top of page

🧠🧑‍💻 Vom Gefühl zur Faktenlage: Passwortsicherheit im Realitätscheck

  • Autorenbild: Daniel Eberhorn
    Daniel Eberhorn
  • 6. Jan.
  • 4 Min. Lesezeit

Digital illustration showing a split human head silhouette representing emotional vs. rational views on password security. The left side features an orange background with a thought bubble showing a padlock and checkmark, symbolizing perceived safety. The right side has a teal background displaying a report with a pie chart and weak passwords like '123456' and 'qwerty', highlighting real-world risks.

Bild generiert durch OpenAI's DALL·E


Vor kurzem habe ich im Beitrag "🔐📎🧠 Wenn „123456“ Realität wird – ein Zwischenruf zur gelebten Security-Kultur" beschrieben, warum triviale Passwörter in Unternehmen nach wie vor alltäglich sind. Doch was bedeutet das konkret in Zahlen?


In Gesprächen mit Admins oder CISOs taucht immer wieder dieselbe Frage auf: Was gilt heute als sicheres Passwort? Die Antworten reichen von Sommer2021! bis hin zu 64 Zeichen zufällig generiert.


Um die Diskussion mit echten Informationen zu untermauern, habe ich einen bekannten, öffentlich zugänglichen Passwort-Leak analysiert: den Fortinet-Leak von 2021. Obwohl der Vorfall einige Jahre zurückliegt, sind die enthaltenen Passwörter erschreckend aktuell – sowohl in Aufbau als auch Denkweise.


Der Leak zeigt eindrucksvoll, wie schwach die erste Verteidigungslinie oft ist: Zehntausende VPN-Zugangsdaten landeten unverschlüsselt im Netz und geben damit einen seltenen Einblick in die reale Passwortpraxis von Unternehmen weltweit.



Was der Fortinet-Leak zeigt


Insgesamt wurden 76.384 Passwörter aus dem Fortinet-Dump extrahiert und untersucht. Die wichtigsten Eckdaten:


Verteilung

  • 12,27 % der Passwörter erfüllen grundlegende Sicherheitskriterien

    Anmerkung: mindestens 12 Zeichen Länge sowie eine Kombination aus mindestens drei der folgenden vier Kategorien – Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.

  • 87,73 % gelten als unsicher – teils erschreckend trivial


Längenanalyse

  • Durchschnittliche Passwortlänge: 10,23 Zeichen

  • Kürzestes Passwort: 6 Zeichen

  • Längstes Passwort: 50 Zeichen lang


Komplexität

  • 46,82 % enthalten Sonderzeichen

  • 91,53 % enthalten Zahlen

  • 70,14 % verwenden Großbuchstaben

  • 98,60 % nutzen Kleinbuchstaben


Sichere Passwörter enthalten in nahezu allen Fällen mindestens drei dieser vier Kategorien – am besten alle. Viele Passwörter in der Liste hingegen basieren auf klaren Mustern oder enthalten keinerlei Sonderzeichen oder Großbuchstaben.


Der Durchschnitt von 10,23 Zeichen liegt dabei deutlich unter den heute empfohlenen 14–16 Zeichen. Und dass nur 12 % überhaupt gängige Mindeststandards erfüllen, zeigt, wie groß die Lücke zwischen Theorie und Praxis ist.


Schwächen im System: Typische Muster und Angriffspunkte


1. Triviale Passwörter

Beispiele wie 123456, password, abc123 oder qwerty tauchen hunderte Male auf. Diese Passwörter lassen sich mit simplen Tools und Standard-Wörterbüchern innerhalb von Sekunden kompromittieren.


2. Jahreszahlen

Die Kombination aus Begriffen wie summer oder welcome mit einer Jahreszahl wie 2020 oder 2021 ist extrem häufig: 2020 taucht 6.768 Mal auf, 2019 immerhin 1.692 Mal. Solche Passwörter lassen sich gezielt mit Tools und Mustersuchen angreifen – selbst einfache Wortlisten mit kombinierter Jahreszahl führen hier schnell zum Erfolg.

Anmerkung: Auch wenn der Leak aus dem Jahr 2020/2021 stammt – diese Muster sind bis heute aktuell und lassen sich problemlos auf das Jahr 2024 oder 2025 übertragen.


3. Nur Zahlen

2.230 Passwörter bestehen ausschließlich aus Ziffern. Auch hier ist der Brute-Force-Widerstand minimal – bei 6-stelligen Passwörtern unter einer Sekunde.


