123456 Adé: Microsoft sperrt unsichere Passwörter via Blacklist

Am 02.06.2016 veröffentlicht Lesezeit etwa 2:13 Minuten

passwords-st

Sicherheit im Netz fängt nicht selten schon bei der Anmeldung bei einem belie­bigen Dienst an, genauer gesagt bei der Auswahl eines sicheren Passworts. Eigentlich ist es gar nicht so schwer, sich ein sicheres und halbwegs merkbares Passwort auszu­denken – möchte man noch genauer werden und für wirklich jeden Dienst ein zufällig generiertes Passwort nutzen, so greift einem ein Passwort-Manager unter die Arme, gibt es ja inzwi­schen zig Anwen­dungen zu, zum Beispiel 1Password und Enpass. Dennoch sind Passwort-Krüppel wie 123456, password, QWERTZ und derlei noch immer weit verbreitet – wie die „Top-Listen“ der schlech­testen Passwörter oder auch Hacks wie der Adobe-Passwort-Hack vor einiger Zeit mehr oder weniger regel­mäßig aufzeigen. Was mich hierbei immer wieder verwundert ist die Tatsache, dass eigentlich jeder Dienst derartige Passwörter überhaupt noch zulässt. 

Sichere Passwörter erstellen und nutzen – aber wie?

Ja, inzwi­schen gibt es zwar immer mehr Dienste, die verlangen, dass Passwörter mindestens einen Großbuch­staben, eine Ziffer und ein Sonder­zeichen besitzen (letzteres sehr optional), gleich­zeitig gibt es aber eben auch viele Web-Dienste, denen das Passwort der Nutzer am Aller­wer­testen vorbei­zu­gehen scheint. Amazon zum Beispiel, hier wäre 123456 als Passwort noch immer erlaubt. Die Two-factor Authenti­cation? Nutze ich wo es nur geht, aber sind wir mal ehrlich: Ist dann doch eher etwas für jene aus der Technik-Blase, zumindest kenne ich kaum Leute, die die zusätz­liche Sicher­heits­option nutzen oder denen sie überhaupt bekannt ist. Auch bei Passwörtern selbst ist eben oftmals viel Naivität vorhanden: entweder ein einfaches Passwort oder ein und dasselbe Passwort für zig Dienste. 

Letzteres können die unter­schied­lichen Dienste leider nicht besei­tigen, ersteres aber schon. Microsoft ist nun hervor­ge­treten und hat angekündigt, fortan auf ein etwas anderes „Passwort-System“ zu setzen. Man hat wohl ein wenig die Nutzer­schaft analy­siert und dabei festge­stellt, dass die bishe­rigen Mecha­nismen eher schlecht als recht sind. Mindest­länge für Passwörter? Dann kommt eben password­password zum Einsatz. Komplexe Passwörter? Am Anfang der Großbuch­stabe, am Ende die Ziffer und mittendrin die typischen Erset­zungen wie @ für a, 1 für l und so weiter. Regel­mä­ßiges Ändern der Passwörter? Entweder wird zwischen 2 Passwörtern gewechselt oder aber man hängt an das neue einfach eine Ziffer an. Die Erfah­rungen lassen sich in diesem White­paper nachlesen. 

microsoft-pws

Statt dieser drei Mecha­nismen möchte Microsoft fortan nun auf eine „intel­li­gentere Kontrolle“ setzen. So hat man erst einmal eine dynamische Blacklist für schlechte Passworte einge­richtet. So werden 12345678 und andere, leicht zu erratende Passwörter nun abgelehnt – Nutzer, die derartige Zeichen­ketten bereits verwenden, werden ebenso darauf hinge­wiesen. Um welche Passwort-Kombi­na­tionen es sich bei der dynami­schen Blacklist handelt, hat Microsoft aller­dings nicht verraten – lediglich die Info, dass man die Daten der rund zehn Millionen Attacken pro Tag auf die Microsoft-Accounts entspre­chend ausge­wertet hat. Als zusätz­lichen Schutz­me­cha­nismus kommt eine Art Login-Prüfung zum Einsatz, bei der der Zugriff temporär gesperrt wird, wenn Microsoft ungewöhn­liche Dinge bemerkt. 

Eigentlich nur ein kleiner, aber inter­es­santer, Schritt, die Sache mit der Passwort-Blacklist dürfen aber natürlich gerne mehr Dienste übernehmen. Praktisch wäre sicherlich eine Art Foundation, die sich um eine Pflege einer zentralen Blacklist kümmert… ^_^

Bildquelle Shutter­stock Quelle Microsoft via Die Welt