Hast du dein Passwort gerade geändert? Wenn ja, hoffe ich, dass es nicht 123456 war. Denn genau das steht seit Jahren an der Spitze der Listen mit den am häufigsten verwendeten - und damit am leichtesten zu knackenden - Zugängen. Es klingt nach einem Witz, aber Millionen von Menschen nutzen immer noch Zahlenreihen oder einfache Wörter wie "password", um ihre E-Mails, Bankkonten und sozialen Medien zu schützen. Das ist kein Leben im digitalen Zeitalter; das ist ein Einladungsbrief für Kriminelle.
In einer Welt, in der wir fast alles online machen - vom Bezahlen bis zum Chatten -, ist dein Passwort der einzige Schlüssel, der deine Identität schützt. Doch viele von uns behandeln diesen Schlüssel wie einen Briefumschlag: wegwerfbar und ohne großen Wert. Die Realität ist jedoch hart. Hacker nutzen keine komplexen Mathematik-Formeln mehr, um in Systeme einzubrechen. Sie nutzen Listen mit den gängigsten Fehlern, die Menschen seit Jahrzehnten machen.
Die Liste der schlechtesten Passwörter
Jedes Jahr veröffentlichen Sicherheitsfirmen wie Nordpasswort oder SplashData Berichte darüber, welche Passwörter bei Datenlecks am häufigsten gefunden wurden. Die Ergebnisse überraschen selten, weil sie so vorhersehbar sind. Hier sind die üblichen Verdächtigen, die du unbedingt vermeiden solltest:
- 123456: Der absolute Klassiker unter den schlechten Passwörtern. Einfach, schnell zu tippen, aber auch sofort zu erraten.
- password: Wer nutzt das Wort "Passwort" als Passwort? Tausende tun es trotzdem.
- 123456789: Eine längere Variante der ersten Zahl, die fälschlicherweise als sicherer wahrgenommen wird.
- qwerty: Die Tastatur-Reihe. Hacker-Tools prüfen diese Kombination automatisch.
- admin: Oft verwendet bei Router-Konfigurationen oder einfachen Systemen, ein offenes Buch für Angreifer.
- letmein: Ein alter Favorit aus den frühen Internetjahren, der immer noch auf vielen Listen erscheint.
- 12345678: Noch eine weitere Zahlenreihe, die kaum Schutz bietet.
- football: Hobbys sind beliebt, aber auch leicht zu recherchieren, besonders wenn man Social Media nutzt.
Diese Liste zeigt ein klares Muster: Bequemlichkeit schlägt Sicherheit. Menschen wollen sich ihre Passwörter nicht merken müssen, also wählen sie Dinge, die ihnen sofort einfallen. Aber genau diese Vorhersehbarkeit macht sie zur leichten Beute.
Warum funktionieren diese Passwörter nicht?
Du fragst dich vielleicht: "Wie kann ein Computer mein Passwort so schnell erraten?" Die Antwort liegt in sogenannten "Brute-Force-Angriffen" und "Credential Stuffing". Bei einem Brute-Force-Angriff versucht ein Bot tausende, manchmal millionenweise Kombinationen pro Sekunde. Ein Passwort wie "123456" fällt innerhalb von Millisekunden. Kein Mensch könnte so schnell tippen, aber ein Skript schon.
Noch gefährlicher ist das sogenannte Credential Stuffing. Dabei nutzen Hacker gestohlene Datenbanken von anderen Websites. Hast du jemals "password123" auf einem kleinen Forum verwendet und dann dasselbe Passwort für dein Bankkonto? Wenn das Forum gehackt wird, haben die Kriminellen deinen Zugang zu allen anderen Konten, wo du denselben Schlüssel nutzt. Das ist wie ein Hausschlüssel, der gleichzeitig zu deinem Auto, deiner Wohnung und deinem Safe passt. Findet jemand ihn, hat er Zutritt zu allem.
