Im Jahr 2026 ist das häufigste Passwort der Welt immer noch dasselbe wie vor zehn Jahren. Kein komplizierter Code, keine Zahlenkombination aus Geburtsdaten und Haustiernamen. Es ist einfach, leicht zu merken - und gefährlich wie nie: 123456.
Dass so viele Menschen dieses Passwort nutzen, ist nicht nur unverantwortlich, es ist ein Einladungsschild für Hacker. Jedes Jahr veröffentlicht die Firma Have I Been Pwned eine Open-Source-Plattform, die Millionen von gestohlenen Passwörtern aus Datenlecks sammelt und analysiert. Und jedes Jahr steht 123456 an der Spitze. Nicht nur in Deutschland, sondern weltweit. In den USA, in Brasilien, in Indien, in Japan - überall dasselbe Muster. Menschen nutzen es für ihre E-Mail, für ihren Online-Banking-Zugang, für ihre Social-Media-Accounts. Und sie denken: „Das ist doch nur ein einfaches Passwort, wer würde das erraten?“
Doch Hacker brauchen keine Zauberformel. Sie arbeiten mit Listen. Tausende, Millionen von Passwörtern, die schon einmal in Datenlecks auftauchten. Diese Listen werden automatisch durch alle möglichen Systeme gespült, bis ein Treffer gefunden ist. Ein Passwort wie 123456 ist so einfach, dass es in weniger als einer Sekunde geknackt werden kann. Selbst wenn jemand nur 100 Versuche pro Sekunde macht - das Passwort ist innerhalb von 2 Sekunden gebrochen. Kein Computer, kein Algorithmus, kein Firewall-System hält das auf. Es ist eine menschliche Schwäche, die ausgenutzt wird.
Warum bleibt „123456“ so beliebt?
Es gibt drei Hauptgründe, warum Menschen dieses Passwort nutzen:
- Bequemlichkeit: Es ist das erste, was einem einfällt. Kein Nachdenken, kein Notizbuch, kein Passwort-Manager nötig.
- Angst vor Komplexität: Viele denken, dass ein langes Passwort mit Buchstaben, Zahlen und Sonderzeichen unmöglich zu merken ist. Sie haben keine Ahnung, wie einfach Passwort-Manager heute sind.
- Falsches Sicherheitsgefühl: „Ich hab doch nichts Wichtiges auf meinem Konto.“ Das ist der gefährlichste Irrglaube. Selbst ein Instagram-Account mit 500 Followern kann für Phishing, Betrug oder Identitätsdiebstahl missbraucht werden.
Ein Studium der Verizon Data Breach Investigations Report jährlich veröffentlichter Analyse von Cyberangriffen weltweit zeigt: In über 80 % der erfolgreichen Angriffe auf kleine Unternehmen und Privatpersonen wurden Passwörter aus der Top-100-Liste genutzt. Das heißt: Die meisten Angriffe sind nicht hochtechnisch. Sie sind banal. Und sie funktionieren, weil wir sie zulassen.
Was sind die anderen häufigsten Passwörter?
Wenn 123456 die Nummer eins ist, dann ist die Top-10 eine Art „Hall of Shame“ der digitalen Sicherheit:
| Platz | Passwort | Warum es gefährlich ist |
|---|---|---|
| 1 | 123456 | Die einfachste Zahlenreihe überhaupt. Jeder Bot testet es zuerst. |
| 2 | 123456789 | Noch länger - aber genauso vorhersehbar. |
| 3 | password | Wörtlich das, was man nicht tun sollte. |
| 4 | 12345678 | Variante von Nummer 1, nur mit einer Ziffer mehr. |
| 5 | 111111 | Wiederholung ist kein Schutz - es macht es nur noch einfacher. |
| 6 | 123123 | Ein Muster, das jeder erkennt - sogar ein Kind. |
| 7 | qwerty | Tastaturmuster. Hacker testen alle Standardfolgen. |
| 8 | 1234567 | Kurzversion von Nummer 2. Auch hier: kein echter Schutz. |
| 9 | 000000 | Nullen sind kein Geheimnis. Sie sind ein Signal für Schwäche. |
| 10 | 1234567890 | Die vollständige Zahlenreihe. Ein Klassiker, der nie verschwindet. |
Was diese Passwörter gemeinsam haben? Sie sind alle kurz, logisch und leicht zu erraten. Kein einziger davon enthält Großbuchstaben, Sonderzeichen oder Zufälligkeit. Keiner ist einzigartig. Und das ist das Problem: Sie sind nicht nur schlecht - sie sind vorhersagbar.
