News Hasso-Plattner-Institut: Das meistgenutzte Passwort in 2025 bleibt eine Zahlenreihe

[Piktogramm]

Ist die Liste "bereinigt"? Kann mir eigentlich nicht vorstellen, dass kein Schimpfwort in den Top 10 vertreten ist..

Probier es halt, Wort zur Anzahl auftretender Einträge.
https://haveibeenpwned.com/Passwords

"fuck" 278.090
"123456" 209.972.844
"Scheiße" 25

 

[Teemu]

Sprich theoretisch muss man nur aufmerksam die Sätze einer Person mitlesen auf SocialMedia und bisschen ums Eck denken.

Klingt als könnte man eine KI darauf trainieren^^

 

[Penman]

Ich vermute 100% sichere Passwörter gibt es nicht, aber natürlich ist z.b. XW""'*P=)))KJKKKKKKKHahahaSommeristcool8888%%%%%% sicherer als 1234567 😉

Nee akzeptiere ich nicht.

• Zwischen 8 und 16 Zeichen lang
• Das Passwort darf weder Vorname, Nachname oder Benutzername enthalten
• Erlaubte Sonderzeichen: ! @ # % ^ & * _.

Nette Sammlung: https://dumbpasswordrules.com/sites/

Ich habe schon erlebt, dass Applikationen das Euro Zeichen nicht verarbeiten konnten. Da schlug jeder Login einfach fehl. Eine Begründung für seltsame Passwort Regeln hatte ich mal gehört: Das Backend nutzt eine Codepage, die das Zeichen nicht unterstützt (ASCII zum Beispiel). Die haben da wohl einen Hash generieren wollen, aber die Funktion frisst kein UTF-8.

Bei vielen anderen Regeln, gerade wenn es um Limitierungen nach oben geht, weiß ich wirklich nicht, was die sich dabei denken. Klar kann man irgendwo mal eine Grenze ziehen, was die Länge angeht, aber jede moderne Anwendung sollte doch inzwischen mit unicodefähig sein.
Gegen Brute Force Angriffe hilft ein eher ungewöhnliches Zeichen. Passwort½? Hält einen Bruteforce Angriff wahrscheinlich stand. Man muss es nur immer tippen können.

"fuck" 278.090
"123456" 209.972.844
"Scheiße" 25

Erst mal den Schimpfwortfilter auf Passwörter anwenden. Geht ja mal gar nicht hier!

 

[Beatmaster A.C.]

1 bis 6?
Anfänger. XD

 

[Piktogramm]

Klingt als könnte man eine KI darauf trainieren^^

Korrektur: Training ist vorüber, das ist produktiv.
https://cybernews.com/security/ai-password-cracker/

 

[Nebula123]

'IchKaueKaffeeBohnen!" Wäre sogar noch noch stärker

Ihr Passwort erfüllt nicht die Komplexitätsregeln. Bitte erneut versuchen:

👍 min. 12 Zeichen
👍 Großschreibung
👍 Kleinschreibung
👍 Sonderzeichen
👎 Zahlen

 

[andy_m4]

Das schlimme an solchen Nachrichten ist ja, das es dadurch immer mehr Druck kommt ein simples Verfahren wie Passwörter durch komplizierte Verfahren ersetzen zu wollen (oder durch irgendwelches kompliziertes Multifaktor-Gedöns zu ergänzen).

Nee akzeptiere ich nicht.

• Zwischen 8 und 16 Zeichen lang
• Das Passwort darf weder Vorname, Nachname oder Benutzername enthalten
• Erlaubte Sonderzeichen: ! @ # % ^ & * _.

Solche Regeln finde ich eher suboptimal. Weil komplexe Passwörter mit Zahlen und Sonderzeichen kann sich erst recht keiner merken.
Was sich aber gut merken lässt ist beispielsweise ein ganzer Satz. Und der erfüllt auch Sicherheitskriterien, weil er fehlende Sonderzeichen/Zahlen durch die Länge wett macht.

Irgendwelche Vorgaben zu machen mit maximaler Länge oder da ein Sonderzeichengebot sind meines Erachtens eher kontraproduktiv, da dann Leute dann eben Sachen wie "P@sswort123" nehmen.

 

[Piktogramm]

Eine Begründung für seltsame Passwort Regeln hatte ich mal gehört: Das Backend nutzt eine Codepage, die das Zeichen nicht unterstützt (ASCII zum Beispiel). Die haben da wohl einen Hash generieren wollen, aber die Funktion frisst kein UTF-8.

Mit Unicode kann man schon hart viel Schindluder treiben und weil sich die div. IT-Systeme nur sehr bedingt einig sind ob bzw. welche Normalisierungsformen sie nutzen ist nichtmal sichergestellt, dass das was der Authenticator hasht das Selbe ist, was der Nutzer abspeichert.

Eine gewisse Begrenzung halte ich entsprechend für garnichtmal so dumm.

 

[martinisnowfox]

Ha! Wußte ich doch, dass mein "Batman" noch immer sicher ist! 😎

und "Batman+R0bbin" sind eine unschlagbare Kombi! XD

 

[Brrr]

Kaffeetasse finde ich stark.

Du scheinst es jedoch nicht zu benutzen. Schade.

 

[Magellan]

Egal ob relative oder absolute Häufigkeiten angegeben werden, ändert sich nichts an der Sortierung, nichts an der Aussage.

