#FYI: Wieso das Passwort ji32k7au4a83 nicht wirklich sicher ist

Marcel Am 09.03.2019 veröffentlicht Lesezeit etwa 1:35 Minuten

Zum Thema Passwörter gibt es duzende Hinweise und Tipps, wie man diese sicher gestaltet, sie aber gleichzeitig auch im Kopf behält. Beim Thema Sicherheit gibt es nichtmal so viele unterschiedliche Meinungen: Man nehme eine Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, nutzt mindestens acht Zeichen (eher 10-12) und verwendet für alle Accounts unterschiedliche Passwörter. Geht man nach diesen Regeln, sollte das Passwort „ji32k7au4a83“ eigentlich als recht sicher gelten. Zwar gibt es keine Großbuchstaben und keine Sonderzeichen, durch die scheinbar zufällige Kreation und einer Länge von 12 Zeichen wirkt es aber auf den ersten Blick als sicher. Und dies zeigen auch diverse Kalkulatoren, denn ein Brute Force-Angriff würde mehrere duzend Jahre bis zu einem Jahrhundert benötigen, um das Passwort zu erkennen.

Trotzdem ist das Passwort nicht (mehr) wirklich sicher, denn die Sammelstelle für geleakte Passwörter Have I Been Pwned listet das Passwort rund 141 Mal auf. Und das nur in den zur Verfügung stehenden Datensätzen, eigentlich dürfte das Passwort noch deutlich häufiger eingesetzt werden. Nun könnte man auf die Idee kommen, dass Passwortgeneratoren dieses Passwort aus irgendeinem Grund „zufällig“ häufiger ausgeben, dem ist aber nicht so. Der Grund ist viel pragmatischer. Das Passwort entspringt der vor allem in Taiwan genutzten Zhuyin-System, einer phonetische Transkription für chinesische Schriftzeichen. Tippt man mit einer solchen Zhuyin-Tastatur den Begriff „我的密码“ ein, erhält man durch die Umwandlung in lateinische Schrift die Zeichenfolge „ji32k7au4a83“ – übersetzt „Mein Passwort“.

Das Beispiel zeigt nicht nur, dass sich Taiwanesen bei ihrer Passwortwahl nur bedingt mehr Mühe als deutschsprachige Internetnutzer geben, sondern auch, dass ein sicher ausschauendes und bewertetes Passwort nicht zwangsläufig auch sicher sein muss. Vielmehr gibt es beim Punkto Passwortsicherheit noch ein paar Faktoren, die man nicht immer im Hinterkopf hat – zum Beispiel solche Transkriptionen für nichtlateinische Schriften. Natürlich heißt das nicht, dass nun jedes zufällig generierte oder ausgedachte Passwort ein Gegenstück besitzt, zumindest mathematisch gesehen ist es recht unwahrscheinlich. Das Passwort „ji32k7au4a83“ zeigt aber, dass Leak-Datenbanken  durchaus ihre Daseinsberechtigung haben. Denn letztlich ist es egal, wie das Passwort gestaltet ist: Sobald es mehrfach geleakt wird, ist es nicht mehr sicher.

Quelle rqou_ I rqou_ II via DerStandard

Artikel teilen

Kaufempfehlung*

  • Motorola Moto G4 Play Smartphone (12,7 cm (5 Zoll), 16 GB, Android, Dual-SIM) schwarz [Exklusiv bei Amazon]
  • Neu ab EUR 182,00
  • Auf Amazon kaufen*

Schreibe den ersten Kommentar

Schreibe eine Antwort

⚠ Mit dem Nutzen des Kommentarbereiches erklärst du dich mit der Datenschutzerklärung einverstanden.