| Passwort-Typ | Beispiel | Schätzung Zeit zum Knacken | Risiko-Level |
|---|---|---|---|
| Einfache Zahlen | 123456 | Sofort (Millisekunden) | Kritisch |
| Gängige Wörter | password | Sofort (Sekunden) | Kritisch |
| Persönliche Infos | MutterName1990 | Minuten bis Stunden | Hoch |
| Zufällige Zeichenkette | Kx9#mP2$vL | Jahrtausende | Niedrig |
| Langer Satz (Passphrase) | Hund-Liebt-Pizza-Und-Regen! | Jahrzehnte | Niedrig |
Wie du siehst, macht Länge und Unvorhersehbarkeit den Unterschied. Eine reine Zahlenreihe ist tot geboren. Aber selbst ein langes Wort wie "Elefant" ist riskant, weil es in Wörterbüchern steht, die Hacker-Software kennt.
Das Problem mit persönlichen Informationen
Viele Leute denken, sie seien clever, wenn sie ihr Passwort basierend auf persönlichen Fakten erstellen. "Mein Hund heißt Bello und wurde 2018 geboren", also wird das Passwort "Bello2018". Klingt logisch, oder? Für dich vielleicht. Für einen Hacker ist es Gold wert.
Heutzutage leben wir transparent. Wir teilen Fotos von unseren Haustieren, posten Geburtsdaten von Kindern und schreiben über unsere Hobbys in sozialen Netzwerken. Ein Angreifer muss nicht raten; er muss nur suchen. Diese Methode nennt man "Social Engineering". Er kombiniert öffentlich verfügbare Informationen mit gängigen Mustern (wie Großschreibung des ersten Buchstabens oder das Hinzufügen eines Jahres) und hat oft recht.
Vermeide daher:
- Vollständige Namen (deine oder deiner Familie)
- Geburtsdaten oder Jahrestage
- Namen von Haustieren
- Straßennummern oder Postleitzahlen
- Favoriten-Farben oder -Sportteams
Alles, was du online postest, kann potenziell Teil eines Angriffs auf deine Konten sein.
Wie du ein wirklich sicheres Passwort erstellst
Es gibt zwei Hauptansätze für sichere Passwörter: komplexe Zufallszeichen und lange Passphrasen. Beide haben ihre Vorteile, aber die Passphrase ist oft leichter zu merken und dennoch extrem stark.
Die Passphrase-Methode
Statt eines kryptischen Codes wie "Xy7!bZ9@" nimm vier zufällige Wörter, die nichts miteinander zu tun haben. Zum Beispiel: "Tasse-Blaues-Mond-Gitarre". Füge dazu Sonderzeichen und Zahlen hinzu, um es abzurunden: "Tasse-Blaues-Mond-Gitarre!23". Dieses Passwort ist lang (mehr als 12 Zeichen), schwer zu erraten, aber für dich leicht vorzustellen, da du dir ein Bild davon machen kannst.
Warum funktioniert das? Weil die Entropie (die Unvorhersehbarkeit) durch die Länge steigt. Je länger das Passwort, desto mehr Rechenleistung braucht ein Hacker, um alle Möglichkeiten durchzuprobieren. Bei 20+ Zeichen wird dies praktisch unmöglich, selbst für Supercomputer.
Der Passwort-Manager
Aber ehrlich gesagt: Du musst dir keine dieser komplizierten Passwörter merken. Dafür gibt es Passwort-Manager: Software-Tools, die sichere, einzigartige Passwörter für jede Website generieren und speichern.. Programme wie Bitwarden, 1Password oder KeePass erstellen für jedes Konto ein völlig anderes, chaotisches Passwort (z.B. "kL9#mP2$vLqR"). Du musst dir nur noch ein einziges Hauptpasswort (den "Master Key") merken, das in den Manager eingibt.
Ohne einen Passwort-Manager wirst du versuchen, Muster zu wiederholen. Und Muster sind Schwachstellen. Mit einem Manager bist du immun gegen Credential Stuffing, weil jeder Hack nur ein einziges Konto betrifft, nicht alle.