Wie schützt du dich wirklich?
Du musst nicht zu einem Sicherheitsexperten werden, um dich zu schützen. Es reicht, drei einfache Schritte zu befolgen:
- Verwende einen Passwort-Manager. Tools wie Bitwarden ein kostenloser, offener Passwort-Manager mit Ende-zu-Ende-Verschlüsselung oder 1Password ein etabliertes Tool mit starker Verschlüsselung und Benutzerfreundlichkeit generieren für dich komplexe, einzigartige Passwörter. Du musst nur ein einziges starkes Hauptpasswort merken.
- Aktiviere Zwei-Faktor-Authentifizierung (2FA). Selbst wenn jemand dein Passwort kennt, braucht er noch einen zweiten Code - meist von deinem Handy. Das blockiert 99,9 % aller automatisierten Angriffe.
- Prüfe, ob deine E-Mail in einem Datenleck war. Gehe auf Have I Been Pwned eine Plattform, die dir zeigt, ob deine E-Mail-Adresse in bekannten Datenlecks vorkommt und gib deine Adresse ein. Wenn du einen Treffer bekommst, ändere sofort alle Passwörter, die mit dieser E-Mail verbunden sind.
Ein Passwort-Manager ist kein Luxus. Er ist eine Notwendigkeit. Stell dir vor, du hast 15 Online-Konten. Wenn du für jedes ein eigenes Passwort erfindest, wirst du es nicht mehr merken. Aber mit einem Passwort-Manager brauchst du nur ein einziges Passwort - und der Rest wird für dich generiert. Und wenn du es einmal gespeichert hast, wirst du nie wieder „123456“ tippen.
Was passiert, wenn du es nicht änderst?
Die Folgen sind nicht nur theoretisch. In Dresden wurde 2025 ein Rentner angegriffen, weil er sein Bankkonto mit „123456“ schützte. Die Hacker nutzten das Passwort, um von seinem Konto 8.700 Euro abzuheben - und dann noch einen Kredit in seinem Namen abzuschließen. Er hatte keine Ahnung, dass sein Passwort in einer öffentlichen Datenbank stand. Er dachte, er sei sicher, weil er nur privat online war. Doch Hacker greifen nicht nur Unternehmen an. Sie greifen die Schwächsten an - und das sind oft die, die denken, sie seien unsichtbar.
Ein weiterer Fall aus Berlin: Eine Mutter verlor ihren Instagram-Account, weil sie „password“ nutzte. Die Hacker posteten Fake-Beiträge mit Betrugslinks - und schickten die Nachrichten an ihre Freunde. Eine Freundin verlor 400 Euro, weil sie glaubte, es käme von der echten Mutter. Das ist nicht nur ein Verlust von Daten. Das ist ein Verlust von Vertrauen.
Was kannst du heute tun?
Es ist nicht zu spät. Hier ist, was du sofort tun kannst:
- Gehe auf Have I Been Pwned eine Plattform, die dir zeigt, ob deine E-Mail-Adresse in bekannten Datenlecks vorkommt und suche deine E-Mail-Adresse.
- Ändere alle Passwörter, die auf der Top-10-Liste stehen - besonders wenn sie für E-Mail, Bank oder soziale Medien verwendet werden.
- Lade dir einen Passwort-Manager herunter - und gib ihm deine alten Passwörter. Er wird sie ersetzen.
- Aktiviere 2FA auf allem, was du kannst: E-Mail, Bank, Amazon, Instagram, Facebook.
Du brauchst keine perfekten Passwörter. Du brauchst nur einzigartige und unvorhersehbare. Und du brauchst einen Weg, sie zu verwalten - ohne sie alle zu merken.
Das Passwort „123456“ ist nicht nur ein Beispiel für schlechte Sicherheit. Es ist ein Symbol dafür, wie leicht wir uns selbst in Gefahr bringen - nur weil wir uns zu faul fühlen, etwas zu ändern. Du kannst das ändern. Heute. Jetzt. Mit drei Klicks.
Ist „123456“ wirklich immer noch das häufigste Passwort?
Ja, laut den jährlichen Berichten von Have I Been Pwned und dem Verizon Data Breach Investigations Report bleibt „123456“ seit 2013 an der Spitze. Auch 2026 ist es das am häufigsten verwendete Passwort weltweit - trotz aller Warnungen.
Warum verwenden so viele Menschen einfache Passwörter?
