News Hasso-Plattner-Institut: Das meistgenutzte Passwort in 2025 bleibt eine Zahlenreihe

[eYc]

Ich frage mich ja, wo man solche simplem Passwörter überhaupt noch nutzen kann...
Habe ich wohl seit ein paar Jahren nicht mehr gesehen, dass man irgendwo so ein Passwort überhaupt hätte nutzen können.

Das stimmt leider, dass aufgrund von Kennwort-Komplexitätsrichtlinien einfache Wörter, oder Zahlenfolgen, gar nicht mehr als Passwort akzeptiert werden.

Aber man kann dann immer noch alle drei Sicherheitsfragen, die der Account-Wiederherstellung dienen sollen, mit 12345678 beantworten.

 

[Magellan]

Aber irgendwie traurig, dass diese passwörter immer noch die Plätze 1 und 2 belegen.

Ist doch eigentlich logisch, welches Passwort sollte denn sonst Platz 1 belegen? Also ich meine es könnte natürlich "geheim" oder "asdf" noch häufiger vorkommen, aber ein "gutes" Passwort kann ja nicht auf Rang1 stehen, sonst wäre es ja offensichtlich nicht gut.

 

[Krik]

Aber am Ende ist dann alles offen gelegt wenn dieses eine geknackt wird. Macht sicherheitstechnisch für mich keinen riesen Sinn.

Doch! Ich finde, das ist ein riesen Unterschied!

1. Ohne Passwortmanager verwendet man wahrscheinlich überall das gleiche Passwort. Wir sind halt alle etwas faul, ist ja ganz normal.
2. Mit einem Passwortmanager kann man und sollte man überall ein anderes verwenden.
3. Zusätzlich kann das Programm noch kryptographisch bessere Passwörter erzeugen. Der Mensch ist furchtbar, wenn es darum geht, gute Passwörter zu erzeugen.

 

[Piktogramm]

Das stimmt bei modernen Algorithmen so nicht, deren Aufwand ist nahezu unabhängig von der Stringlänge.

Hab auf meinem Server kurz einen Test mit 10 vs 10000 Zeichen Strings gemacht, bei Sha1 hat das noch die Rechenzeit um Faktor 30 erhöht (was im Vergleich zu Faktor 1000 bei der Stringlänge auch nicht wild ist), bei argon2id war kein relevanter Unterschied messbar.

Faktor 30 bei der Laufzeit ist halt recht viel. Als Angreifer bleibt der Aufwand für ein entsprechenden HTTP-POST unbedeutend (für DDOS kann der String ja statisch bleiben), vor allem da es in der Regel ja sowieso Fremdsysteme im Auftrag sind. Der angegriffene Server aber immer den Aufwand hat mit der Hashfunktion (was bereits mindestens eine Größenordnung aufwendiger ist als der Post).

Bei Argon2, wenn ich es richtig im Kopf habe, arbeitet Argon intern sowieso mit 1024Byte Blöcken. Laufzeitdifferenzen benötigen entsprechend mächtige Eingaben (das mit Megabyteweise Daten abkippen war kein Spaß). Es sind sinnvoll große Grenzen für Passwörter möglich, unbegrenzt würde ich aber entsprechende POSTS für entsprechende Eingabefelder aber nie werden lassen.

Naja und nicht überall sind die Anbieter so hinterher, dass Argon2 zum Einsatz kommt. :/

Naja. Das ist Quatsch.
Wenn ein Loginname nicht existiert, brauche ich ja erst mal gar nicht rechnen.

Weil Loginnamen auch so total geheim sind und wirklich Niemand weiß, dass ich Rumpelstilzchen heiß!

Und wenn ein Login-Name existiert, aber zum Beispiel 10 Mal pro Sekunde für den selben Account ein Passwort gegeben wird, dann ist das ganz sicher ein illegitimer Versuch. Auch da brauch ich erst gar nicht mit dem rechnen anzufangen

Deine Annahme ist der doofe Angreifer, der nur einen Account abklopft.
Schlaue Angreifer nehmen ihr Botnetz, klopfen tausende Nutzer aller Zeitraum X ab.

Soweit ich weiß, gibts kein Gesetz, welches die Verwendung Bcrypt zwingend vorschreibt :-)

Ach komm, dass ist einfach billigst. Als ob der Umstand, dass es 1..2 neuere, brauchbare Lösungen gibt sofort alle alten Lösungen und all den Pfusch da draußen beseitigen würde.

 

[Moritz Velten]

Ist doch eigentlich logisch, welches Passwort sollte denn sonst Platz 1 belegen? Also ich meine es könnte natürlich "geheim" oder "asdf" noch häufiger vorkommen, aber ein "gutes" Passwort kann ja nicht auf Rang1 stehen, sonst wäre es ja offensichtlich nicht gut.

Das ist schon richtig, aber das zeigt wieder mal, dass User es sioch gerne einfach machen und dann wundern, wenn sie gehackt wurden.

 

[=dantE=]

Bei der Gen Z ist es fast so schlimm wie mit den "Alten". Viele kennen dort nichts außer das Handy, Sie finden sich am PC/Mac nicht zurecht und scheitern an vielen einfachen Dingen.

