32 Millionen abgephishter Passwörter analysiert

Für die Analyse nutzte Imperva eine im Internet veröffentlichte Liste, die aus einer Attacke auf den Anbieter RockYou stammt; diesem wurden aus seiner Datenbank mehr als 32 Millionen Nutzernamen und Passwörter entwendet. Im Detail ist die Liste ernüchternd: Vielfach setzten die Nutzer lediglich auf schwache Passwörter, die ohne weiteres zu knacken sind. Am häufigsten wurde demnach die Zeichenkette „123456“ genutzt, gefolgt von „12345“ und 123456789“. Selbst alle Passwort-Mythen scheinen sich, zumindest bei den Rockyou-Nutzer zu bestätigen: Auf Platz vier findet sich das Passwort „Password“, Platz fünf wir von „iloveyou“ belegt.

Imperva-CTO Amichai Shulman fasst die Situation so zusammen: „Mit diesen einfachen Passwörtern können Cyber-Kriminelle mittels Brute-Force-Attacken pro Sekunde einen Account knacken - oder 1000 Accounts alle 17 Minuten.“ Die aktuelle Rechenpower eines Durchschnittssystems sei dafür mehr als ausreichend. Ein weiteres Problem sieht Imperva darin, dass Nutzer die Passwörter aus dem privaten und beruflichen Umfeld häufig mischen oder gar überall das gleiche Passwort nutzen. Ist also erst einmal die private Sicherheit ausgehebelt, haben die Kriminellen ein leichtes Spiel Enterprise-Systemen.

Die Sicherheitsfirma ist dabei mir ihrer Meinung nicht allein. Bereits im November hat Microsoft eine einjährige Studie veröffentlicht, die ein ähnlich schlechtes Bild zeichnet. Der komplette Report von Imperva kann hier kostenlos heruntergeladen werden. Enthalten sind neben weiteren Details auch Tipps für sichere Passwörter. (mja)