News Hasso-Plattner-Institut: Das meistgenutzte Passwort in 2025 bleibt eine Zahlenreihe

[TomH22]

Der verwaltet Passwörter, er macht es leicht, für jeden Dienst ein einzigartiges, im Regelfall zufällig generiertes zu verwenden.

Passwort Manager machen es nicht nur leichter, einmalige und hinreichend starke Passwörter zu verwenden, sondern auch sie bei Bedarf bequem wechseln zu können. Fast alle Menschen ohne PW Manager werden früher oder später schlampig. Oft sind die Passwörter dann die Namen der diversen Haustiere zusammen mit dem Jahr wo es eingerichtet wurde, also sowas wie „Bello2025“, ergänzt um die minimale Anzahl an Sonderzeichen um gängige PW Richtlinien zu erfüllen.

Ich habe bei meiner eigenen Frau Jahre gebraucht, bis endlich Passwörter dieser Art ausgemerzt wurden.

Über komprimierte Webdienste abgegriffene, mehrfach verwendete Passwörter ist immer noch einer der häufigsten Angriffsvektoren für Identitätsdiebstahl. Der Vorteil für den Angreifer: Da üblicherweise Nutzer mit solchen Passwörtern generell wenig Sicherheitsbewusstsein haben, wirkt es quasi als Filter für leichte Ziele.

Insofern ist konsequente Nutzung eines Passwort Managers für durchschnittlich organisierte Anwender immer ein Sicherheitsgewinn. Hier ist im Zweifelsfall eine niedrige Einstiegshürde für hohe Anwenderakzeptanz wichtiger als maximale Sicherheit, nach dem Maximime: Der beste PW Manager ist einer, der genutzt wird.

Gegen kompromittierung eines Systems sichert man sich mit 2FA ab, nicht mit einem Passwortmanager.

Auf jeden Fall. Wobei man dann unbedingt auf die Recovery Prozedur achten muss. Was garnicht so trivial ist, z.B wie legt man Recovery Codes ab.
Problematisch ist auch, die von vielen PW Managern angebotene integrierte TOTP Funktion zu nutzen. Für weniger kritische Dienste mache ich das zwar zuweilen auch, aber man sollte sich der Risiken bewusst sein.

 

[xerex.exe]

Doch! Ich finde, das ist ein riesen Unterschied!

1. Ohne Passwortmanager verwendet man wahrscheinlich überall das gleiche Passwort. Wir sind halt alle etwas faul, ist ja ganz normal.
2. Mit einem Passwortmanager kann man und sollte man überall ein anderes verwenden.
3. Zusätzlich kann das Programm noch kryptographisch bessere Passwörter erzeugen. Der Mensch ist furchtbar, wenn es darum geht, gute Passwörter zu erzeugen.

Das ist mir schon bewusst welche Vorteile es auch hat. Trotzdem: Ist das eine Passwort des Managers geknackt liegen ebenfalls alle offen.

 

[Che-Tah]

Die genannten Passwörter entsprechend doch eigentlich nirgends den Mindestvorgaben von Groß, Kleinbuchstabe, Zahl, Sonderzeichen... (zumindest 3 davon)
Stellt sich mir also eher die Frage wieviel Betreiber solche unsicheren Passwörter überhaupt zulassen.

 

[eYc]

Ich werde meine Passwörter jetzt alle auf 123456 ändern, da jetzt sicher niemand mehr damit rechnet, dass noch jemand dieses Passwort benutzt.

Da solltest du besser auf "passwort" als PW setzen. Das ist jetzt schon von den Top 3 auf Platz 8 gerutscht, und wird bald in Vergessenheit geraten sein. Dann kann es als sicher gelten.

 

[senoyches]

Platz 2 ist eindeutig für Fortgeschrittene. ^^

Sieht mir nach Routerpasswort aus, will WEP nicht mindestens 9 stellen.

 

[peru3232]

Gegen kompromittierung eines Systems sichert man sich mit 2FA ab, nicht mit einem Passwortmanager.

