Datenlecks analysiert: Solche Passwörter sollten Nutzer besser meiden
Sicherheitsforscher von Specops Software haben sechs Milliarden im vergangenen Jahr geleakte Passwörter untersucht und gewähren Einblick in besonders häufig vorkommende Eigenschaften. Laut dem Bericht der Forscher (PDF)(öffnet im neuen Fenster) stammen die analysierten Passwörter allesamt aus Datenlecks, die von der Specops-Muttergesellschaft Outpost24 von Januar bis Dezember 2025 zusammengetragen wurden.
Wenig überraschend sind die fünf am häufigsten betroffenen Passwörter. Diese lauten "123456" , "123456789" , "12345678" , "admin" und "password" und stimmen weitgehend mit den Top-Passwörtern überein, die Forscher von Comparitech bei einer eigenen Auswertung von zwei Milliarden geleakten Passwörtern im November 2025 ermittelten .
Specops liefert aber auch interessante Erkenntnisse, beispielsweise im Hinblick auf besonders häufig vorkommende Teilzeichenketten. Sehr viele Passwörter enthalten etwa Begriffe wie "admin" , "guest" , "hello" , "qwerty" , "secret" , "welcome" , "student" oder "password" . Ebenfalls gängig sind "pakistan" , "zxcvbnm" sowie "azerty" , wenngleich diese bei deutschen Nutzern eher unüblich sein dürften.
Die meisten Passwörter haben acht Zeichen
Häufig werden Namen oder andere gängige Wörter auch mit einzelnen Zeichen und/oder einfachen Ziffernfolgen kombiniert. Besonders oft waren im untersuchten Datensatz Passwörter wie "Pakistan@123" , "Pakistan123" , "India@123" , "Kumar@123" , "Rahul@123" oder "hola1234" vertreten.
Bei den am häufigsten verwendeten Passwortlängen sind acht Zeichen führend. 1,077 Milliarden Passwörter erreichten exakt diese Länge. Danach folgten Zehn-Zeichen-Passwörter mit 926 Millionen Exemplaren sowie Passwörter mit neun (882 Millionen), elf (673 Millionen) und zwölf (540 Millionen) Zeichen. Passwörter mit sechs (240 Millionen) oder sieben (153 Millionen) Zeichen waren im Vergleich weniger häufig vertreten.
Der Specops-Bericht liefert weitere interessante Daten, etwa die Top 3 der geleakten Passwörter je nach Länge. Zudem gehen die Forscher auf das Thema Infostealer-Malware ein – eine der Hauptquellen für gestohlene Zugangsdaten. Hier soll etwa der Infostealer LummaC2 für die meisten erbeuteten Passwörter verantwortlich sein, gefolgt von Redline , Vidar , StealC und Raccoon.
Empfehlungen für Nutzer und Admins
Unklar bleibt ebenso wie bei der vergangenen Untersuchung von Comparitech , wofür die geleakten Passwörter genau verwendet wurden. Einige davon stehen sicherlich mit Testkonten in Verbindung, bei denen eine Kompromittierung tendenziell eher harmlos ist. Dennoch gibt es immer wieder auch Fälle, bei denen schützenswerte Systeme aufgrund zu einfacher Passwörter infiltriert wurden .
Gerade bei Zugängen, über die sich ein echter Schaden anrichten lässt, sollten Anwender darauf achten, möglichst komplexe Passwörter mit zwölf Zeichen oder mehr zu verwenden, für jeden Dienst ein eigenes Passwort zu vergeben und die jeweiligen Konten nach Möglichkeit zusätzlich durch Zwei-Faktor-Authentifizierungen (2FA) zu schützen. Bei der Erstellung und Verwaltung der Passwörter können Passwortmanager helfen.
Administratoren finden am Ende des Specops-Berichts(öffnet im neuen Fenster) zudem ein paar Maßnahmen, die dabei helfen, das Risiko geleakter Passwörter in IT-Umgebungen einzudämmen. Dazu zählent die Implementierung sicherer Passwort-Reset-Workflows sowie das Blockieren von Passwörtern, die bereits in bekannten Datenlecks enthalten sind oder über einen leicht erratbaren Aufbau verfügen.