Adobes Verlust von 38 Millionen Kundendaten steht für sich. Die Aussagen zur Qualität der veröffentlichten Passwörter sind jedoch mit Vorsicht zu genießen, denn nur Wichtiges sollte gut gesichert werden.
Gestern habe ich mich noch amüsiert über die Analyse der Passwörter aus dem Adobe-Hack von circa 38 Millionen Accounts – und der unglaublichen „Naivität“ der User (Top 100 der Passwörter). War dann etwas erstaunt über das Statement von Jürgen Schmidt, Chefredakteur von heise Security – und muss diesem heute auch noch Recht geben. Die Qualität von Adressen und Passwörtern muss sich an der Schutzbedürftigkeit orientieren. Warum?
Ganz einfach: Heute bin ich Betroffener! Der zugrunde liegende Sachverhalt: Ich möchte mir in einem Shop lediglich Informationen besorgen. Dies setzt jedoch ein Login mit Benutzername und Passwort voraus. Doch es gibt weitere Beispiele, persönliche Daten abgeben zu müssen, um Informationen zu erhalten: Ich möchte einen Newsletter abonnieren. Eigentlich nichts Besonderes. Also munter ein Thema ausgewählt, das mich interessiert und dann meine E-Mail-Adresse angegeben. So weit, so gut. Allerdings wäre es mit dieser bestechenden Einfachheit zu schön gewesen, an Infos zu kommen. Die zweite Seite öffnet sich, mit den Zwangsfeldern Name, Vorname – dann aber auch Titel, Firmenname, Position, Stellentyp, Abteilung, Branche und Mitarbeiterzahl. Wow! Etwas viel für einen Newsletter, dessen Infos ohnehin allgemein zugänglich sind. Spätestens jetzt wird mir klar, warum als unnötig beziehungsweise der Sache nicht dienlich empfundene Pflichtfelder mit nichtssagenden oder falschen Daten ausgefüllt werden. Und zur neugierigen Fragerei kommt ganz nebenbei hinzu, dass Web-Analyse-Tools ja auch noch mitlaufen. Die Nachfrage nach Wegwerf-Mail-Adressen und Einmalpasswörter ist damit auch nachzuvollziehen.
Bauernfängerei wird quittiert
Einmalpasswörter und Wegwerf–E-Mail-Konten sind also auch als Antworten auf Zwangsregistrierungen zu verstehen. Gut, natürlich ist es legitim, nachzufragen, wer der Nutzer ist, beispielsweise bei Whitepapers, Freeware, Hotelbuchungen, Einkäufen und ähnlichem mehr. Auf der anderen Seite muss ich im Buchladen um die Ecke, im Elektronikmarkt und vielen anderen Offline-Verkaufsstellen auch nicht meinen Personalausweis vorlegen, um einkaufen zu können. So ist es nicht verwunderlich, dass bei Registrierungen und Kontakten für einmalige Vorgänge die Fantasie bemüht wird und die ist dann zu Recht im Eco-Modus und wirft gerne „123456“ und „qwertz“ als Passwort aus.
Damit stehen zumindest Teile der eingegebenen Account-Namen und Passwörter in einem anderen Licht da. Dies wirft allerdings auch ein anderes Licht auf die Berichterstattung zur Qualität der im Internet verwendeten Passwörter.
Pech für die, die immer gute Passwörter verwenden – und dieselben an mehreren Stellen. Die sind nun gezwungen, alle Passwörter zu ändern.
Fazit
Einfachpasswörter haben also ihre Existenzberechtigung. Nur Wichtiges sollte gut gesichert werden. Wären die Passwörter wirklich so einfach, wäre es erschreckend. Ich gehe jedoch davon aus, dass die meisten bei wirklich wichtigen Dingen mehr Sorgfalt bei der Wahl des Account-Namens und des zugehörigen Passwortes walten lassen.