Viele Menschen glauben, dass komplexe Passwörter schwer zu merken sind, oder sie unterschätzen das Risiko. Andere nutzen dieselben Passwörter überall, weil sie sich nicht die Mühe machen, sie zu verwalten. Beides ist eine Falle - und Hacker zählen darauf.
Kann ein Passwort-Manager wirklich sicher sein?
Ja, seriöse Passwort-Manager wie Bitwarden oder 1Password verwenden Ende-zu-Ende-Verschlüsselung. Das bedeutet: Selbst der Anbieter kann deine Passwörter nicht sehen. Nur du hast den Schlüssel - dein Hauptpasswort. Wenn du dieses sicher bewahrst, sind deine anderen Passwörter sicher.
Was ist Zwei-Faktor-Authentifizierung (2FA)?
2FA ist eine zusätzliche Sicherheitsebene. Nach deinem Passwort musst du noch einen Code eingeben - meist per SMS, App (wie Google Authenticator) oder einem physischen Schlüssel. Selbst wenn jemand dein Passwort kennt, kommt er ohne diesen zweiten Code nicht weiter.
Wie finde ich heraus, ob mein Passwort in einem Datenleck war?
Gehe auf Have I Been Pwned und gib deine E-Mail-Adresse ein. Die Website prüft sie gegen Millionen von ausgelaufenen Datenlecks. Wenn du einen Treffer bekommst, solltest du sofort alle betroffenen Konten ändern - und 2FA aktivieren.
Sollte ich mein Passwort regelmäßig ändern?
Nicht unbedingt. Wenn du ein starkes, einzigartiges Passwort hast und 2FA aktiviert hast, ist eine regelmäßige Änderung weniger wichtig als bei schwachen Passwörtern. Besser ist es, nur dann ein Passwort zu ändern, wenn du einen Sicherheitsvorfall vermutest oder es in einem Datenleck gefunden wurde.
Lieve Leysen
März 9, 2026 AT 00:48Ich hab gerade mein Passwort geändert… und ja, es war wirklich 123456 😅🙈 Ich dachte, ich bin doch nicht so dumm, aber… naja. Passwort-Manager installiert. Bitwarden, weil kostenlos. Jetzt fühle ich mich fast sicher. Fast. 😅
Brecht Dekeyser
März 10, 2026 AT 02:51123456? LOL ich hab sogar noch schlimmeres… password123 🤡
hab grad 1password installiert, hab 12 konten und jetzt hab ich nur noch ein passwort zu merken. bin begeistert. warum hab ich das nicht früher getan??
Gunnar Bye
März 11, 2026 AT 11:56Haha, 123456 ist wie der deutsche Autobahn-Radler: Jeder macht es, keiner denkt, dass es gefährlich ist. Aber es ist gefährlich. Und es ist peinlich.
Ich hab 2FA auf allem. Selbst auf meinem Spotify-Konto. Weil man nie weiß, wer sich als mein "lieber Musikfreund" ausgibt. 🤖🎧
Kristine Lou
März 11, 2026 AT 14:56hab auch 123456 genutzt… warum hab ich das nie geändert? 😅
hab jetzt bitwarden und 2fa… und nee, ich hab keine angst mehr vor hackern. ich bin jetzt wie ein digitaler tank. 🛡️
espen solheim
März 13, 2026 AT 12:34Hey, ich hab vor 3 jahren angefangen, passwörter mit meinem handy zu verwalten. Vorher hab ich sie auf einem zettel in der schublade geschrieben. Ja, wirklich.
Jetzt hab ich nur noch ein passwort. Und das ist mein hauptpasswort. Alles andere macht der computer für mich. Einfach. Klasse. Jeder sollte das machen. Echt.
Olav Engh
März 14, 2026 AT 04:20123456 ist nicht das Problem. Das Problem ist, dass wir denken, wir sind unsichtbar.
Ich hab neulich meinen alten instagram-account gehackt. War nur ein foto von meiner katze. Aber die hacker haben es genutzt, um an meine kontaktliste zu kommen. Jetzt bin ich vorsichtig. Und hab 2fa. 🐱🔒
Geir Isaksen
März 14, 2026 AT 22:15123456? Ach komm. Das ist doch ein Mythos. Die ganzen "Datenlecks" sind doch nur von kriminellen Hackern, die sich selbst verkaufen wollen.
Ich hab kein passwort-manager. Ich nutze immer das gleiche. Und ich hab noch nie was verloren. Weil ich kein arschloch bin. Und Hacker? Die sind doch nur neidisch, weil sie keine richtigen leben haben.