Meine fundierte Recherche hat ergeben, dass die jüngste Generation damit aufgewachsen ist, alles vorgekaut zu bekommen und schlicht und ergreifend wenig Intention zur Selbsthilfe ausbilden konnte.
Als Beispiel sei da zu erwähnen, das man jene auf dem Spielplatz festgehalten hat … beim Rutschen!
Da kann kaum etwas ausgebildet werden wenn alles schon fertig ist bzw. wenn an „jeder Ecke ein Wattebausch klebt“.

Zur Erläuterung „fundierte Recherche“ = verheiratet, 2 Kinder

Den Druck Passwörter mit einem PW Manager zu erzeugen und zu verwalten hält selbst meine Frau vehement Stand.
Ich freue mich aber über die öfteren Nachfragen wie:
„Honey, du hast doch bestimmt mein AppleID/Bank/irgendwas PW irgendwo gespeichert?“

Naja, sei es drum … die Anzahl an erfolgreich gekaperten Account ist momentan noch null.

 

[peru3232]

Aus leidvoller Erfahrung kann ich aber noch einwerfen, dass es ebenso noch Keylogger gibt - ja, auch noch in der heutigen Zeit - und da hilft kein "sicheres" Passwort und auch kein Passwortmanager, den ich auch habe. Zumindest NICHT bei Seiten/Apps/Programmen, wo das Passwort manuell eingegeben werden muss. Darüber hinaus wird damit eine Sicherheit suggeriert, die eben gar nicht gegeben ist...

 

[Magellan]

Es sind sinnvoll große Grenzen für Passwörter möglich, unbegrenzt würde ich aber entsprechende POSTS für entsprechende Eingabefelder aber nie werden lassen.

Also wirklich "unbegrenzt" ist natürlich unsinnig, das bringt ja sicherheitstechnisch irgendwann eh nichts relevantes mehr und dann will ich in erster Linie den Traffic schon gar nicht haben.

Mir ging es nur darum zu sagen dass es eigentliche keine Notwendigkeit gibt Passwörter auf z.B. 16 Zeichen zu limitieren, auch 1000 Zeichen wären kein Problem für die Verarbeitung. Millionen von Zeichen würde ich auch nicht zulassen. Die meisten Passwortsafes würden das auch nicht unterstützen, ich glaube Bitwarden kann um die 4000 Zeichen speichern, Google "nur" 100...

 

[Saint81]

und die meisten auf der Welt nicht mal ein ü haben, bin ich absolut sicher.

Kein Geschäftsreisender also. Ich hab aus genau diesem Grund Ä, Ö und Ü aus meinen Passwörtern verbannt, weil jedes mal wenn ich an einem Non-QWERTZ Gerät sitze nichts mehr eingetippt bekomme

 

[alyk.brevin]

hab jetzt nicht alle kommentare gelesen, aber gibt doch schon
https://haveibeenpwned.com/Passwords

 

[senf.dazu]

Ich verwende bei alle Webservices die es zulassen Passkeys.

Leider sieht die Bilanz des Apple Passwortmanagers trotzdem furchtbar aus:
Alle 115
Passkeys 2
Sicherheit 3

Computerbase geht da mit gutem Beispiel voran: die Webseite ist eine von den 2en.
(Aber ich glaub das übliche Problem von Passkey fähigen Websites hat Computerbase auch - man muß sich erst mit Passwort anmelden, dann kann man den PassKey ergänzen. Dadurch wird aber die Webseitenanmeldnung per Passwort nicht automatisch deaktiviert. Man kann das Passwort auch auf dem Server nicht deaktivieren .. ich erinnere mich aber nicht mehr dran ob's hier wirklich so ist, hab das Passwort auf meiner Seite (Passwortmanager) nach der Registrierung des Passkeys weggeschmissen damit ich's nicht ausversehen doch mal verwende)

Der Rest der 115 nutzt normale Passworte - und jeder Server hat seine persönlichen Passwortregeln.

Am härtesten ist die Consorsbank - die hat dem Account (für's Browser Banking) allen Ernstes ein 5 stelliges Passwort mitgegeben das man nicht ändern kann. Passwort zu lang ist aber durchaus auch öfter mal vertreten (Das ist ja schon fast wie ne Mitteilung des Server Exploits: Bitte mal ein Passwort länger als .. eingeben). Webseitenpasswortregeln die vielstellige Apple Passworte ablehnen weil nirgendwo ne Kleinschreibung oder Sonderzeichen auftaucht sind auch nicht unhäufig.

Bei Ablehnung von Passworte reagiert man nach dem 3. Fehlversuch dann automatisch mit dem Default Passwort oder einem ultrakurzen.

Manchmal nervt aber auch die Gestaltung der Webseite (zusätzlich): das halbautomatische Abspeichern des automatisch generierten komplexen Passworts mag ja noch gelingen wenn es akzeptiert wird. Wird es aber nicht akzeptiert und man muß erst basteln landet oft genug das falsche Passwort im Passwortmanager. Und bei 3. Fehlversuch dann ..

