Vergleich von 2 Milliarden Leaks: So simpel sind viele Passwörter
Eine aktuelle Auswertung von über zwei Milliarden Datensätzen zeigt: Viele Nutzer setzen weiterhin auf erschreckend einfache Passwörter. Selbst offensichtliche Kombinationen wie "123456" und "admin" dominieren auch 2025 noch die Ranglisten.
Eine neue Untersuchung von Comparitech legt offen, dass sich auch 2025 kaum etwas an der Passwortkultur im Netz geändert hat. Trotz Zwei-Faktor-Authentifizierung, Passwort-Managern und ständiger Sicherheitswarnungen dominieren erneut dieselben Kombinationen, die schon seit Jahren auf einschlägigen Leak-Listen kursieren und fast schon ein Meme sind.
An der Spitze steht einmal mehr "123456": ein Passwort, das bereits seit über einem Jahrzehnt als Inbegriff schlechter Sicherheit gilt. Über 7,6 Millionen Accounts wurden laut Datensatz damit kompromittiert. Knapp dahinter folgen Varianten wie "12345678" und "123456789", die sich ebenfalls millionenfach finden lassen. Auch "admin", "password" oder schlichte Varianten wie "111111" zählen weiterhin zu den größten Risikofaktoren.
Die Daten stammen aus über zwei Milliarden komprimierten Konten, die auf einschlägigen Leak-Plattformen und Foren kursierten. Verglichen wurden ausschließlich Datensätze, die nachweislich im Jahr 2025 veröffentlicht oder gehandelt wurden. Mehr als ein Drittel der meistverwendeten Passwörter enthält die Zeichenfolge "123", weitere Millionen setzen auf einfache Zählfolgen, etwa "654321" oder "987654321". Rund vier Prozent aller Passwörter enthalten laut Auswertung den Begriff "password", etwa in Varianten wie "Password1" oder "Pass@123". Auch Kombinationen wie "admin" oder "qwerty" bleiben weiterhin beliebt.
Auffällig ist die Länge: Die meisten kompromittierten Passwörter sind zwischen acht und elf Zeichen lang. Nur etwa ein Fünftel überschreitet zwölf Zeichen. Das deckt sich mit der Empfehlung vieler Sicherheitsexperten, die auf längere, komplexe Phrasen setzen. In der Praxis zeigt sich allerdings: Kurze, gewohnte Muster überwiegen. Selbst vermeintlich "sichere" Varianten mit Großbuchstaben oder Sonderzeichen, also sowas wie "Pass@123" oder "Aa123456", tauchen zehntausendfach in den Leaks auf. Offenbar vermittelt die optische Komplexität ein trügerisches Sicherheitsgefühl. Wer also glaubt, durch das Hinzufügen eines Sonderzeichens auf der sicheren Seite zu sein, irrt.
Insgesamt zeigt der Bericht, wie gering die Varianz im Passwortverhalten ausfällt. Selbst spezifische Begriffe wie "minecraft" oder "India@123" schaffen es unter die Top 100. Die Konsequenzen solcher Nachlässigkeit sind klar: Kurze oder häufig verwendete Passwörter lassen sich mit modernen Brute-Force- oder Wörterbuch-Angriffen in Sekunden entschlüsseln. Sicherheitsexperten empfehlen daher mindestens 12 bis 16 Zeichen, eine zufällige Kombination aus Buchstaben, Zahlen und Symbolen und für jeden Dienst ein eigenes Passwort.
Welche Passwörter nutzen Sie? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Beachten Sie beim Kommentieren bitte die Forenregeln. Folgen Sie uns zudem für Neuigkeiten in der Hardware-Welt oder unsere exklusiven Inhalte gern auf Whatsapp und X. Unsere Video-Inhalte finden Sie bei Youtube, Instagram und Tiktok.
Quelle: Comparitech via Golem
Zettel im Tresor einschließen ist vielleicht noch eine Option, aber diese elende Kuchenblechmafia...!
Warum sollte ich einem Passwort Manager vertrauen, der irgendwann eine Sicherheitslücke aufweist, ein einzelnes Passwort für die Datenbank der Passwörter im Passwortmanager von diesem Passwort dann alles abhängt, ob das ganze sicher ist? Wer sagt mir, dass diese Daten von einem Passwortmanager nicht irgendwo hin gehen und abgegriffen werden können?
Ich schreibe Passwörter nach wie vor auf Papier auf.
Am besten wäre eine Enigma Maschine zuhause zu haben, wo die Passwörter mechanisch verschlüsselt werden und man sie selbst erst entschlüsseln muss.
<<Kann mich erst in 15 Minuten einloggen, muss das Passwort erst entschlüsseln>> ^^
"Gib mal Smartphone, ich muss mich kurz einloggen"
"What??? Kein USB-Port mehr?"
¹éçHÐ4¬["¸j{ÿ}ð;®¹'«$ó5-sôÐí°Þ3»ÝÁX°H;´÷¯Ø}w¿=d¾qÌàåñ59)÷L¢¬í³LEÀ!½r'ªzª³p[×m²[Õfz¤9C´/
(Abgespeichert in einer Txt Datei z.B auf einem USB Stik.)
Da ist dann nichts mehr mit Erraten können.
"Gib mal Smartphone, ich muss mich kurz einloggen"
"What??? Kein USB-Port mehr?"
Aber ich habe ne passwort Tresor da sind es locker 20 zeichen also irgend was an die 100 bit verschlüsselung. Denke das sollte reichen. Merken tuhe ich die mir allerdings nicht und dass ist bei Microsoft konto zwang auch das problem.
Ich will da kein passwort haben was nicht sicher ist und ich mir aber merken kann das macht so was von 0 sinn.
Habe aber e-mail postfächer wo ich halt ne passwort habe was ich mir merken kann und relativ gesehen lange ist u.s.w