[English]Auch wenn sich die IT in Richtung passwort-lose-Anmeldung (passkey & Co.) bewegen sollte, sind Anmeldungen per Benutzername und Kennwort weit verbreitet. Genauso weit verbreitet sind bestimmte Fehler bei der Wahl der Kennwörter, was die Sicherheit gefährdet. Mir ist die Tage eine Übersicht von Hostinger zu diesem Thema zugegangen, die ich hier kurz einstellen möchte.
Schwache Passwörter sind nach wie vor eine der Hauptursachen für Datenschutz-Vorfälle. Leider lassen sich über 80 % der Vorfälle mit kompromittierten Anmeldedaten in Verbindung bringen, schreibt Hostinger. Um besser zu verstehen, warum so viele Passwörter keinen wirklichen Schutz bieten, haben die Experten von Hostinger Tausende von Einträgen aus der realen Welt in mehreren geleakten Datensätzen analysiert.
Die vier häufigsten Passwort-Fehler
Mithilfe einer Kombination aus maschinellem Lernen und Verhaltensanalyse wurden die häufigsten Passwortfehler identifiziert und herausgefunden, warum Benutzer sie immer wieder begehen.
1. Kurze Passwörter verwenden
Erkenntnis: 21,7 % der von Hostinger analysierten Passwörter bestanden aus weniger als 8 Zeichen – alle wurden sofort geknackt.
Warum das so ist: Kurze Kennwörter sind schneller zu schreiben und leichter zu merken. Aber sie sind auch die ersten, die durch Brute-Force-Angriffe geknackt werden: Achten Sie darauf, dass Ihr Passwort mindestens 12 Zeichen lang ist, am besten in Form einer Phrase oder eines Satzes, den Sie sich merken können.
2. "Einzigartige" Passwörter verwenden
Einsicht: Kennwörter, die einzigartig aussehen (wie „minebluecar67"), bestehen oft aus Mustern mit geringer Entropie, die leicht zu knacken sind: Menschen wählen vertraute Wort-Zahlen-Kombinationen, weil sie glauben, dass sie sicherer sind als allgemeine Passwörter. Doch diese Formate sind sehr vorhersehbar.
Was Sie jetzt tun können: Mischen Sie Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen und vermeiden Sie häufige Wörter oder Muster.
3. "Sehr schwach" bedeutet nicht immer "kurz"
Einsicht: Obwohl einige dieser Kennwörter mehr als 20 Zeichen lang waren, lag die Knackrate bei 13 %, so dass sie fast genauso leicht zu knacken waren wie viel kürzere Kennwörter: Die Leute nehmen an, dass längere Kennwörter automatisch sicherer sind, aber Wiederholungen verringern die Sicherheit (wie „aaaaaaa" oder „123123123").
Was Sie jetzt tun können: Vermeiden Sie Wiederholungen. Abwechslung in der Struktur ist genauso wichtig wie die Gesamtlänge.
4. Geknackte Passwörter verwenden
Einsicht: Ein großer Teil der heute verwendeten Passwörter taucht immer noch in den Top 10 Millionen der am häufigsten geleakten Passwörter auf. In der von Hostigner durchgeführten Studie stimmten 475 Passwörter mit hochfrequenten Einträgen aus den Listen der weltweiten Sicherheitsverletzungen überein.
Warum das passiert: Die Menschen sind sich nicht bewusst, dass ihre Anmeldedaten kompromittiert wurden, oder sie verwenden alte Passwörter aus Gewohnheit wieder.
Was Sie jetzt tun können: Nutzen Sie Websites wie "Have I Been Pwned", um Ihre Anmeldedaten regelmäßig zu überprüfen, und vermeiden Sie die Wiederverwendung von Passwörtern, die auf einer Liste bekannter Sicherheitsverletzungen stehen.
Fazit der Studie
Viele Menschen gehen davon aus, dass sie, sobald sie ihre Datenschutzeinstellungen eingerichtet oder ein sicheres Passwort gewählt haben, vollständig geschützt sind.
Aber die Wahrheit ist, dass Sicherheit und Datenschutz ein fortlaufender Prozess sind. Ständig tauchen neue Bedrohungen und Schwachstellen auf, und die Plattformen, die wir nutzen, entwickeln sich ständig weiter.
