Microsoft verbietet beliebte Passwörter - Blacklist für »12345678« und Co

Microsoft will allzu einfache und weit verbreitete Passwörter nicht mehr bei seinen Diensten zulassen.

Jedes Jahr werden Listen mit den 10 meistgenutzten Passwörtern veröffentlicht. Die Daten dazu stammen beispielsweise aus Hacks und den dann veröffentlichten Datenbanken. Nutzerkonten mit Passwörtern wie »12345678« oder »password« sind extrem einfach zu übernehmen, da viele Angriffe einfach nur entsprechende Listen abarbeiten.

Microsoft will nun bei seinen Diensten ebenfalls eine solche Liste verwenden, allerdings als Blacklist für nicht mehr erlaubte Passwörter. Auch schon bestehende Kundenkonten sollen entsprechend überprüft werden. Wie Heise meldet, war ein Grund für diese Entscheidung auch eine Liste mit 178 Millionen schnell gehackter Passwort-Hashes des Netzwerkes LinkedIn, in denen mehr als eine Million Mal das Passwort »123456« auftauchte.

Robyn Hicock vom Identity Protection Team bei Microsoft hat in einem Dokument auch Ratschläge für sichere Passwörter veröffentlicht. Die bisherigen Zwänge zu langen Passwörtern oder dem Einstreuen von Zahlen und Sonderzeichen hält er nicht für wirklich sicher. Ein langes Passwort bestehe dann oft nur aus Wiederholungen und der Zwang zum regelmäßigen Wechseln führte zum Durchnummerieren oder erneuten Verwenden alter Passwörter.

Nutzer sollten weder bekannte Phrasen wie iloveyou, leicht erhältliche Daten wie das Geburtsdatum und auch keine einzelnen Wörter verwenden. Außerdem sei es sicherer, bei jedem Dienst ein eigenes Passwort zu nutzen. Andere Sicherheitsexperten haben die aktuellen Regeln zu Zahlen-Buchstaben-Kombinationen ebenfalls schon stark kritisiert und raten eher zu leicht merkbaren, aber langen Wortkombinationen. Zumindest bei Brute-Force-Attacken, bei denen Passwörter einfach durch Raten gefunden werden sollen, verringert die Länge eines Passworts die Chancen auf einen Erfolg der Angreifer mit jedem Zeichen deutlich.

Quelle: Heise