Die beliebtesten deutschen Passwörter 2019: „123456“ bleibt unangefochten
von André Westphal | 33 Kommentare
Das Hasso-Plattner Institut (HPI) hat auch dieses Jahr wieder die beliebtesten Passwörter deutscher Nutzer ermittelt. Auf dem ersten Platz rangiert ein Klassiker: „123456“ ist immer noch das am meisten verwendete Passwort der Deutschen, wenn man der Studie Glauben schenkt. Doch auch die weiteren Plätze sind nicht gerade Maßstäbe für Sicherheit.
So macht man es Kriminellen durch den zweiten Platz, „123456789“, auch nicht viel schwerer. Und auf Rang 3 wird auch „12345678“ keinen Systemadministrator begeistern. Tja, und der vierte Platz? Vielleicht ahnt ihr es, denn dort steht (Trommelwirbel): „1234567“. Weitere Beispiele aus der Liste erspare ich euch und biete auch die Top 20 dann lieber gleich komplett an:
Die Top 20 der deutschen Passwörter:
- 123456
- 123456789
- 12345678
- 1234567
- password
- 111111
- 1234567890
- 123123
- 000000
- abc123
- dragon
- iloveyou
- password1
- monkey
- qwertz123
- target123
- tinkle
- qwertz
- 1q2w3e4r
- 222222
Sicher ist also keines der genannten Passwörter. Ein Problem stellt aber auch dar, dass viele Internetnutzer die selben Passwörter für dutzende von Diensten verwenden. Wer also „123456“ nutzt, beansprucht dieses Passwort häufig nicht nur für sein Google-Konto, sondern aus Bequemlichkeit direkt auch in beispielsweise dem PlayStation Network, für seinen Microsoft-Account und mehr. Das erleichtert Angreifern freilich die Arbeit, denn haben sie ein einzelnes Passwort ergattert, können sie es genauso bequem wie der ursprüngliche Nutzer bei unterschiedlichen Diensten verwenden.
Ermittelt hat das HPI seine Rangliste übrigens durch 67 Mio. Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers. Man hat sich dabei auf E-Mail-Adressen fokussiert, die mit „.de“ registriert sind und 2019 durchsickerten. Dadurch muss man die Rangliste aber natürlich auch mit etwas Vorsicht genießen. Auch ein paar Empfehlungen für bessere Passwörter, als ihr sie in der Liste findet, haut man raus:
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Wird geladen ...
Dragon? Tinkle? Password? Klingt für mich nichts was die deutsche Tante Erna als Passwort verwenden würde.
Vor allem, warum verraten die jetzt die Passworte? Jetzt kennt die doch jeder und ich muss mir ein neues ausdenken. Ah Liebe ist noch frei.
Dann nehme ich jetzt 987654321! Bähm, gegeben!
+1 Genau mein Gedanke.
Stiftung Warentest empfiehlt 54321NASE.
tinkle? Aber nur in der Weihnachtszeit?
So eine Rangliste ist aber auch Quatsch bzw sagt eigentlich kaum was aus, denn erstens keine Angaben zur Quantität, zweitens je komplizierter, desto individueller ist ein Passwort. Besser wäre da mal ein prozentualer Vergleich bezüglich der Qualität der Passwörter. Mal abgesehen, wer teilt denn einem Umfrageinstitut oder gar Hasso Plattner persönlich seine Passwörter mit ?! Da hab ich auch so meine Probleme mit Repräsentativität….
Nichts einzuwenden habe ich natürlich immer wieder darauf hinzuweisen, sich um sichere Passwörter zu kümmern, was wohl auch der Sinn solcher „Studien“ ist. Nur soetwas kommt bei einem Teil der Bevölkerung offenbar nicht an. Da wären wohl auch die Anbieter gefragt, was ja teilweise auch schon geschieht „Ihr Passwort ist nicht sicher genug“ etc pp….
Wie soll die Bevölkerung auch sichere Passwörter nutzen? Bestimmte Strategien wie xkcd oder Passphrases funktionieren wegen komischer Begrenzungen der Passwörter nicht. Passwortmanager geben bei schlechter Programmierung gleich alle Passwörter frei oder hosten die komplette Identität in der Cloud.
Was ist also zu tun? Wie kann es Otto-Normal-Nutzer richtig machen?
