Millionen nutzen noch immer 123456 als Passwort

Eine neue Studie offenbart ein alarmierendes Sicherheitsdefizit: Trotz jahrelanger Warnungen verwenden Millionen Menschen weltweit weiterhin erschreckend einfache Passwörter. Die Analyse der Cybersicherheitsfirma Comparitech zeigt, dass Klassiker wie “123456”, “admin” und “password” die Ranglisten anführen – und persönliche wie Firmendaten schutzlos lassen.

Die umfassende Untersuchung wertete über zwei Milliarden Passwörter aus, die 2025 bei Datenlecks bekannt wurden. Das Ergebnis? Ein vertrautes und beunruhigendes Bild: Trotz unzähliger Awareness-Kampagnen und spektakulärer Hacks hat sich bei der grundlegenden Passwort-Hygiene kaum etwas bewegt. Diese anhaltende Schwachstelle kommt Cyberkriminellen entgegen – oft brauchen sie keine ausgefeilten Methoden, sondern einfach nur zu raten.

Die Comparitech-Analyse liefert eine detaillierte Anatomie des Problems: Das meistgenutzte Passwort “123456” tauchte in über 7,6 Millionen kompromittierten Konten auf. Dicht dahinter folgen weitere vorhersehbare Zahlenreihen wie “12345678” (3,6 Millionen) und “123456789” (2,8 Millionen). Das Wort “admin” diente bei fast zwei Millionen Accounts als Zugangscode – ein fatales Versagen bei der Absicherung administrativer Zugänge.

Besonders auffällig: Fast 39 Prozent der 1.000 häufigsten Passwörter enthielten die Sequenz “123”. Doch auch die Passwortlänge bereitet Sorgen. Satte 65,8 Prozent der untersuchten Zugangscodes lagen unter dem empfohlenen Minimum von zwölf Zeichen. Das US-amerikanische National Institute of Standards and Technology (NIST) warnt seit Langem, dass Nutzer “häufig Passwörter wählen, die leicht zu erraten sind.”

Übrigens: Wer seine Konten wirklich schützen will – besonders auf dem Smartphone – sollte nicht nur längere Passwörter nutzen, sondern das Gerät ganzheitlich absichern. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Android-Geräte: sichere App-Einstellungen, automatische Updates, Passwort-Manager, Multifaktor-Authentifizierung und Schutz vor Schadsoftware. Mit klaren Schritt-für-Schritt-Anleitungen sind PayPal, Banking und Messenger besser geschützt. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Wenn private Nachlässigkeit Firmen gefährdet

Was bei privaten Accounts riskant ist, wird im Unternehmenskontext zur massiven Bedrohung. Eine separate Studie von 1Password vom 3. November 2025 zeigt: 44 Prozent der Sicherheitsexperten sehen in schwachen oder kompromittierten Mitarbeiter-Passwörtern das größte Risiko für ihre Firma. Die Befragung von 5.200 Beschäftigten offenbarte, dass rund zwei Drittel dieselben Passwörter für berufliche und private Konten verwenden.

Diese Mehrfachnutzung löst einen Dominoeffekt aus. Ein Hack auf einer unsicheren privaten Website kann Angreifern plötzlich Zugang zu sensiblen Firmensystemen verschaffen. Credential Theft – der Diebstahl von Zugangsdaten – bleibt ein Haupteinfallstor für Cyberkriminalität. Angreifer umgehen damit Sicherheitsbarrieren und bewegen sich unbemerkt in Netzwerken.

Der Mensch als schwächstes Glied

Warum bleiben schwache Passwörter so hartnäckig im Einsatz? Die Antwort liegt in der menschlichen Natur: Bequemlichkeit und Vergesslichkeit. Angreifer beginnen oft nicht mit komplexem Code, sondern sammeln öffentlich verfügbare Informationen, um Passwörter zu erraten oder überzeugende Phishing-Mails zu erstellen. Das zeigt die fundamentale Herausforderung: Menschliches Verhalten zu ändern ist schwerer als technische Lösungen zu entwickeln.

Die Tech-Industrie reagiert mit einem radikalen Ansatz – der passwortlosen Zukunft. Google und Microsoft treiben die Einführung von Passkeys voran, die auf kryptografischen Verfahren basieren und sicherer sowie benutzerfreundlicher sind. Nachdem Google Millionen Nutzer automatisch in die Zwei-Faktor-Authentifizierung einschrieb, sanken Konto-Kompromittierungen um 50 Prozent. Systemische Änderungen können also funktionieren.

Mehrschichtige Verteidigung als einziger Weg

Die Comparitech-Erkenntnisse verdeutlichen ein Paradox: Während Unternehmen in hochmoderne Sicherheitstechnologien investieren, bleibt die Vordertür oft durch ein simples, erratbares Passwort ungeschützt. Experten sind sich einig: Sich allein auf Passwörter zu verlassen, ist ein überholtes Sicherheitsmodell.

Die wirksamste Verteidigung heute ist mehrschichtig. Starke, phishing-resistente Multifaktor-Authentifizierung (MFA) sollte zum Standard werden – selbst wenn ein Passwort gestohlen wird, verhindert eine zweite Verifikationsstufe unbefugten Zugriff. Passwort-Manager sind ebenfalls unverzichtbar. Sie generieren und speichern lange, komplexe und einzigartige Passwörter für jeden Account und nehmen dem Nutzer die Last des Merkens ab.

Verantwortung liegt bei Firmen und Nutzern

Der Übergang zu passwortlosen Systemen wird sich beschleunigen, doch Passwörter bleiben auf absehbare Zeit Teil der digitalen Landschaft. In der Zwischenzeit tragen beide Seiten Verantwortung: Unternehmen müssen strengere Passwort-Richtlinien durchsetzen, MFA verpflichtend machen und bekannt kompromittierte Passwörter blockieren.

Für Privatpersonen lautet die Botschaft unmissverständlich: Wer weiterhin “123456” nutzt, fragt nicht mehr ob, sondern wann das Konto gehackt wird. Schwache Zugangscodes sofort zu aktualisieren, MFA für alle wichtigen Accounts zu aktivieren und einen Passwort-Manager einzusetzen – das ist keine Empfehlung mehr. Es ist die Grundvoraussetzung für sichere Teilnahme an der digitalen Welt.

PS: Diese 5 einfachen Maßnahmen machen Ihr Smartphone spürbar sicherer – Tipp 3 schließt eine oft übersehene Lücke und schützt Ihre Banking-Apps. Holen Sie sich den Gratis-Ratgeber mit Checklisten und sofort umsetzbaren Schritten. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android-Smartphone herunterladen