Um sicher zu sein, muss man wachsam bleiben – eine regelmäßige Überprüfung der Datenschutzeinstellungen, sichere und eindeutige Passwörter und die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) sind ebenso wichtig wie die Ersteinrichtung.
Sicherheitsrelevante Einstellungen sollten im Laufe der Zeit gepflegt werden, um sicherzustellen, dass sie immer noch Ihren Bedürfnissen entsprechen und das richtige Maß an Schutz bieten.
MVP: 2013 – 2016
Das beste PW nützt dir halt nix, wen du es dir klauen lässt, sei es durch Pishing oder infostealer direkt alle PW aus dem PWsafe ;-P oder noch schlimmer (da kannst du selbst nämlich wirklich mal nix für) wenn Drecksfirmen zu blöd sind und sich die Datenbank hacken lassen…
Ist doch erst die Tage wieder nen PW Datenbank mit Millionen an Datensätzen in ner offenen Elastic Datenbank aufgetaucht ;-P
Passwörter haben in einer DB nichts zu suchen, nur Hashes
Und die Hashes sollten mit einem sicheren Hashverfahren erstellt worden sein.
Also NICHT MD5 oder SHA1, sondern mindestens SHA2 (SHA256, SHA 384, SHA512).
MD5 und SHA1 gelten als unsicher.
In einem guten Paßwort- Manager sind die Paßwörter verschlüsselt, Hacker können also garnicht an die unverschlüsselten Paßwörter kommen.
Ein Hacker hat doch alle Zeit der Welt, wenn er die Datenbankdatei des Passwortmanagers in die Hände bekommt und diese nicht von weiteren Faktoren außer dem Passwort für den Zugriff abhängig ist.
Und dann gelten wieder nur die Regeln für (un-)sichere Passwörter.
Moin,
ich kenne noch einige Webseiten sowie Anwendungen, da sind die Zeichen auf 16 oder 18 begrenzt. Sonderzeichen sollte man auch nicht verwenden, weil die falsch interpretiert werden und man sich aussperrt. Im Handbuch steht als Hinweis dann mal, dass es eine Zeichenbegrenzung gibt, aber nicht unbedingt. welche verwendet werden können.
MfG,
Blackii
Vor paar Jahren habe ich zufälligerweise entdeckt, dass ein Softwareupdate für meinen (Netgear) Switch (managed) verfügbar war. Obwohl es eigentlich nicht unbedingt nötig gewesen wäre, weil ich eh keine 'höheren' Funktionen verwende und dieser nur angeschafft wurde, weil beim Bedarf der Preis deutlich runtergesetzt war, habe ich es trotzdem installiert, denn es hakte bei mir im Netzwerk ab und zu aus nicht nachvollziehbaren Gründen und ich dachte, dass es dadurch vielleicht besser werden würde (und auch nicht schaden könnte).
Nach der Installation hat der Webserver auf der Anmeldeseite beim Passwort direkt neue Informationen angezeigt und zwar welche Zeichen nicht (mehr) erlaubt seien (oder zum Passwortwechsel aufgerufen) ohne das alte Passwort zurückzusetzen.
Ende vom Lied: Ich musste mehrere Stunden nach einer Möglichkeit suchen, den Switch wieder auf einen Stand zurückzusetzen, der eine Änderung des Passwortes zulies (oder auf Standard zurückgesetzt hat) und mit dem aktuellen Softwarestand nach dem Upgrade kompatibel war…
PS Bei Amazon waren vor 20-25 Jahren nur Buchstaben und Zahlen beim Passwort erlaubt, glaube ich und das mit den Sonderzeichen, die man zwar bei Passwortvergabe verwenden kann, aber beim Einloggen dann nicht funktionieren kenne ich zu genüge! [ Tipp: Im 'KeePass Passwort-Generator' immer die "Latin-1 Supplement"-Zeichen weglassen! ;) ]
2FA ist nur dann sicherer als ein einfaches Passwort, wenn der 2. Faktor auf ein anderes Gerät gesendet wird als auf dem, an dem der 1. Faktor eingegeben wird.
Beispielsweise, wenn für 2FA nur das Smartphone genutzt wird, ist 2FA nicht sicherer als ein Passwort, denn Schadsoftware kann kann den 2. Faktor abgreifen.