Richtig - und NUR damit - daher ist es wichtig zu betonen, dass dieses ganze möglichst "sichere" Passwörter zu vergeben, Humbug ist und man sich damit einfach in falscher Sicherheit wiegt - im Gegenteil, besser mehr Aufmerksamkeit auf die Absicherung mit eben 2FA oder gar 3FA legen bei kritischen Konten, auch 2FA kann zu wenig sein! Aber ist natürlich unbequem...aber ja, es ist absolut notwendig wenn man "sicher" sein will

Ergänzung:
Und selbst da hast Du noch genug Probleme offen. Weil die nützt ja kein 2FA-abgesicherter Login was, wenn die Malware dann einfach Deine Session übernimmt, sobald Du Dich eingeloggt hast.
(weshalb besonders sicherheitskritische Dienste wie Online-Bankung ja auch noch 2FA für sensible Aktionen wie Überweisungen haben)

Jedenfalls sollte man sich bemühen sein Rechner sauber zu halten. Unglücklicherweise ist es immer noch ziemlich verbreitet allen möglichen "Mist" zu installieren.
Ich mein, wenn man das unbedingt machen will, sollte man zumindest für Spiel- und Testinstallation so was wie eine VM (oder vergleichbar) benutzen, um das Risiko abzumildern.

das vermittelt auch nur ein zweifelhaftes "Sicherheitsgefühl" Für wirkliche Schadsoftware bedarf es oft keiner Installation - wer das Testen möchte, kann einen Rechner nehmen, frisch etwa Win7 aufsetzen und nur ins Netz gehen ohne vorgeschaltener HW-Firewall. Das reicht - für ein paar Sekunden nur. Ist eine coole Demonstration wie sich Schadsoftware pfeilschnell selbstständig auf ungesicherte Geräte verbreiten kann... Also bitte wirklich nur zum Probieren, dann offline und mit aktuellem Virenscanner auf einem Bootstick das System checken

 

[andy_m4]

Trotzdem: Ist das eine Passwort des Managers geknackt liegen ebenfalls alle offen.

Inwieweit ist das praktisch ein Problem?
Oder anders gefragt: Ein Password-Datenbank ist ja nur dann gefährdet, wenn sie in fremde Hände gelangt.
Wenn Du sie also nicht irgendwo hochlädst, dann ist die Gefahr ja schon mal gering.
Jemand müsste also in Deinen Computer einbrechen, um da ran zu kommen. Ist aber Dein Computer kompromittiert, dann ist dies ohnehin sehr problematisch.

Also wenn, dann müsstest Du das Problem schon genauer skizzieren. Und auch Alternativen vorstellen, die besser sind. Nur einfach zu sagen "Passwortmanager sind doof" ist ja ein bissl wenig.

Ergänzung (27. Januar 2026)

das vermittelt auch nur ein zweifelhaftes "Sicherheitsgefühl"

Was denn?
Im zitierten Text stand mehr drin. Ich weiß nicht, auf was Du Dich konkret beziehst.

Für wirkliche Schadsoftware bedarf es oft keiner Installation

Na dann erkläre mal.
Vage zu bleiben hilft ja überhaupt nicht weiter bei einer Diskussion.

wer das Testen möchte, kann einen Rechner nehmen, frisch etwa Win7 aufsetzen und nur ins Netz gehen ohne vorgeschaltener HW-Firewall.

Win 7 ist seit Jahren out-of-Support.
Wer das noch nimmt und mit dem Internet verbindet, der handelt eh fahrlässig.

btw: Eine Hardware-Firewall haben die meisten ohnehin in Form eines Home-Routers.
Wer geht denn bitteschön noch direkt ins Internet via PPPoE ?
Also klar. Das wirds immer noch geben, dürfte aber die Ausnahme sein.

 

[Schmarall]

die bekannte Zahlenkombination 123456

... ist ja nicht grundsätzlich schlecht.
Es gibt einfach Fälle, wo eigentlich gar kein Passwort notwendig ist, das System aber eines erzwingt. Also gibt man sowas ein, weil es egal ist.

Gerade z.B. auch durch den Registrierungszwang für jeden Scheißdreck (sorry). Ich will ein einziges mal etwas von der Seite haben, aber nein, man muss sich erst registrieren. Also nimmt man eine Wegwerfmail und eben so ein Passwort. Weil eh egal.
Und wie man nun sehen kann, ist es TATSÄCHLICH sinnvoll so zu handeln, weil solche Seiten gehackt und dann die Daten geleaked werden - wie sonst kämen sie ins Darknet? Wer da dann ein "echtes" Passwort nutzt, der hat es verbrannt.
Somit ist 123456 sogar intelligent.

 

[Che-Tah]

... ist ja nicht grundsätzlich schlecht.
Es gibt einfach Fälle, wo eigentlich gar kein Passwort notwendig ist, das System aber eines erzwingt. Also gibt man sowas ein, weil es egal ist.

Da fällt mir nur der "Blattschutz" von Excel ein... den man nur aktiviert damit man beim Arbeiten nicht unabsichtlich was löscht. Dort tut es aber auch "0" oder "1". Dagen "123456" wär schon wider viel zu lange.

"TrustNo1" scheint schon wieder aus der Mode gekommen zu sein.

