Neue Untersuchung: Das sind die am häufigsten geleakten Passwörter 2025
Sicherheitsforscher von Comparitech haben in Hackerforen nach aktuellen Datenlecks gesucht und darin enthaltene Passwörter auf die Häufigkeit ihres Vorkommens untersucht. Das Ergebnis haben die Forscher in einem jüngst veröffentlichten Bericht(öffnet im neuen Fenster) vorgestellt. Grundlage der Untersuchung sind demnach mehr als zwei Milliarden Passwörter, die allesamt im Jahr 2025 geleakt worden sind.
Das am häufigsten verwendete Passwort überrascht kaum. Es besteht aus der Zeichenfolge "123456" und kam in dem durchsuchten Datensatz über 7,6 Millionen Mal vor. Auf dem zweiten und dritten Platz folgen "12345678" und "123456789" mit rund 3,7 respektive 2,9 Millionen Vorkommnissen.
Einige Anwender haben offenbar irgendwo aufgeschnappt, dass längere Passwörter sicherer seien, und daher einfach zusätzliche Ziffern ergänzt. Noch mehr Länge gibt es passend dazu auf den Plätzen 10 und 11, auf denen mit 674.200 respektive 562.833 Vorkommnissen die Passwörter "1234567890" und "12345678910" zu finden sind.
Wiederkehrende Muster
Die Top 100 der meistverwendeten Passwörter bestehen allerdings nicht nur aus Zahlen. Auch Klassiker wie "admin" , "password" , "admin123" , "password123" , "welcome" , "qwerty" oder "root" sind in der Liste enthalten. Besonders kurze Vertreter sind etwa "123" oder "gin" . Die Zeichenkette "minecraft" hat es mit 69.464 Einträgen gerade noch so an das Ende der Rangliste geschafft.
Laut Comparitech besteht etwa ein Viertel der 1.000 am häufigsten verwendeten Passwörter ausschließlich aus Zahlen. Die Ziffernfolge "123" war in 38,6 Prozent aller untersuchten Passwörter enthalten. Bei "321" waren es nochmals zwei Prozent, bei "abc" 3,1 Prozent. Variationen des Wortes "Admin" kamen in 2,7 Prozent aller Passwörter vor, "Pass" oder "Password" in 3,9 Prozent, "qwerty" in 1,6 Prozent.
Genaue Verwendung unbekannt
Dass die genannten Passwörter allesamt keinen akkuraten Schutz bieten, liegt auf der Hand. Unklar ist allerdings, in welchem Kontext die untersuchten Daten genau stehen. Die wenigsten Menschen dürften Zeichenfolgen wie "123456" wirklich für kritische Einsatzzwecke wie Onlinebanking, E-Mail-Konten oder Zugriffe auf Unternehmensnetzwerke verwenden.
In der Regel funktioniert das auch gar nicht, da erzwungene Passwortrichtlinien dies unterbinden. Die Untersuchung von Comparitech zeigt aber, dass solche Richtlinien auch wichtig sind, da der Mensch sonst aus Faulheit schnell eine zu einfache Zeichenkette wählt, die eine Bezeichnung als Passwort nicht verdient.
Es ist also naheliegend, dass ein Großteil der untersuchten Passwörter von Konten stammt, die lediglich zu Testzwecken erstellt oder anderweitig für nicht schützenswert erachtet wurden. Angreifer dürften in den zugehörigen Konten häufig nichts Wertvolles finden. Es gibt jedoch auch Ausnahmen, wie unter anderem eine kürzlich publik gewordene Sicherheitsuntersuchung bei dem Pariser Kunstmuseum Louvre gezeigt hat.
So sehen sichere Passwörter aus
Wer ein Passwort sucht, das wirklich gut vor unbefugten Zugriffen schützt, sollte nicht nur auf die Länge, sondern auch auf eine hohe Komplexität achten . Zwölf Zeichen sollten es mindestens sein – besser noch länger und idealerweise bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Eine hohe Zufälligkeit ist ebenfalls anzuraten, da häufig genutzte Muster beim Brute-Forcing schnell geknackt werden.
Moderne Passwortmanager helfen dabei, sichere Passwörter zu generieren und diese auch zu speichern. Einen zusätzlichen Schutz bieten Zwei-Faktor-Authentifizierungen. Diese verhindern selbst dann einen unbefugten Zugriff, wenn das jeweilige Passwort bereits kompromittiert wurde. Bei den Passwörtern ist zudem darauf zu achten, dass diese nicht mehrfach für verschiedene Konten und Dienste verwendet werden.