Ein weiterer Fehler ist, Passwörter mehrfach zu verwenden.
Z.B. für 10 Onlineshops das gleiche eine Passwort zu verwenden anstatt 10 unterschiedliche Passwörter.
Und Länge schlägt Komplexität!
Ein Passwort mit 12 Zeichen aus 3 verschiedenen Zeichentypen (z.b. Kleinbuchstabe, Großbuchstabe, Ziffer) ist sicherer als eines mit 8 Zeichen aus 4 verschiedenen Zeichentypen (z.b. Kleinbuchstabe, Großbuchstabe, Ziffer, Sonderzeichen).
Das lässt sich sogar mathematisch beweisen.
Und das so viele Passwörter gestohlen werden können, liegt am systemischen Fehlern in den Datenbanken.
Entweder, die Passwörter werden da im Klartext gespeichert oder als MD5-Hash.
MD5 sollte man aber nirgendwo mehr verwenden, das gilt schon seit vielen Jahren als unsicher und leicht knackbar. Besser wäre AES als Hashverfahren.
Bei 2FA kommt es auf die Art an ob es aus Sicherheitsgründen ein weiteres Gerät benötigt. Bei SMS/Email klar, wobei letzteres ausschließlich in einer zusätzlichen Anwedung gelesen schon deutlich besser ist und eine ausgeklügeltere Schadsoftware nötig machen würde.
Wenn aber der 2. Faktor beispielsweise mit einem Sicherheitschip und zusätzlicher PIN, eingegeben, am besten in einer sichereren Umgebung, oder manueller Freigabe oder noch besser, biometrischer Authentifizierung gespeichert ist, sieht das schon wieder anders aus.
Ich musste vor kurzem von KeePass2 auf KeePassXC wechseln, weil ein Dienst zwangsweise eine "neue, sichere und beqeueme Authentifizierung" verlangt hat was KP2 nicht kann und ich 'Windows Hello' nicht verwenden wollte, das ich sowieso deaktiviert habe.
Anstatt, dass der Browser die Zugangsdaten automatisch einträgt wird jetzt eine 'Passkey'-Anfrage gesendet, die innerhalb der KPXC Anwendung bestätigt werden muss. Das scheint so auch relativ sicher zu sein. Gut 'Passkey' ist genau genommen keine 2FA, das würde mit KPXC aber auch gehen per TOTP (Zeitlich begrenztes Einmalspasswort) abgeleitet aus einem vorher erzeugten und eingeflegten Token, quasi als (Microsoft/Google…) Authenticator Ersatz.
Das Umziehen auf die "beqeueme Authentifizierung" hat übrigens 'nur' einen Tag gedauert… (inklusive Suche einer kompatiblen Anwendung, sämtlicher Sicherheitsprüfungen, Installation der Software und des zugehörigen Browser Addons, setzen aller Einstellungen bei beiden, Migration der Datenbank und der Schlüsseldatei, anlegen von redundanten Backups und Gegenprüfung auf Funktionalität, Einrichtung des Passkeys ohne Vorkenntnisse und Beseitigung von kleineren Unannehmlichkeiten, wobei ich noch immer nicht ganz zufrieden bin!)
Beim Rest gehe ich soweit mit!
PS Du meinst nichts AES sondern SHA (Secure Hash Algorithm) ;)
"Have I Been Pwned" ist nicht wirklich nützlich. Nach Aussage des Betreibers wird nur geprüft, ob die zu testende Email-Adresse in irgendeinem der vielen Leaks enthalten ist. Ob ein dazugehöriges Kennwort und für welchen Zugang dieses Kennwort verwendet wird, lässt sich mit "Have I Been Pwned" nicht herausfinden.
Dass meine Emailadresse in irgendeinem Leak steckt, ist IMHO für meine Sicherheit bedeutungslos.
Wie einer hier schreibt https[:]//www[.]troyhunt[.]com/inside-the-massive-711-million-record-onliner-spambot-dump/
"If you're a security conscious person and you use a different password for each site then potentially you might have hundreds (if not thousands) of websites where you might have used the compromised password. Most of the sites won't have a 2FA so you have an option to either:
1. Rotate the password everywhere (good luck!)
2. Ignore the problem altogether and hope for the best (high chance attacker won't be able to match the password with the correct site)
Knowing the password would allow you to pinpoint the source and change the password only there. I know you have good reasons not to give the passwords but there's value there. And if I may have a suggestion, this seems like a feature you might charge money for."
