Mit jedem neuen Onlinedienst kommt für Nutzer und Nutzerinnen in der Regel auch ein neues Passwort hinzu, das sie sich merken müssen. Das verleitet manche dazu, für verschiedene Dienste einfache und immer dieselben Passwörter zu wählen. Dies macht es Cyberkriminellen leicht, an wichtige persönliche Informationen zu kommen. Und so kursieren viele Passwörter offen im Netz, wenn Online-Dienste gehackt werden und mit den Daten auf dem Schwarzmarkt gehandelt wird. Das Hasso-Plattner-Institut (HPI) hat ausgewertet, welche Passwörter 2023 in Deutschland am häufigsten gewählt wurden.
Das sind die Top 10 der deutschen Passwörter dieses Jahres:
123456789
12345678
hallo
1234567890
1234567
password
password1
target123
iloveyou
gwerty123
Die Datensätze privater Identitäten wurden zusammen mit den Passwörtern unter anderem im Darknet gefunden. Dort lassen sich auch ganze Listen finden, die die Passwörter von Millionen Menschen enthalten. Das Team von Prof. Christian Dörr, Leiter des Fachbereichs Cybersecurity – Enterprise Security am HPI, hat die Leaks ausgewertet.
Die Analyse zeigt, dass Internetuser nicht kreativer bei der Passwortwahl werden – selbst dann, wenn Online-Dienste die Anforderungen für Passwörter verschärfen. So wird aus „123456789“ oft einfach nur „1234567890“. Die Ergebnisse deuten ebenfalls darauf hin, dass Cyberkriminelle offenbar selbst zum Beispiel für Botfarmen und Desinformationskampagnen einfachste Passwörter verwenden. So ist zu erklären, weshalb auch Passwörter wie „target123“ und „gwerty123“ auffällig oft verwendet wurden – und diese mit mutmaßlichen Cyberkriminellen in Verbindung gebracht werden können. Prof. Christian Dörr äußert sich wie folgt zum Ergebnis der HPI-Analyse:
„Die Auswertung zeigt, wie wichtig es ist, die eigene digitale Identität zu schützen. Das Passwort ist der Schlüssel für die digitale Welt. Das Verständnis dafür sollte man so früh wie möglich lernen. Das sichere Verhalten im Internet sollte schon in den Schulen auf dem Lehrplan stehen – ebenso wie Kinder früh lernen, sich sicher im Straßenverkehr zu bewegen.“
Das Hasso-Plattner-Institut weist seit Jahren auf die Wichtigkeit starker, individueller Passwörter für mehr Cybersicherheit hin. Zu diesem Zweck bietet das HPI seit 2014 mit dem „Identity Leak Checker“ einen kostenlosen Online-Service an, mit dem Nutzer und Nutzerinnen überprüfen können, ob die eigene E-Mail-Adresse Teil eines Datenlecks war und damit verbundene persönliche Daten im Internet kursieren. Der Identity Leak Checker ermöglicht den Abgleich mit Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Der Service ist hier erreichbar.
Grundsätzlich gilt, Passwörter so komplex wie möglich zu gestalten, damit Cyberkriminelle wenig Chancen haben. So sind Passwörter mit mehr als 15 Zeichen sicherer, zudem sollte man gleiche oder ähnliche Passwörter bei unterschiedlichen Diensten nicht wiederverwenden. Auch das Aktivieren einer Zwei-Faktor-Authentifizierung und das Nutzen von Passwort-Managern ist empfehlenswert. Erfüllen die eigenen Passwörter nicht den oben angegebenen Regeln, solle man diese ändern, gleichermaßen auch bei Sicherheitsvorfällen wie Datenleaks.