Password Leak Analyse - Breitflächige Untersuchung von Passwörtern

Password Leak Analyse

Breitflächige Untersuchung von Passwörtern

Marc Ruef
von Marc Ruef
am 15. April 2021
Lesezeit: 18 Minuten

Keypoints

So werden Passwörter ausgewählt

  • Im Rahmen unserer Darknet-Monitoring Dienstleistung sammeln wir Informationen zu Passwort-Leaks
  • Diese werden in ein Analyse-System importiert und lassen sich so umfangreich statistisch auswerten
  • Die Top 10 Passwörter bestehen üblicherweise aus simplen Zahlenreihen wie 123456 oder primitive Passswörter wie qwertz
  • Eine Betrachtung der unterschiedlichen Länder lässt sprachliche und kulturelle Unterschiede bei der Passwortwahl ausmachen
  • Diese Information kann zur Optimierung von Bruteforce-Attacken herangezogen werden

Passwortsicherheit wird gerne als klassisches Einstiegsthema in den Bereich Informationssicherheit verstanden. Entsprechend viel wurde schon darüber gesagt und geschrieben. Im Rahmen einer umfangreichen Analyse von geleakten Kontodaten wollen wir in diesem Beitrag eine breitflächige Analyse von Passwörtern vornehmen. Die Anzahl der untersuchten Passwörter sowie die statistische Auswertung dieser gibt einen einmaligen Einblick, wie Passwörter ausgewählt werden.

Im Rahmen unserer Dienstleistungen im Darknet haben wir eine Reihe von Datenmärkten infiltriert. In diesen werden gestohlene Daten, wie zum Beispiel Kreditkarteninformationen und Passwörter, gehandelt. Gerade letztgenannte sind für uns von besonderem Interesse. Denn wenn immer ein Passwort-Leak zur Verfügung gestellt wird, importieren wir dieses in anonymisierter Form in eine interne Datenbank. Dieses System wird dann verwendet, um unsere Kunden über Leaks, die sie betreffen, informieren zu können.

Ebenfalls wird mit diesem System die umfangreiche statistische Analyse von Passwörtern möglich (z.B. die Auswertung des populären Leaks von libero.it in Italien). Im Rahmen unserer Red Team Projekte pflegen wir eigens angefertigte Passwort-Listen zu verwenden. Dadurch können Bruteforce-Attacken hochgradig optimiert werden. Einige dieser Listen stehen auf unserem öffentlichen GitHub Repository zur freien Verfügung.

Statistische Daten der gesammelten Leaks

Gegenwärtig sind in unserer Datenbank über 733 Millionen eindeutige Mailadressen sowie über 265 Millionen eindeutige Passwörter gespeichert. Zusätzlich werden ebenfalls Meta-Informationen zu den Leaks (z.B. Quelle, Datum), Benutzernamen und Hashes abgelegt. Diese sind im Rahmen dieser Analyse jedoch zu vernachlässigen. Anhand dieser primitiven Kennzahlen kann gesagt werden, dass ein Passwort im Schnitt 2.76 Mal verwendet wird.

Die nachfolgende Grafik zeigt die meistvorhandenen Domains. Es ist zu sehen, dass vorwiegend solche von bekannten Freemailern und grossen Providern zu finden sind. Dazu gehören die internationalen Firmen Yahoo mit ihrem Freemailer (23.7%), Microsoft mit Hotmail (16.6%) und Google mit Gmail (11.1%). Die beiden erstgenannten sind mit zusätzlichen regionalen Top-Level-Domains wie .fr (Frankreich), .co.uk (United Kingdom) und .de (Deutschland) vertreten.

Verteilung der Domains der Passwort-Datenbank

Firmen mit eher lokalen Ausprägungen folgen. Dazu gehören beispielsweise mail.ru in Russland (6.7%), AOL mit Fokus USA (2.5%) und qq.com in China (0.6%).

Diese Zahlen repräsentieren naturbedingt die Anzahl der geleakten Informationen pro Dienst. Zeitgleich kann zu einem gewissen Grad indirekt Rückschluss auf die Marktdurchdringung der einzelnen Anbieter gezogen werden.