"Ob ein dazugehöriges Kennwort und für welchen Zugang dieses Kennwort verwendet wird, lässt sich mit "Have I Been Pwned" nicht herausfinden."
Nein, aber man kann dort zumind. ein Passwort auf eine grundsätzliche Kompromittierung (wie bspw. Leaking) abprüfen.
Sollte doch auch schon hilfreich sein, oder?
@User007: Ich kann doch auf der Seite gar kein Passwort eingeben, dass gegen eine Leak-Liste geprüft wird.
Ich kann nur meine Email-Adresse lieschen-mueller@abc.de eingeben.
Klar: Wenn es eine 1:1-Beziehung zwischen Email-Adresse und Kennwort gibt, dann bin ich bei Dir. Dann ist mit der Prüfung auf die Email-Adresse auch das Kennwort geprüft.
Wenn aber gilt: 1 Email-Adresse : n Kennwörter, dann nützt die Abfrage herzlich wenig.
"Ich kann doch auf der Seite gar kein Passwort eingeben, dass gegen eine Leak-Liste geprüft wird."
Ich würd's mal unter https://haveibeenpwned.com/Passwords probieren. 😉
Natürlich gibt's hier nicht den Bezug mitgeliefert, aber es könnte schonmal aufzeigen, ob das Passwort mglw. einer grundsätzlichen Korrumpierung (bspw. durch ein "Leaking") ausgesetzt ist/war. 🤷♂️
Leider kenn' ich allerdings die Anzeige im Negativ-Fall nicht wirklich, weil's den – zum Glück – bei mir noch nicht gab! 😇
@User007: Auch Dir – siehe weiter unten zu @TAFKAegal: Danke für den Hinweis. Das wusste ich nicht.
vor allem ist HIPB sinnlos, weil dei Datenstände nicht bereinigt werden… prüfe ich da wird mir immer angezeigt das ich betroffen bin… mit alten Datensätzen die seit 15+ Jahren überholt sind!
Die Infos sind knapp 8 Jahre alt. Die Möglichkeit zur Passwortprüfung wurde vor über 7 Jahren eingeführt ;)
[ https://de.m.wikipedia.org/wiki/Have_I_Been_Pwned%3F ]
-> Funktionen – Pwned passwords
@TAFKAegal: Danke für den Hinweis. Das wusste ich nicht.
Wenn man ein seltenes Kennwort für einen Account nutzt und dieses in der Liste auftaucht, kann man mit hoher Wahrscheinlichkeit daraus schließen, dass dieser Account kompromittiert ist.
Allerdings wäre es nützlicher, wenn beide Funktionen – leaked Email-Adresse zusammen mit Kennwort – vereint abrufbar wären. Dann kann man auf das geleakte System und dessen zugehörigen Account ebenfalls mit hoher Wahrscheinlichkeit schließen. Und dann gezielt dort das Kennwort ändern.
"Wenn man ein seltenes Kennwort für einen Account nutzt und dieses in der Liste auftaucht, kann man mit hoher Wahrscheinlichkeit daraus schließen, dass dieser Account kompromittiert ist."
Nein, der Account muß (noch) nicht korrumpiert sein, aber man kann von einem existenten Risiko dafür ausgehen und hat zumind. Kenntnis von der Korrumpierung des Passworts.
"Allerdings wäre es nützlicher, wenn beide Funktionen – leaked Email-Adresse zusammen mit Kennwort – vereint abrufbar wären."
Nein, das erscheint nur "nützlicher", weil's für die Nutzer bequemer ist! 🤨
Außerdem wird genau das wohl eben bewußt nicht angeboten, weil damit zumind. der Betreiber bei nicht korrumpierten Passwörtern gleich Kenntnis von einem authorisierten Login erlangen könnte – das wollte sicher niemand, gell?! 🤔
Der Zweck ist ja vorrangig die Menschen für die Passwort-Thematik zu sensibilisieren und nötigenfalls auf ein Korrumpierungsrisiko bzw. den -fall aufmerksam zu machen – den Rest müssen die Nutzer schon SELBST managen! ☝️
@User007:
"Nein, der Account muß (noch) nicht korrumpiert sein, aber man kann von einem existenten Risiko dafür ausgehen und hat zumind. Kenntnis von der Korrumpierung des Passworts."
Zustimmung. Das ist – genauer formuliert als bei mir – das, was ich ausdrücken wollte: Kombination Email-Adresse+Kennwort ist zumindest in einem Leak bekannt. Ob die Systeme, für die diese Kombination verwendet wird, tatsächlich korrumpiert sind, ist damit tatsächlich nicht ausgesagt.
"Außerdem wird genau das wohl eben bewußt nicht angeboten, weil damit zumind. der Betreiber bei nicht korrumpierten Passwörtern gleich Kenntnis von einem authorisierten Login erlangen könnte"
Hier würde ich jetzt genauer formulieren ;-)
Der Betrieber weiß nun von einer Kombination "Username+Kennwort". Für welche Systeme diese Kombination anzuwenden wäre, ist ihm (noch) nicht bekannt.
Verwende für jede Seite eine eigene Mailsdresse und ein eigenes Passwort. Was manchmal fast schon Lustig ist, wenn dann die Mailsdresse nicht verwendet werden darf, weil der Produktname drin vorkommt (vor dem @).
Aber so weiss ich wenigstens wo mal wieder Daten abgezogen wurden.
…samsung…@ ist so ein Kandidat der nicht erlaubt ist. Mache ich auch so.
Aber zu 99,x% kommen glücklicherweise nie Spam Mail an diese Adressen.
Jau, mache ich auch seid >10 Jahren so.
Immer lustig wenn z.B. ein Arzt sich freut das ich sogar schon ne eigene Mailadresse für Ihn angelegt hätte … ;-)
Klar mach so eine Catchall-Funktion auch unnützen Beifang, hält sich aber über die Jahre gesehen doch sehr in Grenzen.
Das ist ja alles schön und gut. Aber wenn ein Hoster, Provider etc nen Bruteforceangriff nicht abwehrt, hat der ganz andere Probleme.
Und dass selbst ein einfaches Passwort (von den Top 10 mal abgesehen) direkt erraten wird, dürfte so gut wie ausgeschlossen sein.
Also wie so oft viel Lärm um Nichts oder auch pure Panikmache.
Was genau hat man jetzt analysiert?
Wenn ich ein Leak an Passwörtern habe, dann ist es total sinnlos darin schwache Passwörter zu ermitteln. Das Vorgehen bringt nicht wirklich was, da es keine Aussage darüber trifft wie man an die Passwörter gelangt ist. Es kann am schwachen Passwort liegen, die Ursache kann aber eine ganz Andere sein. Am Ende gibt es ganz andere Gründe als schwache Passwörter. Natürlich sind schwache Passwörter ein massives Problem, gerade die 0815 Passwörter. Was durchaus interessant wäre (wenn es schon einen Hoster betrifft) in welchen Umfang und wie sowas ausgenutzt wird. Gerade im Hinblick auf Anzahl gescheiterer Anmeldeversuche. Ich kann mir zwar vorstellen, dass Jemand Brute-Force-Angriffe mit leichten Passwörtern versucht. Aber ein Wörterbuchangriff gegen eine Schnittstelle die nach 4 Versuchen erstmal dicht macht? Da kann man im Jahr ja nur ~1.500 Passwörter probieren.
Aber natürlich MUSS man in solchen Leaks auch vermehrt schwache Passwörter finden, weil Leute mit einfachen Passwörtern vmtl. auch einfache Sicherheitsregeln nicht beachten.
Also ich bin jetzt Privat seit dem VIC20 dabei (1980) davor bereits beruflich Großrechner mit Lochkarten programmiert… bisher kein einziger "Abgriff/Malware " auf den eigenen Systemen… trotzdem bin ich mit bei Have i be pawned mit (längst veralteten) Datensätzen dabei. Warum?
Weil Drecksfirmen ihr IT nicht im Griff hatten und teilweise Datensätze inkl. PW sogar im Klartext abgespeichert hatten und so dumm waren sich hacken zu lassen! *Hust Sony; *Hust Adobe; *Hust LastFM
Also Nein PW sind nicht wirklich das Problem! Unfähige IT ist das Problem!
