Bei einem der Hacks in den letzten Wochen wurden auch einige Passwörter veröffentlicht. Die nun ohnehin öffentlichen Passwörter habe ich daraufhin mal ausgewertet (ja, nur die Passwörter, Benutzerdaten habe ich nicht gespeichert). Die Basis sind etwa 26.000 Passwörter, etwa 20.000 verschiedene wurden verwendet: Beliebt waren reine Zahlenkolonnen oder Wörter in Kleinbuchstaben.
Passwort | Anzahl | % |
123456 | 671 | 2.59 |
123456789 | 212 | 0.82 |
12345 | 111 | 0.43 |
1234 | 75 | 0.29 |
12345678 | 72 | 0.28 |
password | 66 | 0.25 |
1234567 | 65 | 0.25 |
1234567890 | 52 | 0.20 |
123 | 49 | 0.19 |
123123 | 41 | 0.16 |
111111 | 40 | 0.15 |
000000 | 36 | 0.14 |
Beliebt waren außerdem 112233, 987654321, qwerty (war eine amerikanische Seite), upload, 666666, 121212, 123321, 654321 und 555555. Was kann man dazu sagen?
Anhand der verwendeten Passwörter vermute ich, dass die Webseite keine Mindestlänge vorgab. Daher ist die Auswertung besonders interessant:
Passwortlänge | Anzahl | % |
6 | 6453 | 24.90 |
8 | 5496 | 21.21 |
7 | 3868 | 14.92 |
9 | 2910 | 11.23 |
10 | 2779 | 10.72 |
5 | 1160 | 4.48 |
4 | 972 | 3.75 |
11 | 837 | 3.23 |
12 | 539 | 2.08 |
13 | 238 | 0.92 |
3 | 230 | 0.89 |
Offenbar findet eine Konditionierung auf 6 oder 8 Zeichen lange Passwörter statt… 😉