27. Januar 2026 – 89.0 RTL
"123456" bleibt das beliebteste deutsche Passwort. Experten warnen vor gefährlichen Trends und zeigen, wie Sie sich mit Passkeys und Passwortmanagern schützen.
Es klingt wie ein schlechter Witz, ist aber bittere Realität: «123456» war auch 2025 das beliebteste Passwort in Deutschland. Direkt gefolgt von «123456789» und dem nicht minder kreativen «565656». Das Hasso-Plattner-Institut hat anhand geleakter Datensätze aus dem Darknet eine erschreckende Hitliste erstellt – und die zeigt, dass viele Menschen ihre digitale Sicherheit immer noch sträflich vernachlässigen. Zum Europäischen Datenschutztag am 28. Januar wird deutlich: Unsere Passwort-Kultur ist ein gefundenes Fressen für Cyberkriminelle.
Die Top 10 der gefährlichsten Passwörter: Von «hallo123» bis «kaffeetasse»
Die vom HPI veröffentlichte Rangliste liest sich wie eine Anleitung für digitalen Selbstmord. Auf Platz fünf landet «12345678», gefolgt vom gemütlichen «kaffeetasse» auf Rang sechs. Besonders beliebt sind auch simple Alltagswörter wie «passwort» (Platz 8) oder die lockere Kombination «lol123» (Platz 9). Was viele nicht ahnen: Solche Passwörter können von Hackern in Sekundenschnelle geknackt werden – oft mithilfe automatisierter Programme, die genau diese gängigen Kombinationen durchprobieren.
Noch gefährlicher wird es bei einer weiteren Unsitte: Viele Nutzer kombinieren Vornamen mit Geburtsdaten und hängen ein Sonderzeichen ans Ende. «Anna1985!» mag auf den ersten Blick sicher wirken, ist aber für professionelle Angreifer ein Kinderspiel. Das HPI warnt eindringlich vor dieser falschen Sicherheit.
Ein Passwort für alles? Der gefährlichste Trend unserer Zeit
Besonders alarmierend ist ein Phänomen, das die Experten in den ausgewerteten Daten eindeutig ablesen können: Immer mehr Menschen setzen ein einziges, vermeintlich starkes Passwort für alle ihre Online-Dienste ein. Was bequem erscheint, wird zur digitalen Achillesferse. Denn sobald ein einziger Dienst gehackt wird und die Zugangsdaten ins Darknet gelangen, probieren Cyberkriminelle diese Kombination systematisch bei allen gängigen Plattformen aus – von Amazon über Netflix bis zum Online-Banking.
Das Szenario ist erschreckend real: Ein kleines Forum wird gehackt, die Datenbank mit Nutzerdaten landet im Darknet. Wer dort dasselbe Passwort wie für sein E-Mail-Konto verwendet hat, gibt Angreifern den Generalschlüssel zu seinem digitalen Leben. Plötzlich können Kriminelle Bestellungen aufgeben, Identitäten stehlen oder sensible Informationen abgreifen.
So schützen Sie sich wirklich: Fünf goldene Regeln für sichere Passwörter
Die gute Nachricht: Sich effektiv zu schützen, ist einfacher als gedacht. Das Hasso-Plattner-Institut empfiehlt fünf konkrete Maßnahmen, die jeder sofort umsetzen kann:
Individuelle Passwörter für jeden Dienst: Kein Passwort darf doppelt verwendet werden – auch nicht in leicht abgewandelter Form. Jeder Account braucht seine eigene, einzigartige Zugangskombination.
Länge schlägt Komplexität: Mindestens 15 Zeichen sollten es sein, idealerweise eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Aber Vorsicht: Keine echten Wörter aus dem Wörterbuch und keine Namen verwenden.
Passwortmanager nutzen: Programme wie Bitwarden, 1Password oder KeePass nehmen Ihnen die Arbeit ab. Sie generieren sichere Passwörter und speichern sie verschlüsselt – Sie müssen sich nur noch ein einziges Master-Passwort merken.
Zwei-Faktor-Authentifizierung aktivieren: Selbst wenn Hacker Ihr Passwort erbeutet haben, kommen sie ohne den zweiten Faktor – meist ein Code per SMS oder App – nicht in Ihr Konto. Diese zusätzliche Sicherheitsebene sollten Sie überall aktivieren, wo sie angeboten wird.
Passwörter bei Vorfällen sofort ändern: Wurde ein Dienst gehackt oder erfüllt Ihr Passwort nicht die genannten Kriterien? Dann sollten Sie es umgehend austauschen.
