Die am häufigsten verwendeten Passwörter bestehen in Deutschland weiterhin aus Zahlenreihen. Das ergibt eine Analyse des Hasso-Plattner-Instituts (HPI) anlässlich des Europäischen Datenschutztages am 28. Januar.

Sicherheitsexperte Prof. Christian Dörr hat mit seinem Team die geleakten Datensätze der vergangenen Jahre ausgewertet. Das Ergebnis: Trotz strengerer Passwortanforderungen bei vielen Diensten nutzen die Menschen einfachste Zahlenkombinationen, wenn diese für die Authentifizierung erlaubt sind. Für das Jahr 2025 hat die Auswertung folgende Reihenfolge der meistgeleakten Passwörter in Deutschland ergeben:

1. 123456
2. 123456789
3. 565656
4. 12345678
5. hallo123
6. kaffeetasse
7. 1234567
8. passwort
9. lol123

Diese Passwörter wurden zusammen mit den Datensätzen privater Identitäten im Darknet gefunden. Neben diesen häufig verwendeten Passwörtern gibt es auch immer mehr Passwort-Cluster. So werden zum Beispiel oft Vornamen mit Geburtstagen kombiniert und mit einem Sonderzeichen am Ende garniert. „Diese Passwörter scheinen auf den ersten Blick komplex und eine gute Wahl, wir sehen allerdings in unseren Daten, dass viele Menschen sich ein starkes Passwort überlegen und dies überall verwenden. Wir können das anhand der ausgewerteten Daten im Darknet eindeutig erkennen“, sagt Prof. Dörr, der Leiter des HPI-Fachgebiets „Cybersecurity – Enterprise Security„. „Ich kann nur davor warnen. Wurde ein Dienst gehackt und die Zugangsdaten sind offen – was milliardenfach passiert – probieren Kriminelle diese erbeuteten Zugangsdaten überall aus. Deshalb meine dringende Empfehlung: Verwenden Sie einen Passwort-Manager und nutzen Sie für jeden Dienst und jeden Account ein eigenes, zufälliges Passwort.“ Die gute Nachricht sei, dass immer mehr Menschen diese Hinweise mittlerweile auch umsetzen, sowie zufällige und verschiedene Passwörter nutzen.

Neben Deutschland wurden auch die europäischen Nachbarn in die Analyse einbezogen. „123456“ ist auch hier oft an der Spitze der am häufigsten verwendeten Passwörter, die in Datenlecks gefunden werden – zusammen mit weiteren Zahlenreihen. In Großbritannien sind zudem die Tastenkombinationen „qwerty“ und „sample123“, sowie „liverpool“ und „liverpool1“ unter den Top Ten. In Italien gehören dazu auch die Vornamen „Guiseppe“ und „Francesco“ sowie „ciaociao“ und „amoremio“.

Seit gut zehn Jahren bietet das Hasso-Plattner-Institut mit dem „Identity Leak Checker“ einen kostenlosen Online-Service an, mit dem Nutzerinnen und Nutzer überprüfen können, ob die eigene E-Mail-Adresse Teil eines Datenlecks war und damit verbundene persönliche Daten im Internet kursieren. Der „Identity Leak Checker“ ermöglicht den Abgleich mit Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Der Service ist erreichbar über diese Internetadresse: www.hpi.de/ilc

Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut:

• Lange Passwörter (> 15 Zeichen)
• Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
• Verwendung von Passwortmanagern
• Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
• Zwei-Faktor-Authentifizierung aktivieren, wenn möglich