Die beliebtesten deutschen Passwörter 2020: „123456“ weiterhin auf dem Thron
Zum Jahresende gibt es jeweils immer wieder aufs Neue Informationen dazu, welche Passwörter in Deutschland am beliebtesten gewesen sind. Die Angaben sollte man natürlich mit etwas Vorsicht genießen, denn die Rangliste ergibt sich im Wesentlichen durch die Auswertung geleakter Daten. Ganz vorne liegt im Jahr 2020 erneut der Dauerbrenner: „123456“.
Dabei sind individuelle, sichere Passwörter 2020 wichtiger denn je geworden. So hat die Corona-Krise dafür gesorgt, dass mehr und mehr Menschen im Home-Office arbeiten. Unsichere Passwörter aufseiten der Nutzer sind da also eine Gefahrenquelle. Ermittelt wurden die beliebtesten Passwörter erneut vom Hasso-Plattner-Institut (HPI). Datengrundlage sind dieses Jahr 3,1 Millionen Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2020 geleakt wurden. Insgesamt wurden dieses Jahr laut dem Institut 172 Datenlecks in den Identity Leak Checker eingepflegt, das sind rund 2 Milliarden Identitäten.
Top Ten deutscher Passwörter:
1. 123456
2. 123456789
3. passwort
4. hallo123
5. 12345678
6. ichliebedich
7. 1234567
8. 1234567890
9. lol123
10. 12345
Neuzugang ist in den Top 10 beispielsweise „ichliebedich“ auf Platz 6. Ob die Liebe noch so groß ist, wenn das Passwort geknackt wird, ist freilich eine andere Frage. Es bleiben die üblichen Empfehlungen: Es sollten lange Passwörter mit mehr als 15 Zeichen, Kombinationen aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen und keine Wörter aus dem Wörterbuch verwendet werden. Außerdem sollte dasselbe Passwort nicht für mehrere Dienste verwendet werden. Es empfiehlt sich stattdessen lieber die Verwendung eines Passwortmanagers.
Wer feststellt, dass seine Passwörter die genannten Regeln nicht erfüllen, sollte seine Passwörter bei seinen Diensten ändern. Außerdem ist es immer ratsam, die Zwei-Faktor-Authentifizierung zu aktivieren, wenn das beim jeweiligen Anbieter möglich sein sollte. Dann wird es Angreifern deutlich schwerer fallen Missbrauch vorzunehmen, selbst wenn sie euer Passwort knacken konnten. Allerdings werden die meisten unserer Leser diese Empfehlungen wohl ohnehin beherzigen. Sensibilisiert deswegen vorwiegend auch euren Bekanntenkreis.
Was zu erwarten war.
Aber es ist auch etwas Besserung in Sicht. Browser und/oder Smartphones schlagen mittlerweile komplexe Passwörter vor die dann im jeweiligen Safe gespeichert werden.
Der Mensch ist bequem und will sich nichts komplexes merken.
Hier bleibt nur das die Technik, mit ihren eigenen Problemen, den Nutzer zum sicheren Umfang zwingt.
Für viele Internetangebote muss man sich registrieren bevor man auf das Angebot zugreifen kann. Dafür reicht eine sonst nicht verwendete E-Mail-Adresse und ein 123 Passwort
Wenn ich vorgeschlagene Passwörter bekomme und diese im Browser verwalte, ist es völlig egal, um welches Konto es sich handelt. Oder ich nutze die Passwortverwaltung nicht, dann besteht das Problem so und so weiterhin. Also kann ich hier keinen wirklichen Zusammenhang sehen.
Natürlich gibt es hier einen Zusammenhang. Wenn man weiß man benötigt den Account nur für dieses eine mal, dann wird es ein Account mit Trashmail + 0815 Passwort. Ich selbst bin mittlerweile zwar auch in diesem Fall zu generierten Passwörtern gewechselt, aber auch nur weil es minimal schneller geht. Dafür müllen diese Accounteleichen aber eben auch deinen Passwortmanager zu und die Übersicht geht flöten.
„123456“ ist kein Problem, wenn die 2-Faktor-Authentifizierung aktiv ist.
2-Faktor-Authentifizierung bietet nicht grundsätzlich vollständigen Schutz, es gibt z.B. SIM-Swapping.
Nur dass Leute, die solche Passwörter verwenden, in der Regel auch keine 2-Faktor-Authentisierung nutzen.
Es kommt auch immer darauf an für was das Passwort benötigt wird. Für absolut unwichtigen Kram muss man sich nicht besonders komplexe Passwörter ausdenken.
Ich frage mich auch jedes Jahr erneut wenn diese sinnlose Statistik kommt, was das soll. Etliche der Accounts werden ungenutzte einmal/wegwerf Accounts sein.
Wieso ausdenken, es gibt doch Passwortgeneratoren…
Aber wer selbst dazu zu blöd ist, ist Imho dann selber schuld.
Seit vielen Jahren ist bekannt, dass bei Passwörtern Länge besser ist als Komplexität. Wie an xkcd’s viel zitierter Beispiel-Passphrase „correct horse battery staple“ zu sehen ist, lässt sich das viel einfacher merken als „88ije/&%jasiodu“ und ist dabei auch sicherer. Und jetzt mal zur Realität, wie viele Services gibt es noch, die Passwortrichtlinien à la:
Ihr Passwort muss mindestens 6 Zeichen enthalten
Ihr Passwort darf maximal 10 Zeichen enthalten
Ihr Passwort muss mindestens eine Zahl enthalten
Ihr Passwort muss mindestens einen Kleinbuchstabenl enthalten
Ihr Passwort muss mindestens einen Großbuchstaben enthalten
Ihr Passwort muss mindestens ein Sonderzeichen aus „§$%&/ enthalten
Ihr Passwort darf kein Sonderzeichen aus _:;,.-#+ enthalten
vorgeben? Zu viele.
