkenden Passwörtern.

Fehler 3: Leet – oder das Auswechseln von Buchstaben mit Zahlen

Leet (1337) oder Leetspeak (13375P34K) steht im Netzjargon ganz einfach für das Ersetzen von Buchstaben mit ähnlich aussehenden Zahlen. Selbst wer das „Fachwort“ nicht kennt, hat es wahrscheinlich schon mal gemacht. So einfach das auch ist und so sicher die Passwörter nach so einer Methode aussehen – K4tz3nfu773r wirkt doch gleich viel sicherer als Katzenfutter – so trügerisch ist der Schein. Hacker beziehen das nämlich mittlerweile fest in ihre Mechanismen ein. Die beliebtesten Änderungen sind übrigens: 0 <-> o, 1 <-> i, 3 <-> e, 4 <-> a, 1 <-> !, 1 <-> l, 5 <-> s, @ <-> a und $ <-> s.

Fehler 4: Das Passwort erst sehr spät ändern

Selbst Jahre nach einem Leck haben viele Anwender ihr Passwort noch nicht geändert – weder bei der Seite, auf der die Daten gestohlen wurden, noch auf anderen Webpages, auf denen sie dasselbe Passwort verwendet haben. Nach einem Jahr haben 70% immer noch das gleiche Passwort, nach 3 Jahren sind es zumindest „nur noch“ 40%. Hier gilt: Ändern, sobald Sie über so ein Leck informiert wurden.

Sollten Sie nicht wissen, ob Ihre Accountdaten zur freien Verwendung im Internet herumfliegen, dann können Sie das übrigens ganz einfach über den HPI Identity Leak Checker des Hasso-Plattner-Instituts herausfinden.

Fehler 5: Kein Passwortmanager

Zugegeben, das stammt nicht aus der Studie. Wenn man sich die verschiedenen Punkte allerdings anschaut wird einem schnell klar, dass viele der Fehler vermieden werden können, wenn man einfach einen Passwortmanager nutzen würde. So eine App würde zumindest die Fehler 1, 2 und drei beseitigen und das Risiko von Punkt 4 massiv eindämmen – schließlich würde man ein einzigartiges Passwort pro Account verwenden.

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.