„123456 bleibt gefährlichstes Passwort der Welt

Die digitale Welt lernt einfach nicht dazu. Trotz jahrelanger Warnungen, biometrischer Fortschritte und spektakulärer Datenlecks verstecken Millionen Nutzer ihre digitalen Schlüssel weiterhin unter der Fußmatte. Eine aktuelle Analyse des Passwort-Manager-Anbieters NordPass zeigt: Die Zahlenkombination „123456″ führt auch 2025 unangefochten die Liste der unsichersten Passwörter an – mit über 21 Millionen Treffern in kompromittierten Datenbanken.

Die siebte Ausgabe der Studie „Top 200 der häufigsten Passwörter” wertete massive 2,5 Terabyte an Daten aus Sicherheitsvorfällen zwischen September 2024 und September 2025 aus. Das Ergebnis? Ein besorgniserregendes Bild globaler Cyberhygiene. Besonders brisant: Die Untersuchung deckt erstmals faszinierende generationsbedingte Unterschiede auf – von „Skibidi”-Slang bei jüngeren Nutzern bis zu traditionellen Vornamen bei der älteren Generation.

Mit 21,6 Millionen nachgewiesenen Verwendungen thront „123456″ weiterhin auf Platz eins der gefährlichsten Passwörter weltweit. Dicht dahinter folgen altbekannte Schwachstellen wie „admin”, „12345678″, „123456789″ und das Wort „password” selbst.

Die Hartnäckigkeit dieser simplen Sequenzen deutet auf eine regelrechte „Sicherheitsmüdigkeit” unter Nutzern hin – und das ausgerechnet in Zeiten, in denen KI-gestützte Brute-Force-Angriffe immer raffinierter werden. „Trotz aller Bemühungen in der Cybersicherheitsbildung zeigen die Daten nur minimale Verbesserungen bei der Passworthygiene”, erklärt Karolis Arbaciauskas, Produktchef bei NordPass.

Passend zum Thema Passwortsicherheit – die NordPass-Analyse macht deutlich, wie leicht einfache Codes wie „123456″ Angreifern Zugang geben (21,6 Millionen Treffer; 80,5 % der Top‑200 in unter einer Sekunde). Schützen Sie Ihr Android‑Smartphone mit den 5 wichtigsten Maßnahmen: sichere Authentifizierung (Passkeys & 2FA), regelmäßige System‑ und App‑Updates, restriktive App‑Berechtigungen, verschlüsselte Backups und starke Anmeldeverfahren. Der kostenlose Praxis‑Ratgeber erklärt alle Schritte Schritt für Schritt – ohne teure Zusatz‑Apps. Gratis-Sicherheitspaket für Android herunterladen

Besonders alarmierend: 80,5 Prozent der Top-200-Passwörter lassen sich in weniger als einer Sekunde knacken. Selbst in Unternehmensumgebungen, wo strengere Sicherheitsrichtlinien gelten sollten, dominiert „123456″ – und öffnet Tür und Tor für Ransomware und Datendiebstahl.

Von „Susana” bis „Skibidi”: Generationen im Vergleich

Erstmals schlüsselt die Studie Passwort-Gewohnheiten nach Altersgruppen auf. Das Fazit? Schlechte Sicherheit ist universell, die konkreten Schwachstellen kulturell unterschiedlich.

Gen Z und Gen Alpha prägen ihre Internetkultur direkt in ihre Login-Daten ein. Der Begriff „skibidi” – Referenz an die virale Meme-Kultur der frühen 2020er Jahre – schoss in einigen Teilauswertungen bis auf Platz sieben. Diese Altersgruppe bevorzugt zudem mobile-freundliche Zahlenmuster wie „12345678″.

Im Gegensatz dazu setzen Babyboomer und die stille Generation massiv auf Vornamen. Die Studie registrierte hohe Frequenzen bei Namen wie „Maria”, „Susana”, „Veronica” und „Marta”. Was diese Nutzer möglicherweise für persönlicher und sicherer halten als „123456″, bleibt hochgradig anfällig für Wörterbuchangriffe und Social Engineering.