Zwei-Faktor-Authentifizierung (2FA): Dein zweiter Schild
Selbst das beste Passwort kann geleakt werden. Vielleicht hast du versehentlich eine Phishing-E-Mail angeklickt oder eine Website wurde gehackt. In diesem Moment wird dein Passwort wertlos. Was dann? Genau hier kommt die Zwei-Faktor-Authentifizierung (2FA) ins Spiel.
2FA bedeutet, dass du neben deinem Passwort noch etwas Zweites brauchst, um dich anzumelden. Meistens ist das eine App auf deinem Handy (wie Google Authenticator oder Authy), die einen Code generiert, der sich alle 30 Sekunden ändert. Oder eine SMS (weniger sicher, aber besser als nichts). Oder ein physischer Sicherheitsschlüssel (wie YubiKey).
Wenn ein Hacker dein Passwort hat, aber keinen Zugriff auf dein Handy, kann er nicht in dein Konto. Es ist wie eine Tür, die zwei Schlösser hat. Auch wenn er das erste knackt, bleibt das zweite geschlossen. Aktiviere 2FA überall dort, wo es angeboten wird - besonders bei E-Mail, Banking und sozialen Medien.
Fazit: Gewohnheiten ändern
Die Frage "Was ist das meist gehackte Passwort?" hat eine einfache Antwort: Das, das du jetzt wahrscheinlich verwendest, wenn es kurz und einfach ist. Die gute Nachricht ist, dass du heute noch deine Gewohnheiten ändern kannst. Lösche die alten, schwachen Passwörter. Nutze einen Passwort-Manager. Aktiviere die Zwei-Faktor-Authentifizierung. Es kostet dich nur wenige Minuten, aber es kann den Unterschied zwischen einem ruhigen Tag und einem Albtraum bedeuten.
Deine digitale Identität ist wertvoll. Schütze sie nicht mit "123456", sondern mit Werkzeugen, die für die moderne Bedrohungslage entwickelt wurden. Sei der letzte Schritt in der Kette, der nicht gebrochen wird.
Ist "password123" sicher genug?
Nein, absolut nicht. "password123" gehört zu den Top-10 der am häufigsten verwendeten und damit am leichtesten zu knackenden Passwörter. Hacker-Programme testen diese Kombination als Erstes. Es bietet keinen wirklichen Schutz vor automatisierten Angriffen.
Wie oft sollte ich mein Passwort wechseln?
Früher empfahl man regelmäßige Wechsel (alle 90 Tage). Heute sagen Experten: Nur wechseln, wenn du Grund zur Annahme hast, dass es kompromittiert wurde (z.B. bei einem Datenleck). Häufige Zwangswechsel führen dazu, dass Nutzer schwächere Varianten erstellen (z.B. password1 -> password2), was unsicherer ist.
Sind SMS-Codes für 2FA sicher?
SMS ist besser als gar nichts, aber nicht ideal. SIM-Swap-Angriffe können SMS interceptieren. Besser sind Authentifikator-Apps (wie Google Authenticator) oder physische Sicherheitsschlüssel (YubiKey), die unabhängiger von Mobilfunknetzen sind.
Kann ich mein Passwort in einer Notiz speichern?
Auf einem Zettel unter der Tastatur? Nein. In einer verschlüsselten Datei auf deinem PC? Risikoreich. Am besten ist ein dedizierter Passwort-Manager. Falls du Papier nutzt, verwende eine geheime Codierungsmethode, die nur du verstehst, und bewahre es außerhalb deines Arbeitsbereichs auf.
Was mache ich, wenn ich glaube, mein Passwort wurde gehackt?
Wechsle das Passwort sofort auf allen Geräten, wo du es genutzt hast. Aktiviere 2FA. Prüfe deine Kontohistorie auf unbefugte Aktivitäten. Melde dich bei der Bank, wenn Finanzdaten betroffen sind. Nutze Dienste wie "Have I Been Pwned", um zu prüfen, ob deine E-Mail in bekannten Leaks auftaucht.