Die nun folgenden Auswertungen sind nicht vollumfänglich bereinigt. Dies bedeutet, dass Anomalien nicht manuell isoliert oder korrigiert wurden. Eine solche Anomalie tritt zum Beispiel dann auf, wenn ein Bot verschiedene Konten erstellt hat und stets das gleiche Passwort zum Einsatz kam. Oder wenn gerade auf Grund einer Modebewegung bestimmte Begriffe (z.B. Namen, Musikgruppen, Sportmannschaften) überproportional vertreten sind. Diese Anomalien können direkten Einfluss auf die statistischen Gegebenheiten haben und deshalb die zugrundeliegende sprachliche und kulturelle Beobachtung stören. Die Analysen sind zudem stets eine Momentaufnahme und reflektieren die entsprechenden Eigenheiten.

Top-Passwörter über alle Daten

Sicherheitsfirmen nutzen die Angabe von Top-Passwörtern gerne für werbetechnische Zwecke. Bei näherer Betrachtung fällt auf, dass diesen Listen selten ein akkurater und methodischer Ansatz zugrundeliegt. Viele Listen sind veraltet, zusammenkopiert oder basieren auf sehr eingeschränkten Datensätzen.

Nachfolgend wird über unseren gesamten Datenbestand eine Analyse der Top-Passwörter durchgeführt. Dabei werden die 20 beliebtesten Passwörter in absteigender Reihenfolge gezeigt. Diese Passwörter werden uns in den folgenden Betrachtungen immer wieder begegnen. Alle von diesen beherrschen zu grossen Teilen die unterschiedlichen Aufschlüsselungen.

Top 20 Passwörter über alle Daten

Verschiedene Länder

In diesem Absatz soll eine Aufschlüsselung einzelner Länder stattfinden. Dabei werden exemplarisch ausgewählte Staaten untersucht. Dadurch lassen sich sprachliche und kulturelle Eigenheiten ausmachen. Die Assoziation eines geleakten Datensatzes zu einem Land erfolgt in erster Linie anhand der für die Mailadresse genutzten Domain. Entweder handelt es sich um einen ländertypischen Anbieter (z.B. 126.com in China) oder die Top-Level-Domain sieht die Nutzung für eine spezifische Zielgruppe vor (z.B. hotmail.fr für Frankreich). Die Herkunft eines Leaks oder der betroffene Dienst an sich hat dabei keinen Einfluss auf unsere Untersuchungen.

Aufschlüsselung der geleakten Daten nach Land

Die Verteilung der gesammelten Daten zeigt, dass ein Grossteil Russland (46.8%) zugeordnet werden kann. Gefolgt von United Kingdom (12.5%), Frankreich (10.4%) und Deutschland (7.5%). Bei den länderspezifischen Auswertungen werden Staaten ausgelassen oder mit niedrigerer Priorität behandelt, falls uns nur eine kleine Menge an Daten zur Verfügung steht. Dazu gehören Beispielsweise Guinea-Bissau (0.0000111%), die Marshallinseln (0.0000115%) und Bonaire, Sint Eustatius und Saba (0.000013%).

Schweiz – Gradlinig und direkt

Top-Passwörter in der Schweiz

Für die Schweiz mit ihrer Top-Level-Domain .ch finden sich die üblichen Standardpasswörter, wie zum Beispiel 123456 (0.59%) und 123456789 (0.14%) an erster Stelle.

Unüblich aber regional erklärbar sind die deutsche Schreibweise passwort (0.04%) und der Ausdruck hallo (0.46%) bzw. die Abwandlung davon als hallo123 (0.029%). Mit daniel (0.029%) ist ein weit verbreiteter männlicher Name vertreten. Dieser ist seit Jahren sehr populär, führte das letzte Mal im Jahr 2019 die Rangliste in der Schweiz an.

Besonders ungewöhnlich und wahrscheinlich eine statistische Anomalie, sind !~!1 (0.91%) und tintenprofi (0.031%). Diese stammen voraussichtlich aus spezifischen Leaks, in denen eine gesonderte Häufung eben dieser Passwörter vorgekommen ist, wodurch sich eine Verzerrung der Gesamtresultate des Landes beobachten lassen.

Deutschland – Kulturelle Abweichungen

Top-Passwörter in Deutschland

Wenn wir nun die Schweiz mit der Top-Level-Domain .de in Deutschland vergleichen, dann sehen wir schnell offensichtliche Parallelen, die auf sprachliche und kulturelle Gemeinsamkeiten zurückzuführen sind. Auch hier sind natürlich 123456 (0.64%) und 123456789 (0.22%) an der Spitze vertreten. Die Distributionen sind zwar nicht exakt gleich, spielen sich aber in einem ähnlichen Bereich ab. Ebenso findet sich auch hier hallo123 (0.052%) und hallo (0.042%) auf den vorderen Plätzen, wenn auch mit einer Umkehr in Bezug auf die Reihenfolge.