„Wir erwarteten Unterschiede”, so die Studienverfasser, „doch stießen wir auf eine verblüffende Gleichförmigkeit der Schwachstellen.” Ob Meme oder Vorname – die mangelnde Komplexität bleibt das Kernproblem.

Der Louvre-Skandal: Wenn Kunstschätze durch „Louvre” geschützt werden

Wie gefährlich nachlässige Passwort-Praktiken sind, zeigte sich Anfang November auf dramatische Weise. Nach einer Untersuchung zu einem Diebstahl enthüllte die französische Zeitung Libération: Das Passwort für das Videoüberwachungssystem des Louvre-Museums in Paris lautete schlicht „Louvre”.

Dieser Vorfall, der in den vergangenen zwei Wochen in Cybersicherheitskreisen für Aufsehen sorgte, illustriert die NordPass-Erkenntnisse eindrucksvoll. Die Tendenz, den eigenen Namen oder Variationen wie „admin” zu verwenden, betrifft selbst kritische Infrastruktur zum Schutz von Kulturgütern im Milliardenwert.

Kann es einen deutlicheren Weckruf geben?

Passkeys: Der langsame Weg in die passwortlose Zukunft

Trotz des düsteren Gesamtbilds macht die Branche Fortschritte Richtung passwortloser Authentifizierung. Große Technologiekonzerne trieben 2024 und 2025 verstärkt „Passkeys” voran – kryptografische Token auf Geräten, die klassische Textpasswörter ersetzen.

Amazon positioniert sich als Vorreiter dieser Transformation. Über 175 Millionen Kunden nutzen bereits Passkeys. Entscheidend: Der Online-Riese machte Passkeys zur Standard-Anmeldeoption auf mobilen Geräten – zumindest für Nutzer, die sie bereits eingerichtet haben. Diese „Opt-in-zu-Standard”-Strategie reduzierte die Hürden für Millionen Anwender erheblich.

Google und Microsoft integrierten Passkeys ebenfalls in ihre Ökosysteme. Doch die NordPass-Daten belegen: Für den Durchschnittsnutzer überwiegt die Bequemlichkeit von „123456″ weiterhin die Sicherheit neuer Technologien.

2026: Das Jahr der erzwungenen Sicherheit?

Zum Jahresende 2025 steht die Cybersicherheitsbranche vor einem Paradox: Authentifizierungstechnologie ist fortschrittlicher als je zuvor – menschliches Verhalten aber erschreckend resistent gegen Veränderung.

Experten rechnen damit, dass Diensteanbieter 2026 aggressiver vorgehen werden. Wahrscheinlich durch verpflichtende Zwei-Faktor-Authentifizierung (2FA) oder erzwungene Passkey-Registrierung, um der „123456″-Ära endgültig den Garaus zu machen. Bis dahin werden Hacker sich weiter darauf verlassen können, dass Millionen Nutzer den Schlüssel zur Haustür direkt unter der Fußmatte deponieren.

„Die Welt bewegt sich langsam Richtung Passkeys”, resümiert Arbaciauskas. „Aber in der Zwischenzeit bleiben starke Passwörter extrem wichtig.”

Die Frage ist nur: Wann werden die Nutzer das endlich begreifen?

PS: Viele Nutzer glauben, Sicherheit sei kompliziert – dabei helfen oft schon wenige, gezielte Maßnahmen. Das kostenlose Android‑Sicherheitspaket erklärt leicht verständlich, wie Sie Passkeys aktivieren, Zwei‑Faktor‑Authentifizierung einrichten, System‑ und App‑Updates pflegen und App‑Berechtigungen sinnvoll einschränken. Mit Checklisten und Schritt‑für‑Schritt‑Anleitungen können Sie Datendiebstahl und Kontoübernahmen deutlich reduzieren – ideal für alle, die WhatsApp, Online‑Banking oder PayPal mobil nutzen. Jetzt kostenloses Android‑Schutzpaket anfordern