123456 Adé: Microsoft sperrt unsichere Passwörter via Blacklist

Marcel Am 02.06.2016 veröffentlicht Lesezeit etwa 2:12 Minuten

passwords-st

Sicherheit im Netz fängt nicht selten schon bei der Anmeldung bei einem beliebigen Dienst an, genauer gesagt bei der Auswahl eines sicheren Passworts. Eigentlich ist es gar nicht so schwer, sich ein sicheres und halbwegs merkbares Passwort auszudenken – möchte man noch genauer werden und für wirklich jeden Dienst ein zufällig generiertes Passwort nutzen, so greift einem ein Passwort-Manager unter die Arme, gibt es ja inzwischen zig Anwendungen zu, zum Beispiel 1Password und Enpass. Dennoch sind Passwort-Krüppel wie 123456, password, QWERTZ und derlei noch immer weit verbreitet – wie die „Top-Listen“ der schlechtesten Passwörter oder auch Hacks wie der Adobe-Passwort-Hack vor einiger Zeit mehr oder weniger regelmäßig aufzeigen. Was mich hierbei immer wieder verwundert ist die Tatsache,  dass eigentlich jeder Dienst derartige Passwörter überhaupt noch zulässt.

Ja, inzwischen gibt es zwar immer mehr Dienste, die verlangen, dass Passwörter mindestens einen Großbuchstaben, eine Ziffer und ein Sonderzeichen besitzen (letzteres sehr optional), gleichzeitig gibt es aber eben auch viele Web-Dienste, denen das Passwort der Nutzer am Allerwertesten vorbeizugehen scheint. Amazon zum Beispiel, hier wäre 123456 als Passwort noch immer erlaubt. Die Two-factor Authentication? Nutze ich wo es nur geht, aber sind wir mal ehrlich: Ist dann doch eher etwas für jene aus der Technik-Blase, zumindest kenne ich kaum Leute, die die zusätzliche Sicherheitsoption nutzen oder denen sie überhaupt bekannt ist. Auch bei Passwörtern selbst ist eben oftmals viel Naivität vorhanden: entweder ein einfaches Passwort oder ein und dasselbe Passwort für zig Dienste.

Letzteres können die unterschiedlichen Dienste leider nicht beseitigen, ersteres aber schon. Microsoft ist nun hervorgetreten und hat angekündigt, fortan auf ein etwas anderes „Passwort-System“ zu setzen. Man hat wohl ein wenig die Nutzerschaft analysiert und dabei festgestellt, dass die bisherigen Mechanismen eher schlecht als recht sind. Mindestlänge für Passwörter? Dann kommt eben passwordpassword zum Einsatz. Komplexe Passwörter? Am Anfang der Großbuchstabe, am Ende die Ziffer und mittendrin die typischen Ersetzungen wie @ für a, 1 für l und so weiter. Regelmäßiges Ändern der Passwörter? Entweder wird zwischen 2 Passwörtern gewechselt oder aber man hängt an das neue einfach eine Ziffer an. Die Erfahrungen lassen sich in diesem Whitepaper nachlesen.

microsoft-pws

Statt dieser drei Mechanismen möchte Microsoft fortan nun auf eine „intelligentere Kontrolle“ setzen. So hat man erst einmal eine dynamische Blacklist für schlechte Passworte eingerichtet. So werden 12345678 und andere, leicht zu erratende Passwörter nun abgelehnt – Nutzer, die derartige Zeichenketten bereits verwenden, werden ebenso darauf hingewiesen. Um welche Passwort-Kombinationen es sich bei der dynamischen Blacklist handelt, hat Microsoft allerdings nicht verraten – lediglich die Info, dass man die Daten der rund zehn Millionen Attacken pro Tag auf die Microsoft-Accounts entsprechend ausgewertet hat. Als zusätzlichen Schutzmechanismus kommt eine Art Login-Prüfung zum Einsatz, bei der der Zugriff temporär gesperrt wird, wenn Microsoft ungewöhnliche Dinge bemerkt.

Eigentlich nur ein kleiner, aber interessanter, Schritt, die Sache mit der Passwort-Blacklist dürfen aber natürlich gerne mehr Dienste übernehmen. Praktisch wäre sicherlich eine Art Foundation, die sich um eine Pflege einer zentralen Blacklist kümmert… ^_^

Bildquelle Shutterstock Quelle Microsoft via Die Welt

Artikel teilen

Kaufempfehlung*

  • Windows 10 Home 32/64 Bit USB Flash Drive
  • Neu ab EUR 89,00, gebraucht schon ab EUR 85,00
  • Auf Amazon kaufen*