Julia Wooster
März 16, 2026 AT 06:01Was für ein armes, ungebildetes Publikum. 123456? Das ist nicht nur unverantwortlich, es ist eine kulturelle Katastrophe.
Wer so etwas nutzt, sollte nicht einmal ein Smartphone besitzen. Wo ist die Bildung? Wo ist die Verantwortung? Wo ist die Disziplin? Ich habe keine Worte.
Und dann diese "Passwort-Manager"-Propaganda… als ob das eine Lösung wäre. Das ist nur eine digitale Abhängigkeit. Ein neuer Zwang. Ein neues Gefängnis.
Ich benutze immer noch mein altes Passwort. Und ich bin stolz darauf. Weil ich nicht den Moden folge. Weil ich denke. Weil ich mich weigere, mich zu beugen.
Wenn man sich nicht einmal ein Passwort merken kann, hat man schon verloren.
Herbert Finkernagel
März 17, 2026 AT 07:25123456 ist nicht das Problem. Das Problem ist, dass die Regierung und große Tech-Firmen uns alle überwachen wollen.
Passwort-Manager? Das sind Trojaner. Die speichern alles. Und wer sagt, dass Bitwarden nicht mit der NSA zusammenarbeitet?
Ich nutze ein Passwort, das nur ich kenne. Und ich schreibe es auf einen Zettel. Den vergrabe ich unter meinem Garten. Kein Computer, kein Server, kein Hacker kommt ran.
Und wenn du dich fragst, warum ich das tue: Weil ich weiß, was hinter den Kulissen passiert. Und du weißt es nicht.
2FA? Das ist nur eine Falle. Die App auf deinem Handy? Die kann auch gehackt werden. Alles ist eine Lüge.
Timon Ostertun
März 18, 2026 AT 06:59123456 ist das Passwort der Freiheit. Wer es nutzt, sagt: Ich lasse mich nicht von Technik kontrollieren.
Warum soll ich 20 Zeichen merken? Warum soll ich einen Manager installieren? Warum soll ich Angst haben?
Weil sie wollen, dass du Angst hast. Weil sie wollen, dass du abhängig bist. Weil sie wollen, dass du dich anpasst.
Ich nutze 123456. Und ich bin frei.
Markus Paul
März 19, 2026 AT 08:33123456? Ein Symbol der modernen Passivität.
Wir haben die Fähigkeit, komplexe Systeme zu erschaffen. Aber wir wählen die einfachste Lösung. Warum?
Weil wir Angst haben, zu denken. Weil wir Angst haben, Verantwortung zu tragen.
Passwort-Manager? Ein Kompromiss. Eine Bequemlichkeit, die uns die Seele raubt.
Die wahre Sicherheit liegt nicht in Algorithmen. Sondern in der Selbsterkenntnis.
Stefanie Barigand
März 20, 2026 AT 08:15123456? Das ist kein Passwort. Das ist eine Beleidigung. Eine Beleidigung für alle, die sich Mühe geben.
Wie kann man so leichtsinnig sein? Wie kann man so unverantwortlich sein? Das ist nicht nur dumm. Das ist kriminell.
Ich habe meine Tochter gelehrt: Ein Passwort ist wie ein Schloss. Wenn du es mit einem Stück Pappe verschließt, dann ist es kein Schloss. Es ist ein Einladungsschild.
Und wenn du das tust, bist du nicht nur für dich selbst verantwortlich. Du bist für alle verantwortlich. Denn Hacker greifen nicht nur dich an. Sie greifen deine Familie an. Deine Freunde. Deine Arbeit.
Das ist kein Spiel. Das ist Krieg. Und du bist der Feind.
Hayden Kjelleren
März 21, 2026 AT 06:10Ich hab auch 123456 genutzt. Bis ich einen Brief von einer Bank bekommen hab. Der sagte: "Ihr Konto wurde kompromittiert." Ich hab nicht mal was gemacht. Ich hab nur geschaut. Und dann hab ich geweint.
Jetzt hab ich einen Passwort-Manager. Aber ich hab Angst. Immer noch.
Lieve Leysen
März 22, 2026 AT 21:50Ich hab gerade den Kommentar von Julia gelesen… und ich hab mich erschrocken. 😅
Aber sie hat recht. Ich war wirklich leichtsinnig. Jetzt bin ich vorsichtiger. Und ich hab sogar 2FA auf meinem Netflix-Konto. Ja, wirklich. 🙈