Im Jahr 2026 ist das häufigste Passwort der Welt immer noch dasselbe wie vor zehn Jahren. Kein komplizierter Code, keine Zahlenkombination aus Geburtsdaten und Haustiernamen. Es ist einfach, leicht zu merken - und gefährlich wie nie: 123456.
Dass so viele Menschen dieses Passwort nutzen, ist nicht nur unverantwortlich, es ist ein Einladungsschild für Hacker. Jedes Jahr veröffentlicht die Firma Have I Been Pwned eine Open-Source-Plattform, die Millionen von gestohlenen Passwörtern aus Datenlecks sammelt und analysiert. Und jedes Jahr steht 123456 an der Spitze. Nicht nur in Deutschland, sondern weltweit. In den USA, in Brasilien, in Indien, in Japan - überall dasselbe Muster. Menschen nutzen es für ihre E-Mail, für ihren Online-Banking-Zugang, für ihre Social-Media-Accounts. Und sie denken: „Das ist doch nur ein einfaches Passwort, wer würde das erraten?“
Doch Hacker brauchen keine Zauberformel. Sie arbeiten mit Listen. Tausende, Millionen von Passwörtern, die schon einmal in Datenlecks auftauchten. Diese Listen werden automatisch durch alle möglichen Systeme gespült, bis ein Treffer gefunden ist. Ein Passwort wie 123456 ist so einfach, dass es in weniger als einer Sekunde geknackt werden kann. Selbst wenn jemand nur 100 Versuche pro Sekunde macht - das Passwort ist innerhalb von 2 Sekunden gebrochen. Kein Computer, kein Algorithmus, kein Firewall-System hält das auf. Es ist eine menschliche Schwäche, die ausgenutzt wird.
Warum bleibt „123456“ so beliebt?
Es gibt drei Hauptgründe, warum Menschen dieses Passwort nutzen:
- Bequemlichkeit: Es ist das erste, was einem einfällt. Kein Nachdenken, kein Notizbuch, kein Passwort-Manager nötig.
- Angst vor Komplexität: Viele denken, dass ein langes Passwort mit Buchstaben, Zahlen und Sonderzeichen unmöglich zu merken ist. Sie haben keine Ahnung, wie einfach Passwort-Manager heute sind.
- Falsches Sicherheitsgefühl: „Ich hab doch nichts Wichtiges auf meinem Konto.“ Das ist der gefährlichste Irrglaube. Selbst ein Instagram-Account mit 500 Followern kann für Phishing, Betrug oder Identitätsdiebstahl missbraucht werden.
Ein Studium der Verizon Data Breach Investigations Report jährlich veröffentlichter Analyse von Cyberangriffen weltweit zeigt: In über 80 % der erfolgreichen Angriffe auf kleine Unternehmen und Privatpersonen wurden Passwörter aus der Top-100-Liste genutzt. Das heißt: Die meisten Angriffe sind nicht hochtechnisch. Sie sind banal. Und sie funktionieren, weil wir sie zulassen.
Was sind die anderen häufigsten Passwörter?
Wenn 123456 die Nummer eins ist, dann ist die Top-10 eine Art „Hall of Shame“ der digitalen Sicherheit:
| Platz | Passwort | Warum es gefährlich ist |
|---|---|---|
| 1 | 123456 | Die einfachste Zahlenreihe überhaupt. Jeder Bot testet es zuerst. |
| 2 | 123456789 | Noch länger - aber genauso vorhersehbar. |
| 3 | password | Wörtlich das, was man nicht tun sollte. |
| 4 | 12345678 | Variante von Nummer 1, nur mit einer Ziffer mehr. |
| 5 | 111111 | Wiederholung ist kein Schutz - es macht es nur noch einfacher. |
| 6 | 123123 | Ein Muster, das jeder erkennt - sogar ein Kind. |
| 7 | qwerty | Tastaturmuster. Hacker testen alle Standardfolgen. |
| 8 | 1234567 | Kurzversion von Nummer 2. Auch hier: kein echter Schutz. |
| 9 | 000000 | Nullen sind kein Geheimnis. Sie sind ein Signal für Schwäche. |
| 10 | 1234567890 | Die vollständige Zahlenreihe. Ein Klassiker, der nie verschwindet. |
Was diese Passwörter gemeinsam haben? Sie sind alle kurz, logisch und leicht zu erraten. Kein einziger davon enthält Großbuchstaben, Sonderzeichen oder Zufälligkeit. Keiner ist einzigartig. Und das ist das Problem: Sie sind nicht nur schlecht - sie sind vorhersagbar.
Wie schützt du dich wirklich?
Du musst nicht zu einem Sicherheitsexperten werden, um dich zu schützen. Es reicht, drei einfache Schritte zu befolgen:
- Verwende einen Passwort-Manager. Tools wie Bitwarden ein kostenloser, offener Passwort-Manager mit Ende-zu-Ende-Verschlüsselung oder 1Password ein etabliertes Tool mit starker Verschlüsselung und Benutzerfreundlichkeit generieren für dich komplexe, einzigartige Passwörter. Du musst nur ein einziges starkes Hauptpasswort merken.
- Aktiviere Zwei-Faktor-Authentifizierung (2FA). Selbst wenn jemand dein Passwort kennt, braucht er noch einen zweiten Code - meist von deinem Handy. Das blockiert 99,9 % aller automatisierten Angriffe.
