Passwortstatistik von phpbb.com

Vor knapp zwei Wochen wurde phpbb.com gehackt - und rund 20000 Passwörter der User im Netz veröffentlicht. Bei Darkreading gibt es nun einen Artikel, der die Stärke der gewählten Passwörter analysiert - sehr interessant ist auch der Vergleich zum Vorfall vor anderthalb Jahren, bei dem über eine Phishing-Seite MySpace-Passwörter gesammelt und analysiert wurden. Meine damalige Aussage bezüglich der Stärke der selbst gewählten Passwörter ("ich persönlich deutlich schlimmeres vermutet") muß ich wohl relativieren: Ein Teil der Stärke rührt wohl von den Zwangsmaßnahmen von MySpace her, die eine Passwortlänge von 6-10 Zeichen und mindestens ein Sonderzeichen erzwingen. phpbb.com tat dies nicht, und prompt sieht die Quote schlechter aus.

Erste ernüchternde Erkenntnis: Je nachdem, welche Wörterbücher man verwendet, fand der Autor zwischen 65% und 94% aller Passwörter in einem Dictionary. Der eigene Vorname oder der von Frau oder Kindern ist nach wie vor ein heißer Kandidat (16% Trefferquote), wenn man ein Kennwort erraten möchte. Fast ebenso häufig wurden charakteristische Tastensequenzen wie "qwerty" oder "123456" verwendet (14%). Ähnlich wie im MySpace-Fall ("myspace1") fand sich der Name der Webseite ("phpbb") unter den Top 5 der verwendeten Passwörter. Begriffe der Popkultur wie Eigennamen von (örtlich) naheliegenden Dingen wie den Markennamen von Rechnern und Monitor wurden ebenfalls sehr häufig verwendet.

Alles in allem sieht man, daß Benutzer wenig Wert auf sichere Passwörter legen. Das Passwort beim Login wird wohl als lästiges Hindernis erachtet - eine spannende Frage bleibt, ob die User bei "wichtigeren" Systeme wie dem Login daheim oder in der Firma von sich aus sorgfältiger sind. Für Webforen scheinen Zwangsmaßnahmen wie Mindestlängen und die Verwendung von Sonderzeichen nötig, um wenigstens ein wenig mehr Sicherheit zu erzwingen. Für Massenlogins wie beispielsweise bei den Accounts an Schulen und Universitäten sind wohl regelmäßige prophylaktische Dictionary-Attacks durch die Administratoren anzuraten (was natürlich in den Nutzerbedingungen angekündigt sein sollte).