INS-ecommerce

Social Networks: Die TOP-20 Passwörter von MySpace

Hier die TOP20 der beliebtesten Passwörter auf MySpace (Kommentare in Klammern)
  • password1
  • abc123
  • myspace1
  • password
  • blink182 (Eine Band mit dem Namen "Blink 182")
  • qwerty1 (q-w-e-r-t-y ist die obere Buchstabenreihe der US-Tastatur)
  • fuckyou
  • 123abc
  • baseball1
  • football1
  • 123456
  • soccer
  • monkey1 (Die Band "Arctic Monkeys" war eine der ersten, die auf MySpace veröffentlichten)
  • liverpool1
  • princess1
  • jordan23 (Basketballspiele Michal Jordan hat die Nummer 23)
  • slipknot1 (Eine Band mit dem Namen "Slipknot")
  • superman1
  • iloveyou1
  • monkey (Die Band "Arctic Monkeys" war eine der ersten, die auf MySpace veröffentlichten)


Die Passwörter stammen aus einer relativ simplen Phishing-Attacke von MySpace aus der Bruce Schneier 34.000 echte Passwörter samt deren Benutzernamen zugesandt wurden.

Es fällt auf, dass in Gegensatz zu früheren Untersuchungen kaum noch einfache Wörter ohne Ziffern, die sehr anfällig gegen Wörterbuch-Attacken sind, verwendet werden. Da allerdings meist nur die Ziffer "1" an das Wort angehängt wird, falls die Begriffe nicht schon Ziffern enthalten oder nahelegen ("Jordan 23"), wird dadurch die Passwort Sicherheit nicht wesentlich erhöht.

Bruce Schneier kommt in seiner Analyse zu dem Schluss, dass Anwender nicht in der Lage sind, sich sehr komplexe Passwörter zu merken, und Passwörter daher als alleiniger Schutz nach dem Stand der Technik nicht mehr ausreichend sind, denn ...

... die Technik, um Passwörter zu knacken wurde in den letzten 10 Jahren immer weiter verbessert (verschiedene Kommerzielle Passwort-Cracker schaffen bis zu 10-100 Millionen Versuche pro Sekunde, ein anderes Password-Guessing-Tool schafft 200.000 Rateversuche pro Sekunde). Daher wären nach Schneiers Schätzung mit solchen Tools ca. 55% der MySpace Passwörter in ca. 8 Stunden gefunden. Auch ohne Phishing-Attacke.

Interessant wären jetzt vergleichbare Untersuchungen zu den bei deutschen (Studenten-) Portalen und Social Networks verwendeten Passwörtern.


Geschrieben von af in News am: Donnerstag, 14. Dezember 2006
Permalink

Tags: , , , , , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare
  • sven Freitag, 15. Dezember 2006, 08:24 Uhr
    In großen Firmen sind >50% der Anrufe bei der internen Helpline: "Ich habe mein Benutzerpasswort vergessen".

    Klar, dass sich User möglichst einfache PWs ausdenken.

    Es sollte auch Aufgabe der Portale, seine User ein wenig zu schulen.
    1: Keine zu einfachen Passwörter erlauben (machen einige Portale)
    2: Tipps geben, wie man sichere Passwörter bauen kann. Die bekannteste Methode: Sich einen Satz ausdenken und die Anfangsbuchstaben nehmen. Beispiel: Meine Tante fährt einen roten Golf ohne Klimaanlage. Passwort ist also: MTfarGoK .
    3: Den Benutzer zwingen, regelmäßig sein Passwort zu ändern
    4: Auch wenn man darüber geteilter Meinung sein kann, lieber ein SingleSignOn mit einem guten Passwort, als 20 Logins mit schlechten Passwörtern. Solche Dinge wie den T-Online Netzausweis sollte man meiner Meinung nach vorantreiben.

Nächster Artikel: Businessblog "Saftblog" gibt wegen Un-Olympischer Abmahnung auf

Vorheriger Artikel: Software für die Analyse von Social Networks (SNA)