4. Wiederholte Basis mit leichter Variation

Viele Passwörter basieren auf einem wiederholten Grundmuster – etwa „Summer2019“, „Summer2020“, „Summer2021“ – und suggerieren lediglich Variation, ohne echte Sicherheit zu schaffen.



Technische Einordnung: Aufbau sicherer vs. unsicherer Passwörter

Ein Vergleich der im Fortinet-Leak gefundenen Zeichensätze zeigt deutliche Unterschiede – wichtig: Die folgenden Prozentzahlen beschreiben, wie oft bestimmte Merkmale innerhalb der als "sicher" bzw. "unsicher" klassifizierten Passwörter im Leak vorkamen. Sie stellen keine Empfehlungen dar, wie häufig ein bestimmtes Zeichen in einem sicheren Passwort vorkommen "sollte".

Merkmal

Sichere Passwörter (%)

Unsichere Passwörter (%)

Enthalten Sonderzeichen

100,00 %

39,38 %

Enthalten Zahlen

94,68 %

91,08 %

Enthalten Großbuchstaben

100,00 %

66,01 %

Enthalten Kleinbuchstaben

100,00 %

91,68 %

Anmerkung: Als "sicher" wurden in dieser Analyse diejenigen Passwörter klassifiziert, die mindestens 12 Zeichen lang sind und aus einer Kombination von mindestens drei der vier folgenden Zeichentypen bestehen: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.

Der Unterschied liegt nicht in der bloßen Nutzung von Zahlen oder Buchstaben – sondern in deren konsequenter und kombinierter Anwendung.


Kontextabhängige Begriffe: Wenn Sprache zum Risiko wird

Begriffe wie summer, winter oder Monatsnamen wie june, april oder december tauchen häufig in Passwörtern auf – und das ist kein Zufall. Menschen wählen Passwörter oft so, dass sie sich leicht merken lassen – und greifen dabei intuitiv auf bekannte Wörter aus ihrem Alltag zurück. Das Problem: Solche Wörter sind nicht nur leicht zu merken, sondern auch leicht zu erraten.


In Passwortlisten tauchen diese Begriffe immer wieder auf – oft kombiniert mit Zahlen oder Jahresangaben. Beispiele wie Summer2021, Winter2019 oder April2020! sind keine Ausnahmen, sondern Muster. Für Angreifer:innen bieten solche Passwörter eine ideale Angriffsfläche: Sie lassen sich mit sogenannten "dictionary attacks" und gezielten Wort-Jahr-Kombinationen systematisch durchprobieren.


Besonders kritisch wird es, wenn ein Begriff aus dem Sprachgebrauch nicht das gesamte Passwort bildet, sondern nur ein Teil davon ist – etwa als Präfix, Suffix oder Bestandteil in einer scheinbar komplexen Zeichenfolge. Auch dann bleibt der Angriffspunkt bestehen, da viele Tools gezielt nach solchen bekannten Mustern suchen.

Kurz gesagt: Sobald sich Sprache oder kontextbezogene Begriffe im Passwort wiederfinden, wird es vorhersehbar. Und Vorhersehbarkeit ist in der Passwortsicherheit immer ein Risiko.


Top-Begriffe im Leak:

  • summer: 1.235 Vorkommen

  • winter: 890 Vorkommen


Ein smarter Angreifer nutzt kontextbezogene Wörterbücher und Regex-Kombinationen, um genau solche Begriffe effizient durchzutesten.



Empfehlungen: Wie sichere Passwörter wirklich aussehen sollten


Detaillierte Empfehlungen, wie Passwörter heute aufgebaut sein sollten – und warum alte Faustregeln wie „8 Zeichen sind genug“ längst überholt sind – finden sich im Artikel:



Was lernen wir aus dem Leak für die Passwortsicherheit?


Selbst professionelle Netzwerke waren betroffen – viele davon mit VPN-Zugängen ohne Multi-Faktor-Authentifizierung. Die Reaktion vieler Administratoren bestand darin, Passwörter zurückzusetzen – doch damit ist es nicht getan.


Die zentrale Erkenntnis: Ein gutes Passwort allein reicht nicht. Es braucht ein Sicherheitskonzept, das u. a. umfasst:

  • MFA als Standard

  • Sicherheitsbewusstsein auf allen Ebenen

  • Regelmäßige Prüfung kompromittierter Zugangsdaten

Logo of SecurityWho - A fingerprint and the slogon IT-Security made simple

Contact me

über LinkedIN

© Daniel Eberhorn - SecurityWho

Impressum
Datenschutz
bottom of page