Und an der ganzen Misere sind diese Institute schuld - die immer noch über Passwortregeln philosophieren statt sie endlich als technisch überholt brandzumarken - und der Politik endlich in den Hintern zu treten das Passworte für nichts mehr Stand der Technik sind. Und das man gefälligst FIDO resident keys oder Passkeys oder allenfalls Klasse oder getrennte QR- oder PhotoTan-Reader zu verwenden habe.

 

[Nebula123]

Die Liste sagt doch eins aus: das viele Nutzer ein fragwürdiges Sicherheitsbewusstsein haben und PW wahrscheinlich eher als lästig ansehen.

 

[Atze-Peng]

Bevors jemand anderer macht 😂

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Die Szene ist zeitlos. Grandios.

 

[andy_m4]

Naja und nicht überall sind die Anbieter so hinterher, dass Argon2 zum Einsatz kommt. :/

Mag sein. Aber es taugt dann halt nicht als Begründung.

Deine Annahme ist der doofe Angreifer, der nur einen Account abklopft.
Schlaue Angreifer nehmen ihr Botnetz, klopfen tausende Nutzer aller Zeitraum X ab.

Ändert doch aber im Grunde gar nichts an dem, was ich sagte. Nämlich das eine Begrenzung sinnvoll ist.

Ach komm, dass ist einfach billigst.

Das kann ich nur zurück geben. Alle Argumente die Du gegen lange Passwörter hast funktionieren nur, wenn man sein System möglichst doof baut.

 

[BeBur]

Aus leidvoller Erfahrung kann ich aber noch einwerfen, dass es ebenso noch Keylogger gibt - ja, auch noch in der heutigen Zeit - und da hilft kein "sicheres" Passwort und auch kein Passwortmanager, den ich auch habe. Zumindest NICHT bei Seiten/Apps/Programmen, wo das Passwort manuell eingegeben werden muss. Darüber hinaus wird damit eine Sicherheit suggeriert, die eben gar nicht gegeben ist...

Ja, das falsche Verständnis haben viele hier im Thread. Der Hauptgrund für einen Passwortmanager ist NICHT die Passwörter für den Fall abzusichern, dass der eigene PC kompromittiert ist. Deswegen sagen wir auch nicht "Passwortsafe", sondern "Passwordmanager'. Der verwaltet Passwörter, er macht es leicht, für jeden Dienst ein einzigartiges, im Regelfall zufällig generiertes zu verwenden.

Ich kenne den faktischen Zugewinn nicht, aber der theoretische Mehrgewinn den Passwort-Container mit Challenge-Response, super krass sicherem Passwort o.ä. abzusichern ist erstmal nahe Null, denn wenn jemand den Rechner kompromittiert und man sich selber Zugriff auf seine Passwörter verschafft, dann hat in diesem Moment auch der Angreifer vollen Zugriff auf diese.

Gegen kompromittierung eines Systems sichert man sich mit 2FA ab, nicht mit einem Passwortmanager.

 

[andy_m4]

Gegen kompromittierung eines Systems sichert man sich mit 2FA ab, nicht mit einem Passwortmanager.

Ergänzung:
Und selbst da hast Du noch genug Probleme offen. Weil die nützt ja kein 2FA-abgesicherter Login was, wenn die Malware dann einfach Deine Session übernimmt, sobald Du Dich eingeloggt hast.
(weshalb besonders sicherheitskritische Dienste wie Online-Bankung ja auch noch 2FA für sensible Aktionen wie Überweisungen haben)

Jedenfalls sollte man sich bemühen sein Rechner sauber zu halten. Unglücklicherweise ist es immer noch ziemlich verbreitet allen möglichen "Mist" zu installieren.
Ich mein, wenn man das unbedingt machen will, sollte man zumindest für Spiel- und Testinstallation so was wie eine VM (oder vergleichbar) benutzen, um das Risiko abzumildern.

 

[Caramon2]

Kein Geschäftsreisender also. Ich hab aus genau diesem Grund Ä, Ö und Ü aus meinen Passwörtern verbannt, weil jedes mal wenn ich an einem Non-QWERTZ Gerät sitze nichts mehr eingetippt bekomme

Vergleichbares Problem bei meiner OPAL-verschlüsselten MX500:

Das unveränderbare PBA nutzt das US-Layout. Für das Passwort habe ich also nur Zeichen verwendet, die bei US und DE auf den selben Tasten liegen. Da man blind tippen muss, will ich nicht auch noch bei y, z, -, usw. umdenken müssen.

 

[Palomino]

6. kaffeetasse

Gut dass ich mich für TasseKaffee entschieden habe. Das ist so selten, das wird nie jemand erraten.

 

[Araska]

@Palomino : Nimm doch wenigstens TaffeKassee...

 

[Neos2c]

Ich werde meine Passwörter jetzt alle auf 123456 ändern, da jetzt sicher niemand mehr damit rechnet, dass noch jemand dieses Passwort benutzt. Ein genialer Plan wie ich finde...