Nachdem bekannt wurde, dass Hacker bei Adobe Daten von mindestens 38 Millionen Kunden-Konten gestohlen haben, veröffentlicht ein Sicherheitsunternehmen die 100 von den betroffenen Nutzern am häufigsten verwendeten Passwörter. "123456" steht ganz oben auf der Liste.

Anfang Oktober gab Adobe bekannt, unbekannte Hacker hätten die Zugangsdaten von 2,9 Millionen Kunden gestohlen. Den Kriminellen sollen Namen sowie verschlüsselte Kreditkartennummern und Passwörter in die Hände gefallen sein. Adobe benachrichtigte die betroffenen Kunden und setzte die Kennwörter zurück. Ende des Monats veröffentlichte aber "AnonNews.org" eine Datei, die von dem oder den Adobe-Hackern gepostet wurde. Zwar löschten die Moderatoren "users.tar.gz" kurze Zeit später, aber die Informationen blieben im Netz. Wie "KrebsonSecurity" berichtete, könnte die 3,8 Gigabyte große Datei mehr als 150 Millionen Nutzernamen und verschlüsselte Passwörter enthalten.

Ein Adobe-Sprecher bestätigte diese Zahl zwar nicht, gab aber offiziell bekannt, Adobes Untersuchungen hätten bisher ergeben, dass die Daten von ungefähr 38 Millionen "aktiven" Kunden entwendet worden seien. Nachdem sich viele Nutzer nur einmal anmelden, um beispielsweise eine Adobe-ID für kopiergeschützte eBooks (Adobe-DRM) zu erhalten, könnte die von Brian Krebs genannte Zahl aber durchaus realistisch sein.

Experte braucht keinen Schlüssel

Eine hohe Zahl von "Wegwerf-IDs" würde auch erklären, was Sicherheitsexperte Jeremy Gosney von "Stricture Consulting" aus der Datei "mechanisch" herausfilterte. Wie er "ZDNet" erklärte, habe er zwar nicht den Schlüssel, um den Code zu knacken. Allerdings habe Adobe die Daten so verschlüsselt, dass sich für gleiche Klartext-Blöcke immer die gleichen Chiffre-Textblöcke ergäben. Diese Informationen hätten genügt, um besonders häufig genutzte Passwörter zu "erraten". Das Ergebnis von Gosneys Analyse ist eine Top-100-Liste der am häufigsten genutzten Passwörter von Adobe-Kunden, die man so ähnlich schon nach anderen Hacker-Angriffen gesehen hat, beispielsweise beim Yahoo-Hack im Sommer 2012.

Mit fast 200.000 Treffern steht mal wieder das "Idioten-Passwort" Nummer 1 an erster Stelle: "123456". An zweiter Stelle folgt "123456789" gefolgt von "password". Auch der Rest der Liste ist nicht viel einfallsreicher und im Ernstfall kein Schutz.

Sicher gibt es Nutzer, die leichtsinnig genug sind, "123456" als Passwort zu wählen. Wie Chefredakteur Jürgen Schmidt auf "Heise Security" schreibt, könnten aber die meisten der "Idioten" Nutzer sein, die eine Wegwerf-E-Mail-Adresse samt Simpel-Passwort nur einmal verwendet haben. Möglicherweise wollten sie keine wichtige E-Mail-Adresse einsetzen, um einmalig eine Adobe-ID zu erhalten. Wie der aktuelle Hack zeigt, wäre dies alles andere als eine dumme Taktik gewesen.