Dann hast du die Aussage meines Posts falsch verstanden.

Das Ranking stelle ich nicht in Frage, mir geht es um die Aussagekraft.
Anhand des Rankings weiß ich, dass 123456 das meistgenutze Passwort ist (und welche 8 folgen) aber sonst halt nichts.

Wenn #1 10x im Datensatz vorkam, #2 9x ... und die Passwörter außerhalb dieser Top-9 noch 100 Mio vorbildliche Passwörter waren die genau 1x vorkamen dann ist das Ranking erfüllt.
Um sinnvolle Schlüsse aus diesem Ranking ziehen zu können bräuchte ich eine Angabe der relativen Häufigkeit.

Ob 123456 nun 20% oder 0,00001% der Gesamtmenge ausmachte (und wie sich das im Laufe der Zeit verändert hat) ist hier doch die eigentlich entscheidende Information.

Die Passwortgewohnheiten der Nutzer könnten sich um Größenordnungen verbessern und dennoch könnte ich danach den exakt selben Artikel mit der exakt selben Rangliste veröffentlichen.

 

[Piktogramm]

Irgendwelche Vorgaben zu machen mit maximaler Länge oder da ein Sonderzeichengebot sind meines Erachtens eher kontraproduktiv, da dann Leute dann eben Sachen wie "P@sswort123" nehmen.

Gescheite Algorithmen für Passworthashing sind recht aufwendig was Speicher- und Laufzeitbedarf angeht. Die Länge muss man entsprechend begrenzen, weil man sonst viel zu leicht mittels DDOS aus dem Netz gekegelt wird.

 

[iron_monkey]

Immer die maximale Länge nutzen und dann kreativ sein, so mach ich das.

Meine lieblings Pin ist 0000 die habe ich für Filmleihen oder Altersnachweis bei Amazon Prime ^^

 

[Piktogramm]

Ob 123456 nun 20% oder 0,00001% der Gesamtmenge ausmachte (und wie sich das im Laufe der Zeit verändert hat) ist hier doch die eigentlich entscheidende Information.

Da das Institut Hasso darauf aufmerksam machen will, dass Trivialpasswörter (immernoch) scheiße sind, sehe ich nicht, was du da willst. Außer halt, dass du Informationen willst. Wobei statistische Auswertungen zur Verteilung von Passwörtern ja in der wissenschaftlichen Literatur existieren.

Die Passwortgewohnheiten der Nutzer könnten sich um Größenordnungen verbessern [...]

😅 .. nein

 

[tdbr]

p1e9t9r2a#rechnerbasis!seit1999

So in etwa gehen meine passwörter. Viel spaß beim raten!

 

[andy_m4]

Die Länge muss man entsprechend begrenzen

Ja. Das verstehe ich. Aber die vorgeschlagene Länge war bei 16 Zeichen. Das halte ich dann doch für arg knapp. Es sollte deutlich großzügiger sein.

Gescheite Algorithmen für Passworthashing sind recht aufwendig was Speicher- und Laufzeitbedarf angeht.

Naja. Wer damit nicht klar kommt, wenn ein User beispielsweise ein 80 Zeichen langes Passwort verwendet, der sollte vielleicht ohnehin kein Service betreiben. :-)

 

[Ranock321]

Hört auf meine PW zu veröffentlichen!

 

[Piktogramm]

@andy_m4
Es geht nicht um die Nutzer mit langen Passwörter. Es geht um Dienstleister wie https://ddos24.net/ , die ihre Armee an Affen (oder Bots) einfach mal dauerhaft Megabyte an Nonce an den Server übergeben lassen, der sich dann tot hasht. Es braucht da also sinnvolle Obergrenzen.

Und Bcrypt (und andere) begrenzen von sich aus auf 72Byte, was bei UTF-8 oder Vergleichbaren ja deutlich unter 72 Chars entsprechen kann.

Selbst eine Länge von 16 Zeichen kann (oder auch nicht) entsprechend sinnvoll begründet sein.

 

[martinisnowfox]

Was ich immer wieder bedauerlich finde ist, dass wegen solchen "ummen Usern" Plattformen dazu angeheitert werden Pawwortregularien hochzuschrauben. Dabei ist die Mindestlänge schon lage egal - was mich stört sind diese Sonderzeichenpflicht + Zahlen und Versalien.

Somit sind auf vielen Plattformen passwörter wie z.B. "ineinemwortaliceweidelistnenazi***lampe" nicht mehr möglich, obwohl es mindestens genauso 'sicher' ist wie ein "Z%r!h76f%8qFkÄa" nur dass man sich "ineinemwortaliceweidelistnenazi***lampe" beispielsweise besser merken könnte :3

 

[Piktogramm]

@martinisnowfox
Nunja..
Dein eskaliertes Wort lässt sich wahrscheinlich mit einem 2000er Wortschatz (2000 am häufigsten eingesetzten Worte) abbilden. Deine zufällige Zeichenkette (falls wirklich zufällig und nicht wild auf der Tastatur gehackt) hingegen hat grob 105bit Entropie:

2^104,89 / 2000^8 ~ 146.824

Die zufällige Zeichenkette ist fünf Größenordnungen stabiler.

Naja und Binsenweisheiten sind sowieso schlechte Passwörter.