Potsdam\/Bonn (dpa\/tmn) – \u00ab123456\u00bb war 2025 das hierzulande am h\u00e4ufigsten verwendete Passwort. Die nicht weniger unsichere Reihung \u00ab123456789\u00bb belegt den zweiten Platz, wie das Hasso-Plattner-Institut (HPI) mittels im Darknet gefundener, geleakter Datens\u00e4tze erhoben hat.<\/p>\n
Auf Platz drei kommt das alternierende \u00ab565656\u00bb. Es folgen \u00ab12345678\u00bb und \u00abhallo123\u00bb, das in seiner gef\u00e4hrlichen Schlichtheit mit \u00ablol123\u00bb auf Rang neun harmoniert.<\/p>\n
\u00ablol123\u00bb ist eine Einladung f\u00fcr Hacker – \u00abkaffeetasse\u00bb auch<\/p>\n
Anhand der Rangliste demonstriert das HPI zum Europ\u00e4ischen Datenschutztag (28. Januar), dass immer noch viele Menschen fahrl\u00e4ssig Zahlenreihen, einfache Kombinationen oder W\u00f6rter (etwa \u00abkaffeetasse\u00bb auf dem 6. Platz oder \u00abpasswort\u00bb auf dem 8. Platz) nutzen, wenn der jeweilige Dienst dies zul\u00e4sst – eine Einladung f\u00fcr Hacker.<\/p>\n
Neben diesen h\u00e4ufig verwendeten Passw\u00f6rtern f\u00e4nden sich auch viele Kombinationen, mit denen sich Nutzende in falscher Sicherheit wiegen – etwa \u00abVornamen mit Geburtstagen kombiniert und mit einem Sonderzeichen am Ende garniert\u00bb, erkl\u00e4rt das HPI.<\/p>\n
Ein vermeintlich starkes Passwort f\u00fcr alles – gef\u00e4hrlicher Trend<\/p>\n
Sieht auf den ersten Blick sicher aus, ist es aber nicht. Vor allem dann nicht, wenn ein einziges, vermeintlich starkes Passwort f\u00fcr alle Dienste eingesetzt wird. Dies sei ein gef\u00e4hrlicher Trend, der sich an den ausgewerteten Daten eindeutig ablesen lasse.<\/p>\n
Das Problem: Ein gehackter Dienst \u00f6ffnet den Cyberkriminellen alle T\u00fcren, weil sie erbeutete Zugangsdaten \u00fcberall ausprobieren.<\/p>\n
Tipps f\u00fcr sichere Passw\u00f6rter<\/p>\n
Das HPI r\u00e4t deshalb:<\/p>\n
Identity Leak Checker – Sind meine Zugangsdaten geleakt?<\/p>\n
Die Auswertung basiert auf geleakten Zugangsdaten, mit denen das HPI seinen Identity Leak Checker f\u00fcttert, eine Datenbank mit Milliarden gestohlener Online-Identit\u00e4ten, die im Netz kursieren.<\/p>\n
Diese Datenbank l\u00e4sst sich zum Abgleich kostenlos abfragen<\/a>. So k\u00f6nnen Nutzerinnen und Nutzer anhand ihrer E-Mail-Adresse herausfinden, ob Zugangsdaten von ihnen nach einem Datenleck oder Hackerangriff durchs Netz geistern und missbraucht werden k\u00f6nnten.<\/p>\n Passwort-Strategien – vom Manager bis zum Merkblatt<\/p>\n Simple Passw\u00f6rter machen es f\u00fcr Angreifer zu einem Kinderspiel, Konten zu \u00fcbernehmen und digitale Identit\u00e4ten zu stehlen. Wie genau man f\u00fcr jeden Online-Dienst oder -Account ein individuelles, starkes Passwort findet, erkl\u00e4rt<\/a> detailliert auch noch einmal das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) auf seiner Webseite.<\/p>\n Gleiches gilt f\u00fcr den Umgang mit einem Passwortmanager-Programm<\/a> oder Passwort-Merks\u00e4tzen<\/a> und -Merkbl\u00e4ttern sowie der Aktivierung und Nutzung von 2FA<\/a>.<\/p>\n Regelm\u00e4\u00dfig \u00e4ndern ist \u00fcberholt – f\u00fchrt zu schw\u00e4cheren Passw\u00f6rtern<\/p>\n In vielen K\u00f6pfen fest verankert ist nach wie vor der \u00ab\u00c4ndere dein Passwort\u00bb-Tag (1. Februar), den ein Blog 2012 ins Leben rief. Seine Botschaft, das periodische, anlasslose \u00c4ndern des Passworts ist allerdings l\u00e4ngst \u00fcberholt. Ein gutes, starkes Passwort, das ausschlie\u00dflich f\u00fcr eine einzige Anwendung genutzt wird, kann durchaus einige Jahre lang unver\u00e4ndert bleiben.