Als typisch deutsche Passwörter lassen sich in erster Linie solche aus den Themenbereichen Fussball identifizieren. Dazu gehören schalke04 (0.023%) und fussball (0.020%) ansich. Aber auch Mercedes (0.012%) kann eindeutig Datensätzen aus Deutschland zugewiesen werden. Ebenso sind eine überdurchschnittliche Anzahl vulgärer Ausdrücke wie fi--en (0.028%) und ar--loch (0.019%) zu finden.

Die Auswertung unseres Datensatzes zeigt auch hier statistische Anomalien, die auf spezifische Leaks zurückzuführen sind. Dazu gehört in erster Linie Y57gjng4gH (0.032%), das wie eine zufällige Wahl von Zeichen aussieht. Es ist sonderbar, dass diese so oft vertreten ist. Entsprechend ist anzunehmen, dass es sich um das Passwört eines automatisierten Mechanismus oder um einen fabrizierten Datensatz handelt.

Betrachtet man sich die Top 20 Passwörter in Deutschland, dann fällt ebenso 1q2w3e4r (0.031%) auf. Auch hier scheint es sich auf den ersten Blick um ein zufälliges und entsprechend fabriziertes Passwort zu handeln. Das ist jedoch nicht korrekt, entspricht es doch dem Zusammenführen der Zeichenketten 1234 und qwer. Abwechselnd werden die Zeichen von links nach rechts auf der Tastatur eingegeben (siehe Bild).

Darstellung der Eingabe von 1q2w3e4r

Die Eingabe von Zeichen von Links nach Rechts ist besonders beliebt, wie an den Beispielen qwerty bzw. qwertz zu sehen ist. Diese finden sich in der Regel in allen Sprachen in den Top 10. Dass qwerty (0.086%) in Deutschland eher vorkommt anstatt qwertz (0.029%) ist erstaunlich, da deutschsprachige Tastaturen das zweitgenannte Layout einsetzen. Es muss davon ausgegangen werden, dass entweder englischsprachige Benutzer oder englischsprachige Tastaturlayouts dominant im deutschsprachigen Raum vorhanden sind.

Russland – Verschiedene typische Muster

Top-Passwörter in Russland

Die Auswertung von .ru für Russland ist ziemlich umfangreich, da diese gegenwärtig fast die Hälfte der in unserer Datenbank befindlichen Datensätze ausmachen. Betrachtet man sich die meistgenutzten Passwörter, so lassen sich diese in fünf Kategorien unterteilen:

  1. Aufsteigende Zahlenreihen (z.B. 123456 und 123456789)
  2. Wiederholende Zahlen (z.B. 111111 und 666666)
  3. Buchstabeneingaben von Links nach Rechts (z.B. qwerty und zxcvbnm)
  4. Zusammenführen von Zeichenketten (z.B. 1q2w3e4r5t und 1q2w3e4r)
  5. Duplizierung von Zeichenketten (z.B. 123123 und 123321)

Damit ist ein Grossteil der typischen Passwortmuster entlarvt. Die Chancen sind sehr gross, dass die Wahl eines klassischen Passworts in eine dieser Kategorien fällt. Die Verteilung der meistgenutzten Passwörter ist ebenso gleichmässiger, als in anderen Ländern.

China – Zahlen bevorzugt

Top-Passwörter in China

Die Auswertung von China wurde einerseits anhand der Top-Level-Domain .cn, aber auch anhand einiger bekannter Domains der grössten Provider wie 163.com und 126.com vorgenommen. Es konnten also auch chinesische Nutzer auf nicht-typischen Top-Level-Domains berücksichtigt werden.

Betrachtet man sich die Top 100, so fällt unmittelbar auf, dass 53% der Passwört aus reinen Zahlen bestehen. Im Unterschied zu 20% der Passwörter in Deutschland. Dies ist voraussichtlich dem Umstand geschuldet, dass viele Systeme eine Passworteingabe mit chinesischen Zeichen nicht vorsehen. Und dass die Nutzer sich entsprechend eher Zahlenkombinationen merken wollen, als fremdsprachige – meistens englische – Wörter.

Mit dem Durchprobieren der Top 100 Passwörter wird für Deutschland eine Erfolgschange von 3.01% erreicht. Bei Russland fällt diese mit 5.46% überdurchschnittlich hoch aus. Doch bei China wird gar 7.11% möglich, was auf die identifizierte reduzierte Entropie zurückzuführen ist.

