Millionen nutzen noch immer „123456 als Passwort

Die Deutschen lieben einfache Passwörter – und Cyberkriminelle erst recht. Trotz ständiger Warnungen vor Datendiebstahl schützen Millionen Menschen ihre digitalen Konten weiterhin mit erschreckend simplen Zahlenkombinationen. Eine aktuelle Analyse zeigt: Die gefährlichste Schwachstelle sitzt oft vor dem Bildschirm.

Das Technologie-Forschungsunternehmen Comparitech hat diese Woche über zwei Milliarden Passwörter untersucht, die 2025 in Hacker-Foren auftauchten. Das Ergebnis? Ein Déjà-vu der besonderen Art. „123456″ führt die Liste der beliebtesten Passwörter an – mit über 7,6 Millionen Treffern im Datensatz. Dicht gefolgt von „12345678″, „123456789″ und den Klassikern „admin” und „password”.

Die Analyse wirft ein Schlaglicht auf eine paradoxe Situation: Während täglich Meldungen über Datenlecks die Schlagzeilen beherrschen, ignorieren Nutzer beharrlich elementare Sicherheitsregeln. Zwar stellten sich einige spektakuläre Meldungen über „16 Milliarden geleakte Zugangsdaten” Mitte 2025 als Zusammenstellung älterer Datensätze heraus. Doch die schiere Masse verfügbarer Informationen macht schwache Passwörter zu einem Risiko mit Ansage.

Apropos Schutz vor Datendiebstahl – viele Nutzer übersehen, dass das Smartphone selbst ein Einfallstor für Angreifer ist. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android-Geräte: automatische Updates, geprüfte Apps, sichere Einstellungen, Backup und Verhaltensregeln gegen Phishing. Schritt-für-Schritt-Anleitungen helfen, WhatsApp, Online‑Banking und Zahlungs-Apps sicherer zu machen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die Comparitech-Studie spricht Klartext: Ein Viertel der 1.000 häufigsten Passwörter besteht ausschließlich aus Zahlen. Besonders beliebt sind vorhersehbare Muster – bei 39 Prozent der Top-Passwörter taucht die Sequenz „123″ auf, bei drei Prozent „abc”.

Noch gravierender: Fast 66 Prozent der analysierten Passwörter haben weniger als zwölf Zeichen – die von Sicherheitsexperten empfohlene Mindestlänge. Nur magere 3,2 Prozent der Nutzer wählen Passwörter mit mindestens 16 Zeichen, obwohl diese Länge Brute-Force-Attacken exponentiell erschwert.

Auch Pop-Kultur und persönliche Vorlieben spielen eine verhängnisvolle Rolle. Das Passwort „minecraft” erschien knapp 70.000 Mal und landete auf Platz 100. Geografisch inspirierte Kombinationen wie „India@123″ zeigen: Persönliche Informationen werden leichtfertig zu erratbaren Zugangscodes verwoben.

Der Wissen-Handeln-Graben

Warum handeln Menschen wider besseres Wissen? Die Antwort ist ernüchternd. Eine Studie von LastPass aus dem Jahr 2020 zeigte: 91 Prozent der Befragten wussten, dass die Wiederverwendung von Passwörtern ein Sicherheitsrisiko darstellt. Trotzdem taten es 66 Prozent. Eine aktuelle Bitwarden-Umfrage von 2025 offenbart zudem eine Generationenkluft: 72 Prozent der Generation Z verwenden Passwörter mehrfach – obwohl 79 Prozent das Risiko kennen.

Diese Nachlässigkeit ist Wasser auf die Mühlen von Cyberkriminellen. Bei sogenannten Credential-Stuffing-Attacken probieren Hacker automatisiert gestohlene Zugangsdaten bei verschiedenen Diensten aus. Der Erfolg ist programmiert, wenn Nutzer dieselbe Kombination für E-Mail, Online-Banking und Social Media verwenden.

Doch die Schuld liegt nicht allein bei den Nutzern. Eine NordPass-Studie vom November 2025 deckte auf: 42 Prozent der 1.000 meistbesuchten Websites weltweit verlangen keine Mindestlänge für Passwörter. 58 Prozent verzichten auf Sonderzeichen-Pflicht. Die Plattformen selbst ebnen schlechten Gewohnheiten den Weg.

Was Nutzer jetzt tun sollten

Das US-amerikanische National Institute of Standards and Technology (NIST) hat seine Empfehlungen aktualisiert: Passwortlänge schlägt erzwungene Komplexität. Neue Passwörter sollten gegen Listen bekannter kompromittierter Zugangsdaten geprüft werden.

Für Verbraucher gelten drei Kernregeln:

Länge vor Komplexität: Mindestens 12 bis 16 Zeichen, am besten als Passphrase oder zufällige Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Passwort-Manager nutzen: Diese Tools generieren und speichern komplexe, einzigartige Passwörter für jedes Konto. Das Gedächtnis wird entlastet, die Sicherheit steigt.

Zwei-Faktor-Authentifizierung aktivieren: Diese zweite Sicherheitsebene – etwa ein Code aufs Smartphone – stoppt Angreifer selbst dann, wenn sie das Passwort kennen.

Der lange Weg in die passwortlose Zukunft

Die Branche arbeitet an Alternativen. Technologien wie Passkeys versprechen eine Zukunft ohne klassische Passwörter. Bis zur flächendeckenden Einführung bleibt das simple Passwort jedoch der Türöffner zum digitalen Leben.

Die aktuellen Zahlen sind ein Weckruf. Solange „123456″ und „password” zu den beliebtesten Kombinationen zählen, steht Cyberkriminellen die Tür weit offen. Die Verantwortung liegt bei jedem Einzelnen – und bei Unternehmen, die strengere Sicherheitsstandards durchsetzen müssen. Die Zeit des digitalen Leichtsinns läuft ab.

PS: Wer seine Konten wirklich schützen will, sollte beim Smartphone anfangen. Dieser Gratis-Report zeigt die 5 Maßnahmen, die Alltags-Hacker am häufigsten ausnutzen – Tipp 3 schließt eine oft unterschätzte Lücke und enthält praktische Checklisten für WhatsApp, Banking und Zahlungs-Apps. Gratis-Sicherheitspaket für Android anfordern