https://www.faz.net/aktuell/wissen/physik-mehr/wie-haeufig-kommen-welche-geheimnummern-vor-13087772.html

Datensicherheit : Welches Passwort ist das beste?

  • -Aktualisiert am

Die Anordnung der Tasten erklärt so manches. Bild: dpa

Es gibt genau zehntausend Möglichkeiten, vier Ziffern zu einem Pin-Code zu kombinieren. Doch wo wir uns Zugangscodes selbst aussuchen können, gehen wir oft gefährlich einfältig vor. Wie sehr, zeigt eine Analyse realer Pin-Daten.

          8 Min.

          Ein guter Freund leitete mir einmal einen Internetwitz weiter. Unter der Überschrift „Pin-Codes aller Kreditkarten weltweit gehackt und veröffentlicht“ lautete der Rest der E-Mail dann: 0000, 0001, 0003, 0004 ...

          Die Liste ist lang. Es gibt exakt zehntausend Möglichkeiten, die Ziffern 0 bis 9 zu einer vierstelligen Persönlichen Identifikationsnummer (Pin) zu kombinieren. Welche davon sind die, auf die man durch simples Raten mit der geringsten Wahrscheinlichkeit gekommen wäre? Anders gefragt: Wenn ich vor die Aufgabe gestellt würde, durch eine Reihe von Versuchen die Pin eines zufällig herausgegriffenen Hotelsafes zu knacken, welche Nummern sollte ich in welcher Reihenfolge versuchen, um meine Chancen zu optimieren, die korrekte Kombination in der kürzesten Zeit zu treffen? Oder umgekehrt: Welche Pin sollte ich mir für den Safe in meinem Hotelzimmer aussuchen, damit sie möglichst schwer zu erraten ist? Welche also ist die bis dato beliebteste, welche die am wenigsten gebräuchliche Pin?

          Leichtsinnige Entwickler

          Die Frage wird gleich beantwortet werden, doch zuvor möchte ich etwas klarstellen: Dieser Artikel taugt nicht als Anleitung für Hacker oder Kriminelle. Ich werde nur so viel verraten, wie nötig ist, um meine Argumente anzubringen, und versuchen, jenseits der alleroffensichtlichsten Fallbeispiele keine Daten offenzulegen. Insbesondere bleibt geheim, welche Datenquelle genau ich hier benutzt habe. Natürlich habe ich keinen Zugang zu einer realen Datenbank, sagen wir, gültiger Pin-Codes aktiver Kreditkarten. Stattdessen verwende ich stellvertretend Sammlungen mittlerweile ungültiger numerischer Online-Passwörter, etwa aus Tabellen, die im Rahmen von Sicherheitsverstößen öffentlich geworden sind. Solche Verstöße hat es bei Passwort- Tabellen im Laufe der Jahre immer wieder gegeben. Einige waren spektakulär, andere weniger, alle waren sie peinlich und einige auch richtig teuer. Aber es gibt tatsächlich immer noch Softwareentwickler, die Passwort-Tabellen unverschlüsselt irgendwo abspeichern. 

          Phantasielose User

          Doch zurück zu den Daten. Ich habe aus bekanntgewordenen Tabellen numerischer Passwörter zunächst nur die ausgewählt, die aus  vier Ziffern von 0 bis 9 bestehen und die sich reale Benutzer tatsächlich einmal frei gewählt hatten. Insgesamt enthält mein Datensatz fast 3,4 Millionen solcher Vierer-Pins. Unter diesen fanden sich sämtliche möglichen Kombinationen von „0000“ bis „9999“.

          Die Top Twenty in dem vom Autor analysierten Datensatz.
          Die Top Twenty in dem vom Autor analysierten Datensatz. : Bild: F.A.Z.

          Das mit Abstand populärste Vierer- Muster ist „1234“. Fast elf Prozent jener 3,4 Millionen Nummern lauten so – es ist erschütternd, wie phantasielos die Leute sind. Die zweitbeliebteste Kombination ist mit über sechs Prozent „1111“, Platz drei hält „0000“ mit fast zwei Prozent. Betrachten wir die Top Twenty etwas näher (siehe Tabelle links): 26,83 Prozent können erraten werden, indem man einfach diese zwanzig Nummern durchprobiert. Wären die Codes dagegen gleichmäßig und zufällig auf die 10 000 möglichen Kombinationen verteilt, dann hätte man mit diesen zwanzig lediglich 0,2 Prozent aller Möglichkeiten erfasst, nicht 26,83 Prozent.

          Unter den Spitzenreitern finden sich viele aus der Gruppe „1111“, „2222“, „3333“ bis „9999“ sowie „1212“ etc. Es gibt insgesamt nur hundert verschiedene Paare dieser Art, aber in unserem Datensatz entfallen auf sie 17,8 Prozent aller Pins. Auch die Beliebtheit von „1122“ ist keine Überraschung, ebenso wenig wie die von „4321“. Ziemlich viele Anhänger hat auch das pornographisch konnotierte „6969“ – da die Nummer geheim bleibt, erfährt ja keiner was. Eine gewisse Kulturbeflissenheit wird erst weiter unten sichtbar: Ziffernfolge „2001“ taucht auf dem 19. Platz auf, „1984“ auf dem 26. und die Freunde James Bonds wird interessieren, dass „0007“ genau zwischen diesen beiden auf Platz 23 zu finden ist, die alternative Variante „0070“ folgt bald dahinter auf Platz 28.

          Weitere Themen

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Die wichtigsten Nachrichten direkt in Ihre Mailbox. Sie können bis zu 5 Newsletter gleichzeitig auswählen Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.