Passwörter nach Diensten

Top-Passwörter der Domain yahoo.com

Genauso wie eine Untersuchung der beliebtesten Passwörter pro Land umgesetzt werden kann, kann dies für einzelne Anbieter geschehen. Probeweisen haben wir die Datensätze der drei meistvertretenen Mailanbieter untersucht: yahoo.com (siehe Grafik), hotmail.com und gmail.com.

Dabei sind, mindestens unter diesen drei, keine nennenswerten Unterschiede zu den länderbezogenen Betrachtungen festzustellen. Es finden sich die üblichen Passwörter im vorderen Bereich. Dazu gehören bei allen die Zahlenreihen 123456 (0.73-1.02%) an erster und 123456789 (0.26-0.47%) an zweiter Stelle. Eigentlich folgt darauf password (0.11-0.22%), das jedoch bei hotmail.com durch fuk19600 (0.19%) auf den dritten Platz verdrängt wurde. Hierbei handelt es sich voraussichtlich wiederum um ein Passwort automatisch generierter Konten oder einen fabrizierten Datensatz. Weitere ähnliche Effekte sind immer wieder zu beobachten.

Passwort und Jahreszahlen

Jahreszahlen sind beliebte 4-stellige PINs. Hierbei ist zu sehen, dass 2005 (2.62%) die Liste anführt und direkt von 2004 (2.55%) gefolgt wird. Danach folgen 2000 (2.32%) und 2003 (2.14%). Erst jetzt kommt die erste Jahreszahl aus dem 20. Jahrhundert: Nämlich das Jahr 1987 (2.12%).

Top-Passwörter der Jahreszahlen

Statistisch spannender wird diese Betrachtung, wenn die Jahre in Dekaden zusammengefasst werden. Hier ist zu sehen, dass die Dekade 2000-2009 (18.71%) dicht durch 1980-1989 (17.70%) gefolgt wird. Danach finden sich 1970-1979 (14.56%) und 1990-1999 (14.15%). Dies entspricht ganz gut dem primären Publikum des heutigen Internets.

Hierbei muss die Herkunft der Jahreszahlen unterschieden werden. In den meisten Fällen wird wohl das eigene Geburtsjahr gewählt werden. Es ist aber nicht unüblich, dass ebenfalls wichtige Ereignisse (z.B. Hochzeit) oder die Geburtsjahre der eigenen Kinder eingesetzt werden.

Top-Passwörter nach Dekaden

PINs (nur Zahlen)

Als nächstes werden PIN (Personal Identification Number) aller Art gesucht, die ausschliesslich aus Zahlen bestehen. Bei 4-stelligen PINs ist zu sehen, dass die üblichen Standardmuster auch bei solch kurzen PINs gegeben sind. Dazu gehören inkrementelle Zahlenreihen wie 1233 (10.5%) und 4321 (0.25%), gesamtheitliche Wiederholungen wie 1111 (1.62%) und 0000 (1.15%) sowie partielle Wiederholungen wie 1212 (0.52%) und 6969 (0.26%) (siehe die Aufgliederung in der Betrachtung von Russland).

Top 4-stellige PINs

Manche Zahlenreihen sehen ebenfalls wie Jahrgänge aus. So zum Beispiel 2005 (0.26%) und 2004 (0.25%). Ob es sich wirklich um Jahrgänge handelt oder doch nur um Muster, ist schwierig zu sagen. Die Betrachtung von Jahrgängen wurde zuvor in einem separaten Kapitel vorgenommen.

Datumsangaben, zum Beiespiel Geburtstage oder Jahrestage, könnten auch vorkommen. Sind aber rein von der statistischen Verteilung her unterrepräsentiert. In den Top 100 kommen nur einige wenige hierfür in Frage. Am ehesten kann eine eindeutige Zuweisung dieser Form, da es sich nicht um eine bekannte Jahreszahl oder ein offensichtliches Muster handelt, bei 1231 (0.08%) stattfinden.

Es ist fragwürdig, ob diese PINs ebenfalls Rückschlüsse auf die relative Distribution auf Geräten wie Smartphones und Eingabeterminals bei Bankautomaten zulassen. Ein Vergleich mit anderen Studien zeigt jedoch, dass hier sehr wohl die erwartete Distribution beobachtet werden kann.

