Vor knapp zwei Wo­chen wurde phpbb.​com ge­hackt - und rund 20000 Pass­wör­ter der User im Netz ver­öf­fent­licht. Bei Dark­rea­ding gibt es nun einen Ar­ti­kel, der die Stär­ke der ge­wähl­ten Pass­wör­ter ana­ly­siert - sehr in­ter­es­sant ist auch der Ver­gleich zum Vor­fall vor an­dert­halb Jah­ren, bei dem über eine Phis­hing-Sei­te MyS­pace-Pass­wör­ter ge­sam­melt und ana­ly­siert wur­den. Meine da­ma­li­ge Aus­sa­ge be­züg­lich der Stär­ke der selbst ge­wähl­ten Pass­wör­ter ("ich per­sön­lich deut­lich schlim­me­res ver­mu­tet") muß ich wohl re­la­ti­vie­ren: Ein Teil der Stär­ke rührt wohl von den Zwangs­maß­nah­men von MyS­pace her, die eine Pass­wort­län­ge von 6-10 Zei­chen und min­des­tens ein Son­der­zei­chen er­zwin­gen. phpbb.​com tat dies nicht, und prompt sieht die Quote schlech­ter aus.

Erste er­nüch­tern­de Er­kennt­nis: Je nach­dem, wel­che Wör­ter­bü­cher man ver­wen­det, fand der Autor zwi­schen 65% und 94% aller Pass­wör­ter in einem Dic­tio­na­ry. Der ei­ge­ne Vor­na­me oder der von Frau oder Kin­dern ist nach wie vor ein hei­ßer Kan­di­dat (16% Tref­fer­quo­te), wenn man ein Kenn­wort er­ra­ten möch­te. Fast eben­so häu­fig wur­den cha­rak­te­ris­ti­sche Tas­ten­se­quen­zen wie "qwer­ty" oder "123456" ver­wen­det (14%). Ähn­lich wie im MyS­pace-Fall ("mys­pace1") fand sich der Name der Web­sei­te ("phpbb") unter den Top 5 der ver­wen­de­ten Pass­wör­ter. Be­grif­fe der Pop­kul­tur wie Ei­gen­na­men von (ört­lich) na­he­lie­gen­den Din­gen wie den Mar­ken­na­men von Rech­nern und Mo­ni­tor wur­den eben­falls sehr häu­fig ver­wen­det.

Alles in allem sieht man, daß Be­nut­zer wenig Wert auf si­che­re Pass­wör­ter legen. Das Pass­wort beim Login wird wohl als läs­ti­ges Hin­der­nis er­ach­tet - eine span­nen­de Frage bleibt, ob die User bei "wich­ti­ge­ren" Sys­te­me wie dem Login da­heim oder in der Firma von sich aus sorg­fäl­ti­ger sind. Für Web­fo­ren schei­nen Zwangs­maß­nah­men wie Min­dest­län­gen und die Ver­wen­dung von Son­der­zei­chen nötig, um we­nigs­tens ein wenig mehr Si­cher­heit zu er­zwin­gen. Für Mas­sen­log­ins wie bei­spiels­wei­se bei den Ac­counts an Schu­len und Uni­ver­si­tä­ten sind wohl re­gel­mä­ßi­ge pro­phy­lak­ti­sche Dic­tio­na­ry-At­tacks durch die Ad­mi­nis­tra­to­ren an­zu­ra­ten (was na­tür­lich in den Nut­zer­be­din­gun­gen an­ge­kün­digt sein soll­te).