Kategorien
Passwort Blacklist
Kunden, die eine Webseite mit Registrierung und Login benötigen kann man nicht immer davon überzeugen, strenge Passwortrichtlinien anzusetzen. Wenn ich vorschlage “10 Zeichen, davon mindestens eine Zahl, ein Großbuchstabe und ein Sonderzeichen” wird das nicht selten abgelehnt, mit Hinweisen auf “Dann sinkt die Conversion-Rate”, “Dann vergessen die Kunden andauernd ihr Passwort und wir haben mehr Supportaufwand” etc. Also kommt häufig die Richtlinie “mindestens 8 Zeichen” zum Einsatz.
Damit ich mich darauf einlasse verlange ich aber mindestens eine Passwort Blacklist, sprich eine Liste der meistgenutzten Passwörter, die dann nicht erlaubt sind, beispielsweise “12345678″ oder “passwort”, um das ganze zumindestens etwas sicherer zu machen. Man muss den Benutzer vor sich selbst schützen, sonst werden sie “12345678″ oder “passwort” als Passwort nutzen.
Gestern ist eine Liste mit E-Mail-Adressen und Klartext-Passwörtern von Rewe aufgetaucht, von denen ich die am meisten genutzten Passwörter extrahiert habe. Im Internet findet man auch hier und da “The Top 50 Passwords”, da sind aber häufig englischsprachige Begriffe dabei. Mich interessieren bei deutschen Benutzern natürlich deutsche meistgenutzte Begriffe, und da habe ich noch keine längere Liste gefunden mit mehr als 20 Einträgen. Die sortierte Rewe-Liste findet sich übrigens hier als Textdatei zum Download. Hier die Top 20:
123456 sticker 123456789 schmetterling michael vanessa sonnenschein giraffe moritz rewe2011 sabrina alexander maximilian pauline schule johanna elefant tauschen dennis andreas
Interessant an dieser Liste ist, dass “passwort” erst weit unten erscheint, in englischen Listen ist “password” eigentlich immer in den Top3.
Microsoft hat letzte Woche groß angekündigt dass Hotmail-Nutzer nun keine leichten Passwörter wie “123456″ mehr benutzen können, sprich sie haben auch eine Blacklist geschaltet. Dass man für solch eine Selbstverständlichkeit, die man hätte schon vor Jahren aktivieren müssen, eine große Pressemitteilung verbreiten kann ist mir ein Rätsel.
Nutzt ihr auch Passwort Blacklists? Wie sieht eure Sperrliste aus? Mich würden vor allem deutsche Passwörter interessieren die häufig genutzt werden und die man sperren sollte.