Online Dienste bei der BruteForce erfolgreich ist oder Daten im Klartext gespeichert sind gehören liquidiert (egal wie groß die Firma ist)!
Ich sehe PW auch nicht unbedingt als Problem. Was jetzt nicht heißen soll, dass man kein sehr sicheres Passwort für Anwendung XY wählen soll. Wenn eine Schnittstelle mal "offen" liegt und BruteForce zulässt.
Nur das Ganze geht immer um die Passwort-Thematik, nie das Verhalten der Nutzer dahinter… Ich habe noch NIE einen ernsthaften Hinweis von irgendeinen Anbieter/Betreiber oder Behörde unaufgefordert bekommen wie man gut mit Passwörtern umgeht. Das Thema ist in der Gesellschaft praktisch nicht wirklich existent bzw. wird total oberflächlich behandelt. Um das Problem zu lösen wird dann schnell 2FA und Co. aufgedrückt, was das Problem nicht löst.
Das ist ja auch ein massives Problem. Jedes (deutsche) Nutzerkonto was übernommen wird kann dann wieder für Straftaten/Spam benutzt werden. Das führt dann ggf. zu noch mehr Opfern.
"Ich habe noch NIE einen ernsthaften Hinweis von irgendeinen Anbieter/Betreiber oder Behörde unaufgefordert bekommen wie man gut mit Passwörtern umgeht."
Hmm… also, das kommt schon vor – mir ist da tatsächlich zuletzt Anfang des Jahres von eBay ein entsprechender "Sensibilisierungshinweis" zugegangen.
Aber ja, natürlich reicht das bei Weitem nicht aus – das ursächliche Problem bleibt die in dieser Nation vorhandene Medien-Inkompetenz. 🤷♂️
Muss mal kucken, was eBay da am Jahresanfang geschrieben hat.
Ist halt alles meist auch relativ oberflächlich gehalten, fehlt dann meist an Substanz. Sollte eigentlich auch Lehrstoff in der Schule sein, wie man sich in der modernen Welt verhält. Wie hat eine Ex-Bundeskanzlerin gesagt, ist halt alles Neuland.
Wäre auch cool, wenn man einen "Internetführerschein" machen kann und z.B. 5€ zurückbekommt oder auch bei Versicherungen sowas oder für ein Bankkonto sowas nötig ist. Dazu bräuchte es aber erst mal irgendein Bürgerkonto.
"Ist halt alles meist auch relativ oberflächlich gehalten, […]"
Ja, durchaus schon, aber es geht ja auch erstmal um allgemeine Sensibilisierung – Anwender kann man auch nicht gleich mit technisch-komplexen Anleitungen "überfallen".
Bei mir standen als Empfehlungen für den Konto-Schutz zumind. schonmal die Nutzung von Passkey und zweistufiger Verifizierung (2FA), eine regelmäßige Passwort-Änderung, Kontaktdaten aktuell zu halten, auf Phishing-Mails oder sonstige Ungewöhnlichkeiten zu achten und die zu melden, sowie eine Verlinkung zu einer eBay-"Sicherheitsseite" – sicherlich noch nicht perfekt, aber das ist schonmal mehr als nichts!
"Sollte eigentlich auch Lehrstoff in der Schule sein, […]"
Ja, allerdings doch eigtl. nicht erst dort – ich seh' da, wie ebenso für andere Bereiche geltend, die Hauptverantwortlichkeit bei den Erziehungsberechtigten mit einer Verpflichtung zur ersten Bildungsvermittlung.
"[…] man einen "Internetführerschein" machen kann […]"
Kann mich erinnern, dass es bereits damals in den 80ern in meiner Schule einen AG-Kurs "Computer" angeboten gab, wo man auch schon einen entsprechenden "Führerschein" machen konnte – war natürlich sehr beliebt und hoffnungslos ausgebucht, aber ich war schnell (und nerdig) genug. 😉
Na ja, "liquidiert" find' ich schon sehr fatalistisch! 🙄
Allerdings gehörten die – nötigenfalls gesetzlich – mit eklatanten Strafen geahndet und zur Beseitigung des "Datenschadens" verpflichtet, weil ja offensichtlich vielmals immer noch nicht genügend Schutzbewußtsein vorhanden ist.