Sind Ihre Daten schon im Darknet? Der kostenlose Leak-Check
Das Hasso-Plattner-Institut bietet mit seinem Identity Leak Checker ein kostenloses Werkzeug an, mit dem Sie prüfen können, ob Ihre Zugangsdaten bereits kompromittiert wurden. Die Datenbank enthält Milliarden gestohlener Online-Identitäten, die im Netz kursieren. Einfach die eigene E-Mail-Adresse eingeben – und innerhalb von Sekunden erfahren Sie, ob Ihre Daten nach einem Hackerangriff durchs Internet geistern.
Auch das Bundesamt für Sicherheit in der Informationstechnik stellt auf seiner Webseite detaillierte Anleitungen bereit: von der Erstellung starker Passwörter über den Umgang mit Passwortmanagern bis hin zur Aktivierung der Zwei-Faktor-Authentifizierung. Wer seine digitale Sicherheit ernst nimmt, findet dort alle notwendigen Informationen.
Vergessen Sie den «Ändere dein Passwort»-Tag: Warum regelmäßige Wechsel schaden
Viele kennen noch die alte Regel: Passwörter sollten regelmäßig geändert werden, am besten alle drei Monate. Diese Empfehlung ist jedoch längst überholt. Das BSI stellt klar: Ein starkes, einzigartiges Passwort kann problemlos mehrere Jahre lang genutzt werden – solange es nur für einen einzigen Dienst verwendet wird und kein Sicherheitsvorfall bekannt wurde.
Tatsächlich führen erzwungene, regelmäßige Passwortwechsel oft zum Gegenteil des Gewünschten: Genervte Nutzer greifen zu immer schwächeren Passwörtern oder ändern nur minimal ab («Passwort123» wird zu «Passwort124»). Arbeitgeber sollten deshalb von periodischen Passwortwechseln absehen und stattdessen auf starke Erstpasswörter und Zwei-Faktor-Authentifizierung setzen.
Die Zukunft heißt Passkeys: Sicherer geht's nicht
Die eleganteste Lösung für das Passwort-Problem sind Passkeys – ein modernes, passwortloses Anmeldeverfahren, das immer mehr Dienste anbieten. Das Prinzip basiert auf Kryptographie: Statt eines Passworts wird ein digitaler Schlüssel auf Ihrem Gerät gespeichert. Bei der Anmeldung fragt die Webseite diesen Schlüssel ab, Sie bestätigen Ihre Identität per Fingerabdruck, Gesichtsscan oder PIN – fertig.
Der große Vorteil: Passkeys können nicht gestohlen, erraten oder vergessen werden. Sie sind automatisch stark genug, weil sie vom System generiert werden. Und die Nutzung ist sogar bequemer als herkömmliche Passwörter: Ein kurzer Fingerabdruck genügt, und Sie sind angemeldet. Speichern lassen sich Passkeys auf einem FIDO2-USB-Stick, im Betriebssystem Ihres Smartphones oder Computers oder in kompatiblen Passwortmanagern, die eine systemübergreifende Nutzung ermöglichen.
Häufig gestellte Fragen zum Thema
Wie erstelle ich ein wirklich sicheres Passwort, das ich mir auch merken kann?
Eine bewährte Methode ist die Merksatz-Technik: Denken Sie sich einen persönlichen Satz aus, den nur Sie kennen, zum Beispiel «Mein erster Hund hieß Bello und wurde 2010 geboren!». Nehmen Sie nun die Anfangsbuchstaben: «MeHhBuw2010g!». Schon haben Sie ein 13-stelliges Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Noch besser: Nutzen Sie einen Passwortmanager, der sich alle Passwörter für Sie merkt – dann müssen Sie sich nur noch ein einziges Master-Passwort einprägen.
Sind kostenlose Passwortmanager sicher genug?
Ja, viele kostenlose Passwortmanager wie Bitwarden oder KeePass bieten ein hohes Sicherheitsniveau und werden regelmäßig von Sicherheitsexperten geprüft. Entscheidend ist, dass Sie einen etablierten Anbieter wählen und ein starkes Master-Passwort verwenden. Die Verschlüsselung Ihrer Passwörter erfolgt lokal auf Ihrem Gerät, sodass selbst der Anbieter keinen Zugriff auf Ihre Daten hat. Für die meisten Privatnutzer reichen die kostenlosen Versionen völlig aus.
Was mache ich, wenn ich erfahre, dass meine Daten geleakt wurden?
Handeln Sie sofort: Ändern Sie das betroffene Passwort und alle anderen Passwörter, die ähnlich aufgebaut sind. Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle wichtigen Accounts. Überprüfen Sie Ihre Kontoauszüge und Online-Bestellungen auf verdächtige Aktivitäten. Informieren Sie gegebenenfalls Ihre Bank oder andere betroffene Dienste. Nutzen Sie diese Gelegenheit, um auf einen Passwortmanager umzusteigen und für jeden Dienst ein einzigartiges, starkes Passwort zu vergeben – so begrenzen Sie den Schaden künftiger Leaks auf einen einzigen Account.
