Internetnutzer verwenden schreckliche Passwörter. Dies mag zwar nach einer alten Geschichte klingen, scheint aber für Millionen, wenn nicht Milliarden von Nutzern, immer noch eine Neuigkeit zu sein. Um dies zu beweisen, haben wir uns Passwörter der veröffentlichten Ashley-Madison-Nutzerdaten angesehen.
Foto: The Times, UK
Wenn auch Ashley Madison es verpasst hat, seine Infrastrukturen vor einem Datenklau zu schützen – eines muss man ihnen lassen: Das Portal hat die Passwörter seiner Nutzer verschlüsselt, freilich zur Überraschung vieler Sicherheitsexperten und zur Enttäuschung vieler Cyberkrimineller.
Die gestohlenen Datenbank enthielt etwa 36 Millionen Nutzernamen mit Passwörtern, die mit dem irreversiblen Verschlüsselungs-Algorithmus Bcrypt verschlüsselt weren. Statt einem Passwort ist also nur noch ein so genannter Hash-, bzw. Streuwert zu sehen. Es ist keine Methode bekannt, die es vor dem Hitzetod des Universums ermöglichen würde, all diese Passwörter zu entschlüsseln, insbesondere wenn die Passwörter komplex aufgebaut sind. Allerdings können wir die einfachsten Passwörter entschlüsseln.
Bequemerweise ist das Internet voll mit Listen üblicher, häufig genutzter Passwörter, die sich jeder herunterladen kann. Wir haben beschlossen, zwei Listen für unsere Untersuchung zu verwenden: Die Liste der 500 schlimmsten Passwörter aller Zeiten von 2008 und die 14 Millionen-starke Passwort-Liste vom sogenannten rockyou hack.
Da die Passwörter irreversibel verschlüsselt waren, ist es logischerweise nicht möglich, sie zu entschlüsseln. Für unseren Test haben wir aber ein Tool zum knacken der Passwörter verwendet, das innerhalb einer Sekunde mehrere Milliarden verschiedener Passwörter auf einen Hashwert prüfen kann. Gab das Tool das korrekte Passwort ein, wussten wir, dass es eine Übereinstimmung gab. Details habe ich im englischen Blogpost erklärt.
Wegen der Masse an Daten haben wir unsere Analyse auf die erste Millionen Passwörter in der Datenbank beschränkt – wir glauben, dass dies auch die ersten Passwörter waren, die seit dem Bestehen von Ashley Madison angelegt wurden. In unserer Analyse englischer Passwörter sind wir zu den folgenden Ergebnissen gekommen:
- „123456“ und „password“ führen die Liste der am häufigsten genutzten Passwörter an. „12345“, „12345678“ und „querty“ sind auf den Plätzen 3 bis 4 nahe dabei, ihnen den Rang abzulaufen.
- „pussy“ ist – überraschenderweise für eine Website, die eheliche Untreue vermarktet – bei Ashley Madison als Passwort nicht viel mehr oder weniger beliebt als auf anderen Websites.
- „helpme“ ist – wiederum weniger überraschend – bei Ashley Madison üblicher als Passwort als im Rest des Internets.
- „blowjob“ ist wohl etwas, was sich viele Nutzer von ihrer Mitgliedschaft auf der Website versprechen.
- Weibliche Vor- oder Spitznamen scheinen auch als Passwort üblich zu sein. Aus unerfindlichen Gründen fallen darunter zum Beispiel „Ashley“ und „Madison“.
Hier ist die gesamte Top-20-Liste sowie die Häufigkeit der Anwendung der Passwörter, die wir bisher geknackt haben:
1. 6.495: 123456
2. 3.268: password
3. 2.024: 12345
4. 880: 12345678
5. 768: qwerty
6. 453: pussy
7. 248: secret
8. 209: dragon
9. 201: welcome
10. 198: ginger
11. 173: sparky
12. 168: helpme
13. 164: blowjob
14. 152: nicole
15. 134: justin
16. 129: camaro
17. 120: johnson
18. 117: yamaha
19. 113: midnight
20. 103: chris
Bei der weiteren Untersuchung fanden wir viele weitere häufig genutzte Passwörter, die sich auf „Liebe“ bezogen, wie „iloveyou“, „lover“, „loverboy“, „loveme“, die anzüglich waren wie „fuckme“, „fuckyou“ oder amüsant wie „booger“, „genius“ oder „unicorn“.
Eine Analyse deutschsprachiger Passwörter haben wir nicht durchgeführt – sicherlich gäbe es hierbei aber entsprechend ähnliche Tendenzen.
Es gibt keinen guten Grund dafür, solch einfach gestrickten Passwörter einzusetzen – insbesondere da es weithin bekannt ist, dass starke Passwörter wichtig sind, um sich im Fall von Datenlecks zu schützen. Selbst mit dem stärksten Verschlüsselungs-Algorithmus war es trivial für uns, eine Liste schwacher Passwörter mit der Liste der Passwort-Hashwerte von Ashley Madison zu vergleichen.
Als Internetbürger sollte jeder verantwortlich handeln und ein starkes Passwort wählen. Nutzer können nicht einfach darauf vertrauen, dass Websites dies für sie übernehmen.
Wer vor dem 15. Juli 2015 bei Ashley Madison ein Nutzerkonto hatte kann davon ausgehen, dass sein Passwort-Hashwert unter den gestohlenen Daten ist. War das Passwort schwach, ist ebenfalls davon auszugehen, dass dieses Passwort auch von Menschen geknackt wurde, die damit nichts Gutes vor haben. Daher sollten Sie Ihr Passwort ändern, sollten Sie dies nicht schon getan haben. Ändern Sie Ihr Passwort auch dann, wenn es stark war.
Um ein komplexes Passwort zu erstellen, das dennoch leicht zu merken ist, verwenden Sie einen Satz aus fünf oder mehr Worten und mischen Sie diesen mit Zahlen sowie Satz- und Sonderzeichen an Stellen, an denen es nach Rechtschreibungsregeln keinen Sinn macht.
Empfehlenswert ist auch die Nutzung einer Passwort-Manger-Software. Damit müssen Sie nur ein starkes Passwort erstellen und sich einprägen. Der Passwort-Manager übernimmt den Rest und erstellt im Zufallsverfahren starke Passwörter.
Also: Köpfchen einschalten und sicher bleiben!