Kein Passwort ist leichter zu knacken als 123456. Trotzdem wird es von vielen verwendet. © Mauritius
Potsdam – Sicherheit im digitalen Bereich wird in Deutschland von Nutzern und Nutzerinnen einer Studie zufolge nicht ernst genug genommen. Die am häufigsten verwendeten und geleakten Passwörter bestünden weiter aus Zahlenreihen, teilte das Hasso-Plattner-Institut unter Berufung auf seine Analyse am Montag in Potsdam mit.
Für die Studie seien die geleakten Datensätze der vergangenen Jahre ausgewertet worden, hieß es. Das Ergebnis sei, dass trotz strengerer Passwortanforderungen bei vielen Diensten Nutzer und Nutzerinnen weiter einfachste Zahlenkombinationen verwenden, wenn diese für die Authentifizierung erlaubt sind.
2025 habe an erster Stelle die Kombination „123456“ und an zweiter Stelle die Kombination „123456789“ gestanden, hieß es. Auf Platz drei kommt das alternierende „565656“. Es folgen „12345678“ und „hallo123“, das in seiner gefährlichen Schlichtheit mit „lol123“ auf Rang neun harmoniert.
Ausschließlich aus Buchstaben bestehende Passwörter hätten mit „kaffeetasse“ den sechsten Platz und mit „passwort“ den achten Platz belegt. Auch in europäischen Nachbarländern habe „123456“ oft an der Spitze der am häufigsten verwendeten Passwörter gestanden.
Die Passwörter seien zusammen mit den Datensätzen privater Identitäten im Darknet gefunden worden. Neben diesen häufig verwendeten Passwörtern fänden sich auch viele Kombinationen, mit denen sich Nutzende in falscher Sicherheit wiegen – etwa „Vornamen mit Geburtstagen kombiniert und mit einem Sonderzeichen am Ende garniert“, erklärt das HPI.
Sieht auf den ersten Blick sicher aus, ist es aber nicht. Vor allem dann nicht, wenn ein einziges, vermeintlich starkes Passwort für alle Dienste eingesetzt wird. Dies sei ein gefährlicher Trend, der sich an den ausgewerteten Daten eindeutig ablesen lasse.
Das Problem: Ein gehackter Dienst öffnet den Cyberkriminellen alle Türen, weil sie erbeutete Zugangsdaten überall ausprobieren.
Das HPI rät deshalb: Für jeden Dienst und jeden Account ein anderes, zufälliges Passwort nutzen; also keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten. Lange Passwörter (mindestens 15 Zeichen) einsetzen; dabei gilt es, alle Zeichenklassen zu benutzen, also Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen – aber keine Namen verwenden oder „echte“ Begriffe, die im Wörterbuch stehen.
Außerdem sollte man Passwortmanager verwenden; sie machen es leichter, alle diese Regeln einzuhalten. Zudem sollte man Passwörter bei Sicherheitsvorfällen ändern oder wenn sie die genannten Regeln nicht erfüllen.
Derzeit sorgt ein schwerwiegendes Datenleck international für Beunruhigung: Laut einem Bericht des Schweizer Portals „20 Minuten“ hat der Sicherheitsexperte Jeremiah Fowler auf einem ungeschützten Server eine Datenbank mit rund 149,4 Millionen gestohlenen Zugangsdaten entdeckt. Die Sammlung umfasst demnach sensible Anmeldeinformationen für eine Vielzahl globaler Onlinedienste, darunter 48 Millionen Gmail-Konten, 17 Millionen Facebook-Log-ins sowie Millionen weitere Zugänge für Instagram, Netflix, Yahoo, iCloud oder OnlyFans. Auch der Bildungsbereich ist mit 1,4 Millionen .edu-Adressen betroffen.