 

[Rappeltoon]

Kann man wirklich so sinnfrei sein ? Naja wenn ich so die Passwörter meiner Frau sehe ;-)
Soll jetzt aber nicht wirklich Frauenfeindlich sein.

 

[Palomino]

@Rappeltoon:
Mein Beileid Aus Erfahrung kann ich dir sagen dass ein Thematisieren genauso schlimm ist wie ein späteres " Ich hab's dir ja gesagt"

 

[Iron Plague]

Ich habe sehr lange in einer großen Kommunalverwaltung gearbeitet. Dort waren solche Passwörter ebenfalls weit verbreitet. Selbst bei Fachanwendungen, die online liefen. Insofern überrascht mich der Artikel nicht.

Ich selbst halte mich seit Jahren an das Prinzip Groß-/Kleinschreibung plus Zahlen und Buchstaben plus Sonderzeichen. Und für jede Seite/Anwendung ein anderes Passwort.

 

[BeBur]

frisch etwa Win7 aufsetzen und nur ins Netz gehen ohne vorgeschaltener HW-Firewall. Das reicht - für ein paar Sekunden nur. Ist eine coole Demonstration wie sich Schadsoftware pfeilschnell selbstständig auf ungesicherte Geräte verbreiten kann... Also bitte wirklich nur zum Probieren, dann offline und mit aktuellem Virenscanner auf einem Bootstick das System checken

Dürfte eher schwierig werden, ohne NAT ins Internet zu kommen. Und solange NAT dazwischen ist bekommt ein Rechner keine Schadsoftware. Dazu muss man mit dem Rechner schon selber irgendwo hinsurfen, wo Schadsoftware verteilt wird. Und auch das wird nur funktionieren, wenn der Browser ebenso alt ist.

Das Internet definiert sich ja quasi über adhoc Punkt-zu-Punkt Verbindungen. Die können von außen aber nur zur Modem/Router Kombination aufgebaut werden. Beim Surfen wird so eine Verbindung im Prinzip nur zum Browser aufgebaut, nicht mit dem Betriebssystem.
Ist natürlich sehr vereinfacht und es gibt viele "könnte aber..." und "theoretisch kann auch...".

 

[Hexxxer76]

Wer solche Passwörter verwendet, dem ist nicht mehr zu helfen!

 

[pseudopseudonym]

Da bin mit qwerty ja richtig kreativ, da kommt in Deutschland niemand drauf!

 

[Apocalypse]

Sichere Passwörter kann das HPI gar nicht Analysieren, die werden ja schließlich nicht gestohlen! ;-)
ALLE Passwörter die dem HPI zur Analyse zur verfügung stehen, sind per Definition unsicher.

Ergänzung (27. Januar 2026)

Mein PW hat 22 Zeichen. Groß und Kleinbuchstaben und Sonderzeichen+Zahlen. Alles in nicht-linearer Reihenfolge.

Da mein Steamaccount letztes Jahr gehackt und verkauft wurde (und ich ihn dann wieder bekam), habe ich mich für dieses PW entschieden und schlafe seit dem viel viel besser.

Aber warum sagst du uns das? Jetzt ist nicht mal mehr halb so sicher, nachdem wir genau wissen wie es aufgebaut ist und nur 22 Zeichen ausprobieren müssen ... oh es war ein Trick, du hast gelogen und es hat gar nicht 22 Zeichen? ;-)

Ergänzung (27. Januar 2026)

Doch! Ich finde, das ist ein riesen Unterschied!

1. Ohne Passwortmanager verwendet man wahrscheinlich überall das gleiche Passwort. Wir sind halt alle etwas faul, ist ja ganz normal.
2. Mit einem Passwortmanager kann man und sollte man überall ein anderes verwenden.
3. Zusätzlich kann das Programm noch kryptographisch bessere Passwörter erzeugen. Der Mensch ist furchtbar, wenn es darum geht, gute Passwörter zu erzeugen.

Ich kann genauso gut gar keinen passwort manager verwenden und einfach bei bedarf die passwort wiederherstellung verwenden, falls mal ein cookie für den Autologin abläuft. ;-)

Ergänzung (27. Januar 2026)

Und wie man nun sehen kann, ist es TATSÄCHLICH sinnvoll so zu handeln, weil solche Seiten gehackt und dann die Daten geleaked werden - wie sonst kämen sie ins Darknet? Wer da dann ein "echtes" Passwort nutzt, der hat es verbrannt.
Somit ist 123456 sogar intelligent.

Ein "echtes" passwort kann nur genau für einen Dienst verwendet werden und dementsprechend ist es vollkommen richtig, aber auch egal, wenn es verbrannt wird. Das macht 123456 nicht intelligent, sondern nur bequem.