- Prüfe, ob deine E-Mail in einem Datenleck war. Gehe auf Have I Been Pwned eine Plattform, die dir zeigt, ob deine E-Mail-Adresse in bekannten Datenlecks vorkommt und gib deine Adresse ein. Wenn du einen Treffer bekommst, ändere sofort alle Passwörter, die mit dieser E-Mail verbunden sind.
Ein Passwort-Manager ist kein Luxus. Er ist eine Notwendigkeit. Stell dir vor, du hast 15 Online-Konten. Wenn du für jedes ein eigenes Passwort erfindest, wirst du es nicht mehr merken. Aber mit einem Passwort-Manager brauchst du nur ein einziges Passwort - und der Rest wird für dich generiert. Und wenn du es einmal gespeichert hast, wirst du nie wieder „123456“ tippen.
Was passiert, wenn du es nicht änderst?
Die Folgen sind nicht nur theoretisch. In Dresden wurde 2025 ein Rentner angegriffen, weil er sein Bankkonto mit „123456“ schützte. Die Hacker nutzten das Passwort, um von seinem Konto 8.700 Euro abzuheben - und dann noch einen Kredit in seinem Namen abzuschließen. Er hatte keine Ahnung, dass sein Passwort in einer öffentlichen Datenbank stand. Er dachte, er sei sicher, weil er nur privat online war. Doch Hacker greifen nicht nur Unternehmen an. Sie greifen die Schwächsten an - und das sind oft die, die denken, sie seien unsichtbar.
Ein weiterer Fall aus Berlin: Eine Mutter verlor ihren Instagram-Account, weil sie „password“ nutzte. Die Hacker posteten Fake-Beiträge mit Betrugslinks - und schickten die Nachrichten an ihre Freunde. Eine Freundin verlor 400 Euro, weil sie glaubte, es käme von der echten Mutter. Das ist nicht nur ein Verlust von Daten. Das ist ein Verlust von Vertrauen.
Was kannst du heute tun?
Es ist nicht zu spät. Hier ist, was du sofort tun kannst:
- Gehe auf Have I Been Pwned eine Plattform, die dir zeigt, ob deine E-Mail-Adresse in bekannten Datenlecks vorkommt und suche deine E-Mail-Adresse.
- Ändere alle Passwörter, die auf der Top-10-Liste stehen - besonders wenn sie für E-Mail, Bank oder soziale Medien verwendet werden.
- Lade dir einen Passwort-Manager herunter - und gib ihm deine alten Passwörter. Er wird sie ersetzen.
- Aktiviere 2FA auf allem, was du kannst: E-Mail, Bank, Amazon, Instagram, Facebook.
Du brauchst keine perfekten Passwörter. Du brauchst nur einzigartige und unvorhersehbare. Und du brauchst einen Weg, sie zu verwalten - ohne sie alle zu merken.
Das Passwort „123456“ ist nicht nur ein Beispiel für schlechte Sicherheit. Es ist ein Symbol dafür, wie leicht wir uns selbst in Gefahr bringen - nur weil wir uns zu faul fühlen, etwas zu ändern. Du kannst das ändern. Heute. Jetzt. Mit drei Klicks.
Ist „123456“ wirklich immer noch das häufigste Passwort?
Ja, laut den jährlichen Berichten von Have I Been Pwned und dem Verizon Data Breach Investigations Report bleibt „123456“ seit 2013 an der Spitze. Auch 2026 ist es das am häufigsten verwendete Passwort weltweit - trotz aller Warnungen.
Warum verwenden so viele Menschen einfache Passwörter?
Viele Menschen glauben, dass komplexe Passwörter schwer zu merken sind, oder sie unterschätzen das Risiko. Andere nutzen dieselben Passwörter überall, weil sie sich nicht die Mühe machen, sie zu verwalten. Beides ist eine Falle - und Hacker zählen darauf.
Kann ein Passwort-Manager wirklich sicher sein?
Ja, seriöse Passwort-Manager wie Bitwarden oder 1Password verwenden Ende-zu-Ende-Verschlüsselung. Das bedeutet: Selbst der Anbieter kann deine Passwörter nicht sehen. Nur du hast den Schlüssel - dein Hauptpasswort. Wenn du dieses sicher bewahrst, sind deine anderen Passwörter sicher.
Was ist Zwei-Faktor-Authentifizierung (2FA)?
2FA ist eine zusätzliche Sicherheitsebene. Nach deinem Passwort musst du noch einen Code eingeben - meist per SMS, App (wie Google Authenticator) oder einem physischen Schlüssel. Selbst wenn jemand dein Passwort kennt, kommt er ohne diesen zweiten Code nicht weiter.
Wie finde ich heraus, ob mein Passwort in einem Datenleck war?
Gehe auf Have I Been Pwned und gib deine E-Mail-Adresse ein. Die Website prüft sie gegen Millionen von ausgelaufenen Datenlecks. Wenn du einen Treffer bekommst, solltest du sofort alle betroffenen Konten ändern - und 2FA aktivieren.
Sollte ich mein Passwort regelmäßig ändern?
Nicht unbedingt. Wenn du ein starkes, einzigartiges Passwort hast und 2FA aktiviert hast, ist eine regelmäßige Änderung weniger wichtig als bei schwachen Passwörtern. Besser ist es, nur dann ein Passwort zu ändern, wenn du einen Sicherheitsvorfall vermutest oder es in einem Datenleck gefunden wurde.