Pos PIN Datagenetics scip Abweichung
1 1234 10.713% 10.492% -0.220
2 1111 6.016% 1.624% -4.391
3 0000 1.881% 1.156% -0.724
4 1212 1.197% 0.528% -0.668
5 7777 0.745% 0.362% -0.382
6 1004 0.616% 0.095% -0.520
7 2000 0.613% 0.232% -0.380
8 4444 0.526% 0.358% -0.168
9 2222 0.516% 0.363% -0.152
10 6969 0.512% 0.267% -0.244

Durchschnittliche Passwort-Längen

Abschliessend soll die durchschnittliche Länge der Passwörter diskutiert werden. Diese beträgt über alle Datensätze hinweg 9.7771 zeichen und liegt damit über der traditionellen Faustregel von 8 Zeichen.

Die Aufschlüsselung nach Ländern gibt nun einen grundlegenden Überblick, wie hoch das Sicherheitsverständnis in den jeweiligen Kulturen verankert ist. Auch wenn sich dadurch ein Trend ermitteln lässt, müssen die Daten im Kontext gesehen werden. Für manche Länder liegen verhältnismässig wenige geleakte Daten vor. Und andere werden von generierten und fabrizierten Passwörtern beherrscht. Dies kann die Betrachtung verfälschen.

Diese Verfälschung ist bei Eswatini (sz) der Fall. Die durchschnittliche Länge dieses relativ kleinen Landes mit nur rund 1.1 Millionen Einwohnern beträgt 24.6 Zeichen. Dies ist mehr als doppelt so lange wie die Cookinseln (ck), die mit 11.5 Zeichen an zweiter Stelle kommen. Die Einwohnerzahl ist mit über 18’000 ebenfalls stark begrenzt und die Aussagekraft entsprechend eingeschränkt. Aus diesem Grund haben wir eine Bereinigung vorgenommen und nur Länder in der Statistik berücksichtigt, bei denen mindestens 10’000 geleakte Konten vorliegen.

Verteilung der durchschnittlichen Passwortlänge über alle Länder

Nach Bereinigung der Daten ergibt sich ein sehr konkretes Bild. Weit vorne an erster Stelle mit 11.2 Zeichen findet sich Irland (ie). Dies könnte daran liegen, dass viele grosse Tech-Firmen entsprechende Verbindungen nach Irland haben und so direkten oder indirekten Einfluss auf Passwortstrukturen ausüben.

Danach folgen Kasachstan (kz) mit 9.674, Palau (pw) mit 9.673 und Tokelau (tk) mit 9.63. Keine Länder, die für technische Entwicklungen bekannt sind. Bei der Top-Level-Domain pw könnte die Assoziation mit dem Begriff Password dazu führen, dass sicherheitsaffine Nutzer solche Adressen bevorzugen und eigentlich mit dem Land nicht anderweitig assoziiert sind.

Ein weiteres westliches Land ist Belgien, das eine durchschnittliche Passwortlänge von 9.55 aufweist. United Kingdom mit 9.43, Russland mit 9.10 und Deutschland mit 8.92 sind ebenfalls im besten Viertel zu finden.

Eher durchschnittlich sind Italien mit 8.44, China mit 8.33, USA mit 8.21 und Frankreich mit 8.18 Zeichen.

Die Schweiz rangiert im letzten Viertel mit einer durchschnittlichen Länge von lediglich 8.03 Zeichen. Ob dies an einem mangelhaften Sicherheitsverständnis, einer erhöhten Risikobereitschaft oder einer konkret abgestuften Risikobeurteilung liegt, ist schwierig zu sagen.

Fazit

Passwortlisten muten archaisch an, halten aber bei näherer Betrachtung noch immer einige verborgene Geheimnisse bereit. Durch geschickte statistische Analysen lassen sich kulturelle und technische Gegebenheiten identifizieren, dank denen sich hochgradig spezialisierte und optimierte Passwortlisten zusammenstellen lassen.

Dabei fallen die Top-Passwörter vielerorts gleich oder ähnlich aus. Vor allem aufsteigende Zahlenreichen und simple Buchstabenkombinationen sind immer wieder anzutreffen. Bei PINs verhält es sich ähnlich, wobei da Jahrestage und Jahrgänge ebenfalls eine wichtige Rolle spielen.

Die Untersuchung der durchschnittlichen Passwortlängen hält einige Überraschungen bereit, da überdurchschnittliche Längen auch bei Ländern zu beobachten sind, denen nicht unbedingt eine hohe Risikosensitivät beimessen würde. Umso sehr ist es schade zu sehen, dass die Schweiz diesbezüglich im letzten Viertel verbleibt, obwohl wir als Land mit hohem Risikoverständnis gelten.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv