Sind Passwort-Listen Humbug?
Eine vom HPI veröffentlichte Liste mit den „beliebtesten Passwörtern 2023 in Deutschland“ basiert teilweise auf automatisch erstellten Fake-Accounts und nicht auf den Daten echter Nutzer. Leider wurde die Liste meist falsch verstanden.
Mitte Dezember 2023 hat das Hasso-Plattner-Institut (HPI) eine Liste mit zehn Passwörtern veröffentlicht, die im vergangenen Jahr in Deutschland am „beliebtesten“ gewesen sein sollen. Zahlreiche Medien haben das aufgenommen und meist in aufgeregt-anklagendem Tonfall über „leichtsinnige“ Anwender geschrieben. Aber ist das wirklich so? Bezogen auf die vom HPI veröffentlichte Liste würde ich sagen, nein.
Auf der Liste tauchen neben offensichtlich miserablen Passwörtern wie „123456789“, „12345678“ und „hallo“ auch für Deutschland eher ungewöhnliche Begriffe wie „target123“ und „qwerty123“ auf. Wer hierzulande einen Blick auf seine Tastatur wirft, der wird die Zeichenfolge „qwerty“ dort nicht finden, sondern nur „qwertz". Die Buchstaben q, w, e, r, t und y liegen dagegen auf US-amerikanischen Tastaturen direkt nebeneinander. Das ist auch Professor Christian Dörr aufgefallen.
Fake-Accounts beeinflussen die Top-10
Dörr ist Leiter des Fachbereichs „Cybersecurity – Enterprise Security“ am HPI. Sein Team hat die Daten ausgewertet. Sie stammen wohl hauptsächlich aus im Darknet gefundenen Leaks. In einem bei LinkedIn veröffentlichten Blog-Post erläutert Professor Dörr, warum die Liste auch so ungewöhnliche Begriffe wie „target123“ und „qwerty123“ enthält.
Sie gehen seinen Angaben nach auf „Unmengen“ Fake-Accounts zurück, die von Cyberbetrügern unter anderem zum „Manipulieren von Bewertungen in Online-Shops“ oder zur „Verbreitung von Fake-News“ erstellt werden. Weiter schreibt Dörr: „Weil es so unfassbar viele dieser Fake-Accounts gibt [...] landen diese nun auch in den Top 10“.
Andreas Th. Fischer
Damit gibt er aber selbst zu, dass die Liste zu nicht näher spezifierten Teilen auf automatisch generierten Accounts aus dem Ausland basiert und nicht allein auf den bei echten Anwendern in Deutschland beliebtesten Passwörtern des vergangenen Jahres. Was man eigentlich erwarten würde.
Genau dieser falsche Eindruck ist aber bei den meisten Lesern und auch in der Presse entstanden. Eine löbliche Ausnahme ist Nadine Dressler. Sie merkt auf WinFuture an, dass "die Liste der Passwörter also nicht zwingend mit echten Nutzern gleichzusetzen ist".
Als Gegenbeispiel hat t3n dagegen nur eine dpa-Meldung übernommen, in der es heißt, dass "viele Menschen fahrlässigerweise auf einfache Wörter oder simple Tastatur-Muster oder -Abfolgen als Passwörter vertrauen". Was ja prinzipiell stimmen mag, aber auf die vom HPI veröffentlichte Liste eben nur teilweise zutrifft.
An keiner Stelle seiner Veröffentlichungen geht das HPI auf die Frage ein, warum neben "target123" und "qwerty123" nicht auch andere der sogenannten Top-10-Passwörter wie „12345678“, „password“ oder „password1“ von automatisch generierten Fake-Accounts stammen sollen oder zumindest davon beeinflusst wurden?
Ja, aber ...?
Auch auf einen diesbezüglichen Kommentar der LinkedIn-Nutzerin Kerstin A. geht das HPI nicht wirklich ein. Obwohl Frau A. die Aussage "123456789 ist das beliebteste Passwort 2023 in Deutschland" einen „offensichtlichen Humbug“ nennt, verweist Professor Dörr stattdessen darauf, dass "das Passwort iloveyou bei gemeinsamen E-Mail-Accounts von Paaren beliebt" sei und dass "kontinuierlich mehr Webseiten Anforderungen an die Mindestlänge von Passworten" hätten.
Aber darum geht es ja gar nicht. Eine Liste, die zumindest in der zweiten Hälfte einige Einträge enthält, die von automatisch erstellten Fake-Accounts stammen, ist keine Liste der bei Anwendern beliebtesten Passwörter in Deutschland.
