Themenspezial: Verbraucher & Service HPI

Einfach und unsicher: Tastatur-Diagonalen als Passwort

Wie können schlechte Dinge unglaub­lich erfolg­reich werden? Eine pauschale Antwort darauf gibt es nicht. Bei miesen Pass­wör­tern liegt die Sache immerhin auf der Hand: Sie sind leicht zu merken - taugen aber nicht.
Von dpa /

HPI zur Passwort-Sicherheit HPI zur Passwort-Sicherheit
HPI Hasso-Plattner-Institut "123456" hat es wieder einmal geschafft. Wie in den Vorjahren holt sich die Zahlen­reihe den vom Hasso-Plattner-Institut (HPI) verge­benen Titel des belieb­testen unsi­cheren Pass­wortes auch für 2022. Die nicht minder leicht­sin­nige Reihung "123456789" rückt im Vergleich zum Vorjahr sogar weiter nach vorne, vom vierten auf den zweiten Platz.

Eine Über­raschung gibt es erst auf Platz drei: "1Qaz2wsx3edc" ist ein Neuein­steiger in die zwei­fel­hafte Pass­wort-Top-Ten, mit der das HPI auf Basis einer Daten­bank-Auswer­tung gele­akter Zugangs­daten demons­triert, wie viele Menschen auf einfachsten Wörtern ("pass­wort") oder simplen Tastatur-Mustern ("qwertz") als Pass­wör­tern vertrauen.

Auch Diago­nalen sind Muster

Auch hinter dem kompli­ziert anmu­tenden "1Qaz2wsx3edc" verbirgt sich ein einfa­ches und deshalb gefähr­liches Muster: Tastatur-Diago­nalen von oben nach unten. Das "z" im Pass­wort rührt vom engli­schen US-Stan­dard-Tasta­tur­layout her. Beim deut­schen Tasta­tur­layout steht an dessen Poition das "y".

HPI zur Passwort-Sicherheit HPI zur Passwort-Sicherheit
HPI Hasso-Plattner-Institut Für die aktu­elle Auswer­tung wurden knapp 1,04 Millionen, im Jahr 2022 gele­akte Zugangs­daten mit .de-Mail-Adressen heran­gezogen, mit dem das HPI seinen Iden­tity Leak Checker füttert. Er basiert auf einer Daten­bank mit Hunderten Millionen Online-Iden­titäten.

Die Daten­bank lässt sich kostenlos abfragen. So können Nutze­rinnen und Nutzer heraus­finden, ob sie gehackt worden sind und Zugangs­daten von ihnen durchs Netz geis­tern. Eine ähnliche Daten­bank, die diesem Zweck dient und gratis nutzbar ist, heißt "Have I been pwned?".

Simple Pass­wörter kommen Einla­dungen an Angreifer gleich, Konten zu über­nehmen. Tabu ist alles, was im Wörter­buch steht, einem Tasta­tur­muster folgt, eine bekannte Zeichen­folge, Kombi­nation, Geburts­datum oder schlicht zu kurz ist.

Lang, komplex und indi­viduell

Wählen sollte man lange (mindes­tens 15 Zeichen), komplexe und für jeden Zweck indi­vidu­elle Pass­wörter wählen, also keine glei­chen oder ähnli­chen Pass­wörter bei unter­schied­lichen Diensten, rät das HPI.

Dabei gilt es, alle Zeichen­klassen zu benutzen, also Groß- und Klein­buch­staben, Zahlen sowie Sonder­zeichen, und bloß keine Namen oder echten Wörter zu verwenden. Nach einem Sicher­heits­vor­fall sollte man das betref­fende Pass­wort immer sofort ändern.

Pass­wort­manager machen es leichter, all diese Regeln einzu­halten. Das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) empfiehlt etwa das kosten­lose und quellof­fene KeePass. Zudem ist es ratsam, die Zwei-Faktor-Authen­tisie­rung zu akti­vieren, wo immer sie verfügbar ist.

Sichere Pass­wörter brau­chen die rich­tige Länge und können aus Buch­staben, Ziffern und Sonder­zeichen bestehen. Wir zeigen Ihnen, wie Sie ein sicheres Pass­wort gene­rieren, das Sie sich trotzdem leicht merken können.

Mehr zum Thema Passwörter