Schon vor 3 Jahren habe ich den Passwort-Check des Bayerischen Staatsministeriums für Digitales kritisiert: https://twitter.com/aykay/status/1100710390902808577

Nun hat die @IHKSchwaben darauf verwiesen und dafür nochmal viel Kritik einstecken müssen. Der Check hat aber auch echt ein paar Schmankerl:

Beim Start werden eine Reihe Text-Dateien geladen

Über die Liste https://www.stmd.bayern.de/passwortcheck/assets/wordlists/dates.txt mit 42.067 Einträgen werden mögliche Datumsangaben geladen

Mögliche Sequenzen für sich wiederholende Zeichen kommen über die Liste https://www.stmd.bayern.de/passwortcheck/assets/wordlists/sequences.txt

Ein besonderes Highlight ist die Passwort-Wordlist mit wiederum nur 75 Einträgen https://www.stmd.bayern.de/passwortcheck/assets/wordlists/passwordlist.txt

Das typische bayerische Passwort ist scheinbar "schalke04" oder "MeinenKaffeeimBürotrinkeichimmerum9Uhr+7Minuten."

Und Seppi kriegt hier auch kein starkes Passwort mehr *dumdideldum*

Von den 75 "bayerischen Passwörtern" sind übrigens nur 18 in den @haveibeenpwned Passwords enthalten.

Aus welchem Leak stammen dann eigentlich die übrigen 57 Passwörter?

Und nehmt euch in Acht, der Passwort-Check aktiviert nämlich das BayernCookie!

Wenn das alles nicht so traurig wäre, könnte man wirklich darüber lachen...

Liebe @gerlach_judith, auch nach 3 Jahren erweisen Sie mit diesem Tool Ihren Bürgerinnen und Bürgern einen Bärendienst. Ihr @BSI_Bund stünde sicherlich gerne beratend zur Seite

Korrektur: Es sind natürlich nur 69 Einträge in der Passwort-Wordlist und davon 11 in pwnedpasswords bekannt