Aber natürlich gilt, das jedes Passwort das der HPI sich verschaffen kann bereits verbrannt ist und dementsprechend nicht verwendet werden sollte.

 

[Zweite Sonja]

Das ist mir schon bewusst welche Vorteile es auch hat. Trotzdem: Ist das eine Passwort des Managers geknackt liegen ebenfalls alle offen.

Deshalb nutzt man zur Sicherheit einen zweiten Faktor.

Man könnte die 4-stelligen-PINs aller Kunden, beispielsweise beim Einkaufen, ausspähen. Nur bringt diese nichts, solange man die Karte nicht hat.

Genauso sollte man es mit dem Passwortmanager konstruieren.
Irgend einen zweiten Faktor braucht man. Und selbst ein Fingerabdruck oder das Gesicht auf dem Smartphone zum Entsperren ist besser als nichts, wenn man das Passwort des Passwortmanagers kennt.

Noch unsicherer dagegen ist die Anmeldung mit dem Google Account, denn da braucht man gar nichts zu erraten, weil fast alle im Browser angemeldet bleiben. Sobald man die schlechten PINs eines Smartphones hat, hat man auch die super komplexen Passwörter, die Google über den Browser aber wertlos macht, da man überall nur bestätigen muss, dass man sich anmelden will.
Diese PINs oder Muster zu erraten, ist wirklich ein Kinderspiel, weil gefühlt 90% dieselben Top 10 schlechten PIN/Muster nutzen. Und das auf einem Smartphone, welches das halbe Leben speichert.

 

[crogge]

Das "kaffeetasse" dabei ist überrascht mich 😂

 

[Nuklon]

Es ist ein mathematischer Trugschluss:
Im zweiten Weltkrieg wollte die US Army die Flugzeugteile verstärken wo die meisten Löcher drin sind. Dabei sagte einer das man dort verstärken sollte wo keine Löcher drin snd, denn Flugzeuge, die dort getroffen worden sind, kamen nicht wieder zurück.

Ähnlich hier. Gehackt werden überwiegend nur die Accounts mit schwachen Schutz. Das sagt aber wenig über die gesamte Anzahl der Accounts aus, da die mit guten Passwörtern oft nicht sichtbar bleiben.

Ich habe auch etliche Accounts wo mein Passwort rumgeistert. Alles Billigpasswörter für Foren oder andere unnötige Anwendungen.

Während Banken und Zahlaccounts mehr gesichert sind.

 

[eldiablo85]

Ich bin auch einer jener Helden, die bei vielen Seiten das gleiche Passwort benutzen. Einzig meine Haupt-Email die zum ändern und zurücksetzen gebraucht wird, hat ein extrem starkes Passwort das so lang und kompliziert ist, dass ich es mir notieren musste. Ich sehe das aber heute nicht mehr so dramatisch. Immer, wenn ich mich von einem neuen Gerät aus anmelde muss ich das auf dem Smartphone oder in einer erhaltenen Email bestätigen. Passwörter für Amazon, Paypal und sonstiges was mit einkaufen oder Geld zu tun hat sind auch bei mir einzigartig. Für Foren wie z.B. dieses hier hab ich überall das gleiche Passwort aber da ist auch nicht viel kaputt wenn es jemand herausfindet. Außerdem müsste er zum ändern erst mal in meinen Email Account hinein kommen.
Die allgemeine Sicherheit der Anbieter ist auch mit den Jahren besser geworden. Früher wurde gerne mal mein Blizzard Account "gehackt" als ich noch WOW gespielt habe (muss schon 15 Jahre her sein) und auch mein EA Account wurde zwei mal von Russen übernommen. EA hat damals quasi keine Überprüfung gehabt und denen ist es auch nicht komisch vorgekommen wenn sich jemand um 12 Uhr Mittags aus Bayern und um 13 Uhr aus Moskau anmeldet und die Sprache umstellt. Sowas geht heute in der Regel nicht mehr. Ich hab oft schon Probleme, wenn ich in der Arbeit mal nach Österreich muss und mich irgendwo anmelden will.

Noch ein Tipp: Nicht überall anmelden und Passwörter vergeben hilft auch ungemein. Jede kleine Winzseite will heute einen Account haben und das sind genau die, die gerne mal gehackt werden. Mein größter "Leak" betraf damals aber Nexusmods, dabei ist eines der Passwörter bekannt geworden das ich gerne mal verwendet habe. Bisher hatte ich aber auch damit keine Probleme, obwohl ich das noch für zwei Foren verwende. Muss ich wohl doch mal ändern.