Bei einem der Hacks in den letzten Wochen wurden auch einige Passwörter veröffentlicht. Die nun ohnehin öffentlichen Passwörter habe ich daraufhin mal ausgewertet (ja, nur die Passwörter, Benutzerdaten habe ich nicht gespeichert). Die Basis sind etwa 26.000 Passwörter, etwa 20.000 verschiedene wurden verwendet: Beliebt waren reine Zahlenkolonnen oder Wörter in Kleinbuchstaben.

Passwort Anzahl %
123456 671 2.59
123456789 212 0.82
12345 111 0.43
1234 75 0.29
12345678 72 0.28
password 66 0.25
1234567 65 0.25
1234567890 52 0.20
123 49 0.19
123123 41 0.16
111111 40 0.15
000000 36 0.14

Beliebt waren außerdem 112233, 987654321, qwerty (war eine amerikanische Seite), upload, 666666, 121212, 123321, 654321 und 555555. Was kann man dazu sagen?

Anhand der verwendeten Passwörter vermute ich, dass die Webseite keine Mindestlänge vorgab. Daher ist die Auswertung besonders interessant:

Passwortlänge Anzahl %
6 6453 24.90
8 5496 21.21
7 3868 14.92
9 2910 11.23
10 2779 10.72
5 1160 4.48
4 972 3.75
11 837 3.23
12 539 2.08
13 238 0.92
3 230 0.89

Offenbar findet eine Konditionierung auf 6 oder 8 Zeichen lange Passwörter statt… 😉