<\/p>\n Regelm\u00e4\u00dfige, anlassunabh\u00e4ngige Passwortwechsel f\u00fchren erfahrungsgem\u00e4\u00df dazu, dass zunehmend schw\u00e4chere Passw\u00f6rter genutzt werden, erkl\u00e4rt das BSI. Solche periodischen Wechsel sollten deshalb etwa auch Arbeitgeber nicht von ihren Mitarbeitenden fordern oder technisch erzwingen.<\/p>\n Alternative hei\u00dft Passkeys – sicher, einfach und passwortlos<\/p>\n Als Alternative zu starken Passw\u00f6rtern in Kombination mit aktivierter 2FA empfiehlt das BSI, einfach auf Passkeys umzusteigen, das immer mehr Dienste anbieten. Dabei handelt es sich um ein sicheres, passwortloses Anmeldeverfahren auf Kryptographie-Basis.<\/p>\n Das Verfahren gilt deshalb als besonders sicher, weil Passkeys – anders als Passw\u00f6rter – nicht einfach erbeutet, gestohlen oder erraten werden k\u00f6nnen. Es ist auch nicht m\u00f6glich, Passkeys zu vergessen, und sie k\u00f6nnen nicht zu schwach sein, weil sie automatisch generiert werden.<\/p>\n Finger, Gesicht oder PIN – mehr Arbeit macht Passkeys nicht<\/p>\n Au\u00dferdem ist die Nutzung denkbar einfach: Die jeweilige Webseite oder der jeweilige Dienst fragt zur Anmeldung einen beim Nutzer gespeicherten Kryptoschl\u00fcssel ab. Die Authentizit\u00e4t der Abfrage muss dann nur noch verifiziert werden. Das geht bequem per Fingerabdruck, Gesichtsscan oder PIN. Dann wird der private Schl\u00fcssel mit seinem Gegenst\u00fcck, dem \u00f6ffentlichen Kryptoschl\u00fcssel, der beim jeweiligen Dienst liegt, abgeglichen.<\/p>\n Speichern kann man seine Passkeys auf einem Sicherheits-USB-Stick (FIDO2-Unterst\u00fctzung), in einem (mobilen) Betriebssystem wie Android, iOS\/MacOS oder Windows oder auch in kompatiblen Passwortmanagern, die die universelle, system\u00fcbergreifende Nutzung erleichtern. Passw\u00f6rter und Passkeys lassen sich in solchen Passwortmanagern \u00fcbrigens problemlos nebeneinander speichern und nutzen.<\/p>\n","protected":false},"excerpt":{"rendered":"Potsdam\/Bonn (dpa\/tmn) – \u00ab123456\u00bb war 2025 das hierzulande am h\u00e4ufigsten verwendete Passwort. Die nicht weniger unsichere Reihung \u00ab123456789\u00bb…\n","protected":false},"author":2,"featured_media":747624,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1842],"tags":[170774,131042,1741,50252,5308,1743,3364,29,30,15646,170775,198,5022,1584,16759,1209,157653,71052,157652,624,3931,4585,194,8662,8665,625],"class_list":{"0":"post-747623","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-bonn","8":"tag-2fa","9":"tag-accounts","10":"tag-bonn","11":"tag-bsi","12":"tag-computer","13":"tag-datenschutz","14":"tag-de","15":"tag-deutschland","16":"tag-germany","17":"tag-hacker","18":"tag-hpi","19":"tag-internet","20":"tag-konten","21":"tag-kriminalitaet","22":"tag-leaks","23":"tag-nordrhein-westfalen","24":"tag-passkeys","25":"tag-passwoerter","26":"tag-passwortmanager","27":"tag-ratgeber","28":"tag-sicherheit","29":"tag-software","30":"tag-technik","31":"tag-tmn1130","32":"tag-tpds","33":"tag-verbraucher"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115960126057059056","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/747623","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=747623"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/747623\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/747624"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=747623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=747623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=747623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}