123456: Das meistgenutzte Passwort der Welt

Millionen Nutzer setzen weiter auf simple Zahlenfolgen – und machen Hackern damit die Arbeit denkbar leicht.

Trotz jahrelanger Warnungen und unzähliger Datenpannen bleibt „123456″ das beliebteste Passwort weltweit. Eine aktuelle Analyse von über zwei Milliarden kompromittierten Zugangsdaten zeigt: Die digitale Sorglosigkeit hält an. Cyberkriminelle können solche Passwörter in Sekundenschnelle knacken. Warum lernen wir eigentlich nicht dazu?

Die Cybersecurity-Firma Comparitech wertete Anfang November Passwörter aus, die 2025 in Hacker-Foren auftauchten. Das Ergebnis gleicht einer Zeitschleife: Die Top-Plätze haben sich seit Jahren kaum verändert. Nach „123456″ folgen „admin” und „password” – eine Goldgrube für Angreifer, die mit automatisierten Tools Millionen Kombinationen durchprobieren.

Apropos Schutz vor Online-Angriffen – schwache Passwörter sind nur ein Einfallstor. Viele Android-Nutzer übersehen einfache, aber wirksame Einstellungen, mit denen sich Konten deutlich besser schützen lassen. Der kostenlose Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Ihr Smartphone, inklusive Schritt-für-Schritt-Anleitungen zu sicheren Apps, Updates, Bildschirmsperre und Zwei-Faktor-Methoden. Gratis-Sicherheitspaket für Android herunterladen

Allein „123456″ tauchte über 7,6 Millionen Mal in den Daten auf. Die Top Ten werden fast ausschließlich von simplen Zahlenreihen dominiert: „12345678″, „123456789″ und „1234″ schaffen es mühelos aufs Siegertreppchen. Moderne Hacking-Software benötigt für solche Kombinationen meist weniger als eine Sekunde.

Noch bedenklicher: Knapp 4 Prozent der 1.000 häufigsten Passwörter enthalten Varianten von „pass” oder „password”. Weitere 2,7 Prozent nutzen „admin”, 1,6 Prozent setzen auf die Tastaturfolge „qwerty”. Die Kreativität scheint an dieser Stelle ihre Grenzen zu finden.

Zu kurz, zu simpel, zu vorhersehbar

Die Längenanalyse offenbart weitere Schwachstellen: 65,8 Prozent aller untersuchten Passwörter bleiben unter zwölf Zeichen – dem von Experten empfohlenen Minimum. Fast 7 Prozent unterschreiten sogar die Acht-Zeichen-Marke. Lediglich 3,2 Prozent nutzen 16 oder mehr Zeichen, was die Sicherheit erheblich steigern würde.

Ein Viertel der häufigsten Passwörter besteht ausschließlich aus Ziffern. Die Zahlenfolge „123″ findet sich in knapp 39 Prozent der populären Kombinationen. Von der empfohlenen Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen fehlt meist jede Spur.

Popkultur und regionale Eigenheiten

Interessant wird es bei den ungewöhnlicheren Funden: Das Passwort „minecraft” erscheint fast 70.000 Mal und landet auf Platz 100. Großgeschrieben kommt es weitere 20.000 Mal vor. Beliebte Spiele und Serien beeinflussen offenbar die Passwortwahl – ohne dass diese dadurch sicherer würde.

Auf Rang 53 findet sich „India@123″, ein Musterbeispiel für vermeintlich clevere Kombinationen. Nutzer glauben, durch die Verknüpfung eines Landesnamens mit Zahlen etwas Einzigartiges zu schaffen. Tatsächlich landen solche Varianten längst in den Wörterbüchern der Angreifer.

Websites als Komplizen der Unsicherheit

Die Verantwortung liegt nicht allein bei den Nutzern. Eine Paralleluntersuchung vom November 2025 zeigt: 42 Prozent der 1.000 meistbesuchten Websites fordern keine Mindestlänge für Passwörter. 58 Prozent verzichten auf die Pflicht zur Verwendung von Sonderzeichen.

Diese Nachlässigkeit steht im krassen Widerspruch zu offiziellen Empfehlungen. Das US-amerikanische National Institute of Standards and Technology (NIST) aktualisierte seine Richtlinien im August 2025 und empfiehlt mindestens 15 Zeichen, wenn Passwörter alleine zur Authentifizierung dienen. Die Kluft zwischen Theorie und Praxis könnte größer kaum sein.

Der Weg in die passwortlose Zukunft

Die Erkenntnisse aus der Comparitech-Studie liefern ein klares Fazit: Auf menschliches Urteilsvermögen bei Passwörtern zu setzen, ist gescheitert. Experten raten dringend zur Aktivierung der Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) – eine zusätzliche Sicherheitsebene, die selbst bei kompromittierten Passwörtern schützt.

Langfristig führt kein Weg an passwortlosen Technologien vorbei. Biometrische Verfahren wie Fingerabdruck- oder Gesichtserkennung sowie Hardware-Authentifikatoren wie Passkeys eliminieren das Risiko schwacher Zugangsdaten grundsätzlich. Solange „123456″ die Charts anführt, bleiben solche Berichte ein eindringlicher Appell: Die Zukunft der digitalen Sicherheit liegt jenseits des klassischen Passworts.

PS: Wenn Sie genug von kompromittierten Passwörtern haben, sorgen Sie dafür, dass Ihr Smartphone nicht zur Schwachstelle wird. Der kompakte Gratis-Report zeigt, welche fünf Maßnahmen den größten Unterschied machen – von starken Sperren bis zu sicheren Authentifikatoren und Update-Routinen. Jetzt kostenlosen Android-Sicherheitsratgeber sichern