Wird natürlich nichts werden, da dem die "staatlichen Interessen" entgegenstehen und so hat immer das kommerzielle "Wohl" Vorrang vor persönlichen Schutzinteressen. 🤷♂️
Es fehlt bei der ganzen Sache noch der Gedanke, dass die meisten Menschen nur 2-3 private Accounts haben, die wirklich schützenswert sind. Die Hauptemail, das Bankkonto und kritische Accounts wie Amazon oder PayPal. Die sind wertvoll genug für ein schwieriges Passwort.
Aber für Reddit oder Netflix oder irgendeinen Forum Account entsteht kein spürbarer Schaden, wenn jemand anderes darauf Zugriff hat. Deshalb wählen die meisten Nutzer dort ein Wegwerfpasswort, dass sie immer wieder verwenden.
Kriterium: leicht zu merken, leicht zu tippen.
Gleichzeitig haben diese Foren oft eine schlechte Administration… sprich jemand der das als Hobby macht und alle paar Wochen mal nach prüft ob alles noch geht und der auch keine regelmäßigen Updates aufspielt.
Und diese ungesicherten Seiten sind halt am Ende das was in großer Mehrheit in den Passwort Leak Datenbanken auftaucht.
Deshalb ist die Statistik dann auch sehr biased.
Die Aussage: Menschen verwenden generell unsichere passwörter, kann man nicht daraus schlussfolgern.
Maximal: Dort wo das Sicherheitsniveau allgemein niedrig ist, da ist auch das Sicherheitsniveau bzgl. der Passwörter niedrig.
Für die wenigen, wirklich wichtigen Konten gibt es mittlerweile eigene Email-Adressen, idealerweise MFA und sehr komplizierte Passwörter.
Laut https://leakchecker.uni-bonn.de/de/index gibt es ca. 30 Einträge mit 4 verschiedenen Passwörtern zu meiner web.de-Adresse, aber ich kann nicht zuordnen, wo das Leck passiert ist, weil keines der angedeuteten Passwörter aktuell ist. In KeePass kann ich die ja schon anzeigen lassen und alphabetisch sortieren.
In Zukunft wird das einfacher zuzuordnen aber langwieriger abzufragen bei immer mehr Alias-Adressen.
Sehe ich ähnlich. Für eine Seite, für die man sich unsinnigerweise anmelden muss, gibt es auch nur ein unsinniges Standard-Passwort. Dass Gros der Seiten hat jeweils ein halbwegs individuelles Standardpasswort (hat man einige Passwörter kann man den zugrunde liegenden Indiviualisierungs-Schritt nachvollziehen) – aber allein betrachtet ist das Passwort individuell und erfüllt alle von Günters Bedingungen. Und für die Top-5 oder Top-10 der wichtigsten Accounts (Mail, Banking… – alles was für eine Identitätsdiebstahl oder finanzielle Schäden relevant ist) gibt es hochindividuelle Passwörter nach allen Regeln der Kunst (z.B. 20 wild zusammengestellte Zeichen aus allen Zeichenklassen).
Sprich für den Shop, bei dem ich einmalig was bestelle, aber einen Kundenzugang anlegen muss, gibt es das Standardpasswort "ABCdef123" (und notfalls die Mail mit Antrag auf Löschung der Kundendaten hinterher), das auch für das Forum,wo ich einmalig was schreiben wollte, gilt. Für den wwwShop, wo ich immer mal was bestelle gibt es das indiviuellere "wwABCdef123op", womit ich mich nicht im zzzShop anmelden kann (da wäre es "zzABCdef123op"). Und beim Banking gibt es das Passwort a la "ein mal Katze über Tastatur laufen lassen, dabei sporadisch die Shift-Taste drücken, die ersten 20 Zeichen nehmen".
Mehrere (alte, irrelevante) Accounts sind laut Sicherheits-Checks durch Hacks bei den Seitenbetreibern gehackt worden. Nur können Angreifer damit eben nur auf dieses einen Account zugreifen (zu der Seite, die sie eh schon infiltriert haben), oder aber eine handvoll unbedeutender Seiten, die mir eh herzlich egal sind.