Thought Leadership
Trotz aller Warnungen vor Hackern und Datendieben verwenden Millionen Menschen weiterhin haarsträubend simple Passwörter. Eine neue Analyse des IT-Sicherheitsunternehmens Comparitech zeigt, wie leichtsinnig viele mit ihren Zugangsdaten umgehen.
Erst vor wenigen Tagen geriet das Louvre in die Schlagzeilen, weil ausgerechnet “louvre” das Passwort des Videoüberwachungssystems war. Doch das berühmte Museum steht nicht allein da: Mehr als zwei Milliarden echte Passwörter von echten Accounts haben die Forscher von Comparitech für ihre aktuelle Studie ausgewertet. Sie stammen allesamt aus Datenlecks, die 2025 in Cybercrime-Foren und Telegram-Kanälen aufgetaucht sind. Das Ergebnis: “123456” führt die Liste mit 7,6 Millionen Treffern an. Ein Alptraum für jeden IT-Sicherheitsexperten.
Die Top 10 der Passwörter
Auf den Plätzen dahinter reihen sich weitere Klassiker: “12345678” mit 3,6 Millionen Vorkommen, gefolgt von “123456789”, “admin” und “password”.
- 123456
- 12345678
- 123456789
- admin
- 1234
- Aa123456
- 12345
- password
- 123
- 1234567890
Menschliche Faulheit in Zahlen
Die Comparitech-Analyse offenbart ein erschreckendes Muster menschlicher Bequemlichkeit: Ein Viertel der 1.000 häufigsten Passwörter besteht ausschließlich aus Zahlen. Fast 40 Prozent enthalten die aufsteigende Sequenz “123”, zwei Prozent sogar die absteigende Folge “321”. Bei 3,1 Prozent findet sich die Buchstabenfolge “abc”.
Besonders beliebt sind auch Wiederholungen: “111111” schafft es auf Platz 18, “********” auf Rang 35. Letzteres wirkt wie ein verzweifelter Versuch, Sicherheit vorzutäuschen, ist aber genauso leicht zu knacken wie jede andere simple Zeichenfolge.
Variationen eines Desasters
Die Forscher stellten fest: 3,9 Prozent der meistgenutzten Passwörter enthalten Varianten der Wörter “pass” oder “password”. Bei 2,7 Prozent taucht “admin” auf, 1,6 Prozent setzen auf “qwerty”, ein Prozent auf “welcome”.
Auch Alltagsbegriffe dominieren: Das Wort “minecraft” erscheint fast 70.000 Mal, in der Schreibweise “Minecraft” weitere 20.000 Mal und landet damit auf Platz 100 der Rangliste.
Zu kurz, zu simpel, zu gefährlich
Die Zahlen sprechen eine deutliche Sprache: Zwei Drittel aller von Comparitech analysierten Passwörter bestehen aus weniger als zwölf Zeichen. Dabei empfehlen Experten mindestens 12, besser 16 oder mehr Zeichen. Knapp sieben Prozent der Passwörter sind sogar kürzer als acht Zeichen. Nur 3,2 Prozent erfüllen die Empfehlung von 16 oder mehr Zeichen.
Das fünfthäufigste Passwort “1234” besteht aus gerade einmal vier Ziffern, das neunthäufigste “123” sogar nur aus drei. Eine Einladung für jeden Hacker mit etwas Zeit und den richtigen Tools.
Moderne Passwort-Knack-Programme machen kurzen Prozess mit schwachen Passwörtern. Gängige Kombinationen werden sofort erraten, kurze Passwörter per Brute-Force-Methode in kürzester Zeit geknackt.
Ein starkes Passwort sollte mindestens zwölf Zeichen lang sein und eine zufällige Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten, ohne erkennbare Muster.
Was Experten raten
“Ein starkes Passwort allein reicht nicht”, warnen die Comparitech-Forscher. Jedes Passwort müsse einzigartig sein, um Credential-Stuffing-Angriffe zu verhindern. Wer dasselbe Passwort für mehrere Dienste verwendet, macht es Kriminellen leicht: Einmal erbeutet, öffnet es gleich mehrere Türen.
Die Zwei-Faktor-Authentifizierung sei Pflicht, nicht Kür. Selbst wenn ein Passwort kompromittiert wird, bleibt das Konto so geschützt.