Ist doch klar, dass die Leute da für jeden Dienst das gleiche Passwort nehmen, wenn auch nicht „123456“. Für die vielen Identitätsdiebstähle darf man auch teilweise Diensteanbieter mitverantwortlich machen, die an 15 Jahre alten Passwortrichtlinien festhalten. Glücklicherweise setzt sich Multifaktor-Authentifizierung immer mehr durch, zumindest bei den wichtigen Diensten.
Oh ja. Danke du sparst mir viel schreiben 🙂
Neulich erst wieder: Max 12 Zeichen. Eines muss mind. Groß sein, eines muss mind eine Ziffer sein und eines muss mindestens ein Sonderzeichen sein – NICHT dieses – maaaan
Irgendeiner hatte dieses Jahr sogar Max 8 Zeichen (für ein SmartHome Produkt). Habe ich dann abgebrochen und gesagt: „so wichtig ist es nicht“.
Ich verstehe das nicht:
– wenn das Passwort beim Anbieter als Hash gespeichert wird, ist die Länge des Passwort erstmal nahezu egal.
– bei diesen krassen Begrenzungen der Länge muss ich also annehmen, dass das Passwort im Klartext bei denen abgelegt wird?! Zumindest liegt die Unterstellung nahe.
Kein Scherz! Ich wollte mich einmal wo registrieren und habe also ein Passwort generieren lassen (16-stellig, alle Zeichen außer Leerzeichen; Aberglaube, aber ich mag keine Leerzeichen in Passwörtern, ohne rationalen Grund). Als ich dann „Registrieren“ angeklickt habe, kam die Meldung „Ihr Passwort darf keine Sonderzeichen enthalten“. Ich habe wohl drei Mal gelesen, ob da auch wirklich „Passwort“ steht, denn bei User-Namen ist das üblich. Nein, dort stand Passwort und mein User-Name (Nick, nicht der Klarname) beinhaltet auch keine Sonderzeichen. War schade drum, aber dort registriere ich mich sicher nicht.
Es profitieren halt sehr viele Leute davon wenn du immer dasselbe PW nutzt und dadurch deine Daten/Geld gestohlen werden. (Nicht nur die, die deine Accounts knacken, sondern auch die bei denen du dich melden musst um einen neuen Account anzulegen). Und Hoster/ Kontobereitsteller sind natürlich Meister darin Regressforderungen abzuschmettern weil du ja selbst für deine PW Stärke verantwortlich bist xD
Ärgert mich auch bis zum Schwarz werden das ich nicht lange Sätze als PW nehmen kann.
Ich schätze nur ein Gesetz kann dieses verhalten der Anbieter ändern. Man sollte sich PW Länge und Inhalt selber aussuchen können. Vlt. als einzige Vorgabe ein mindest Zeichen anzahl.
Bei vielen Internetanbietern kann man solche Passwörter nicht mehr hinterlegen. Außerdem interessiert es nicht sonderlich, wenn es einen selbst nicht sonderlich juckt, wenn ein Account mit Fakedaten „gehackt“ wird oder sonst wie an die Daten kommt.
Ein viel größeres Problem ist Phising
So lange Webshops und diverse Dienste meinen die Nutzer zu Logins nötigen zu müssen ist an 12345 und der Wegwerfadresse nichts falsch.
Der Nutzer sagt damit klar – ich will das nicht und diese ganze Anmeldung mit der Speicherung von Daten ist mir zuwider.
Was ist daran schwer zu verstehen? Gastbestellung ist übrigens das Wort für “Wir haben es verstanden. Wir speichern keine Bestellhistorie und versuche sie nicht zu Tracken. Sie zahlen, wir liefern.”
Die Geschichte der Passwörter ist eines mit vielen Missverständnisse. Die “Regeln” sind nicht hilfreich.
“Nur fünf Zeichen! Aber mit einem Großbuchstaben. Und einem Kleinbuchstaben. Und einem Sonderzeichen. Nein. Nur die sechs Sonderzeichen da! Ne. Du musst das jetzt ändern, weil der Admin immer noch Kennwörter aus dem Römerlager mit persönlichen Passwörtern verwechselt. Nein! Nein! Unser Login ist nicht richtig implementiert, dass Passwort muss ein komplexer Hashkey sein den ein Supercomputer in 2030 nicht knacken kann!”
Ich muss schmunzeln, wenn die Komplexitätsanzeige (sinnvoll!) auf Grün springt und das Backend dann meint “Nö. Nicht so sicher!”.
123456 kann man eigentlich schon wieder als Gut betrachten.
Selbst ein Hacker denkt so doof kann doch kein Mensch sein
123456 ist auch mein standardpasswort wenn ich mich nur für den Moment irgendwo anmelde und ich vorhabe mich nie wieder einzuloggen.
Leider nerven viele Webseiten mit ihren Regeln.
Manche wollen groß und Kleinschreibung
Manche ziffenr und Buchstaben.
Manche sonderzeichen.
Und was ist wenn ne chinesische Seite zumindest ein chinesisches Zeichen im Passworts verlangt?