Manchmal freuen sich Informatiker über Hacker – zum Beispiel 2009, als ein Hacker die Datenbank der Spiele-Plattform „Rockyou” knackte und 32 Millionen Passwörter ins Internet stellte. Sicherheitsforscher nutzten diesen bisher größten Passwortdiebstahl der Geschichte als Datenbasis, um den alltäglichen Umgang der Internet-Nutzer mit ihren Passwörtern zu erforschen – und waren mehr als ernüchtert. Ihre Befürchtungen bestätigten sich: Fast 300 000 Nutzer verwendeten das Passwort „ 123456″, jeweils rund 80 000 „12345″ und „123456789″, 60 000 hatten „password”, 50 000 „iloveyou” gewählt. Hätte ein Hacker die Top-100 Passwörter dieser Liste durch einfaches Ausprobieren gefunden, so wäre er in der Lage gewesen, fast 1,5 Millionen Konten zu knacken.
Das macht deutlich: Wenn ein Anbieter seine Nutzer schützen möchte, sollten seine Richtlinien nicht möglichst lange Passwörter mit Ziffern, Buchstaben und Sonderzeichen vorschreiben – wichtiger ist eine einfache Liste unzulässiger PINs. Die RockYou Top 100 zu ver- bieten, wäre ein guter Anfang. Eine ähnliche Verbotsliste führt unter anderem der Nachrichtendienst Twitter. Wer beispielsweise „123456″ als Passwort wählt, wird abgewiesen. Auch „password” und „twitter” sind nicht erlaubt. Das rettet rein rechnerisch einige Millionen Twitter-Nutzer vor Hackerangriffen.