„Ermittelt hat das HPI seine Rangliste übrigens durch 67 Mio. Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers. Man hat sich dabei auf E-Mail-Adressen fokussiert, die mit „.de“ registriert sind und 2019 durchsickerten.“
Okay, dass hatte ich überlesen. Dennoch sagt eine „Rangliste“ nichts aus bezüglich Dateneigenschutz, wenn da quantitative Angaben fehlen….
„Mal abgesehen, wer teilt denn einem Umfrageinstitut oder gar Hasso Plattner persönlich seine Passwörter mit ?! Da hab ich auch so meine Probleme mit Repräsentativität….“
„Ermittelt hat das HPI seine Rangliste übrigens durch 67 Mio. Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers.“ Siehe oben.
Auch mein beliebtestes Passwort ist 123456. Das verwende ich bei allen Seiten, die unbedingt eine Anmeldung benötigen, um an Infos zu kommen. Zusammen mit einer Wegwerfmail die ideale und schnelle Lösung. Das machen viele so. Nur so kommen diese Zahlen zustande.
„Traue keiner Statistik, die du nicht selber gefälscht hast“.
Genauso machen es wohl die meisten und deswegen werden dann die „Spiel&Test“ Zugänge locker gehackt, interessiert aber den angeblich geschädigten nicht wirklich. Mein Passwort ist übrigens 123qwe auf solchen Seiten seit Jahren.
Jetzt sind wir zwei… 😉
Wer schon mal versucht hat, ein 24-stelliges Passwort mit Groß-/Kleinschreibung und Sonderzeichen am TV über die Fernbedienung einzugeben, versteht vielleicht, warum man das sehr schnell in 123456 ändert, wenn die Kack-App jeden zweiten Tag das Login vergisst.
Da wägt man dann sehr schnell ab zwischen „Wie viel Schaden kann jemand verursachen, der über meinen Account Watchever guckt?“ und „Och, nee, schon wieder Passwort eingeben? Jetzt hab ich schon keinen Bock mehr zu gucken.“
Sonderzeichen Zahlen
Ist aber nicht weniger Krampf.
Boah, was ist denn los hier heute ? Die Hälfte des Textes verschwindet.
_ersetze_ Sonderzeichen _durch_ Zahlen
Oh ja das kenne ich. Ich „freue“ mich auch jedes Mal wenn ich meinen 60-stelligen WLAN Schlüssel neu eingeben darf.
Das beste ist der Samsung Smart TV bei meinen Eltern: Samsung Account mit 16-stelligem Passwort registriert. Will man sich dann im App-Store anmelde, so werden max. 14 Stellen angenommen und alles darüber ist ungültig 😀
Von Sonderzeichen bei Passwörtern kann ich nur abraten, das macht oft unnötigen Ärger.
Wo?
Jahrzehnte lange Erfahrung in der IT :). Bei verschiedenen Diensten und ganz besonders Programmen immer wieder erlebt, daher würde ich persönlich keine Sonderzeichen in Passwörtern nutzen, das ist der potenzielle Ärger nicht wert.
Aber was für Sonderzeichen? !#$-_% funktionieren normalerweise immer. Mit Umlauten gab es schon Probleme (Linux-Datenbank und dot-net-programmierte Anwendung mit LDAP-Anbindung), * verwende ich auch nicht gerne, habe aber keine Erfahrung damit. Auf alten NAS-Systemen gab es immer mal wieder Probleme mit Sonderzeichen. Aber das ist einfach sche.. Programmierung. Aktuell nicht mehr erlebt.
Wäre also die Frage, wo es aktuell Probleme gibt.
Das Leerzeichen nicht vergessen. Damit hatte ich noch nie Probleme und es ergänzt sich super mit Diceware!
Ich denke da auch eher an Umlaute und echte Sonderzeichen aus den Zeichensätzen.
Nachtrag: Und ein Fall fällt mir gerade ein bei dem sogar die Raute Probleme machte. Das lag aber wohl eher an der schlampig programmierten Software.
msn bzw. Hotmail damals.
Es war glaub ich ein „=“ was dazu führte, dass man den Account zwar anlegen, sich aber niemals wieder einloggen konnte…
Seitdem verzichte ich auf Sonderzeichen.
Kleine Anekdote am Rande:
Bei SAP vor Version ERP 6.0 war es völlig egal, ob man beim Passwort Groß- oder Kleinbuchstaben benutzt hat und bei Sonderzeichen war es auch egal, welches man genommen hat.
statt „SuPeRpA$$wOrT “ konnte man sich also auch mit „superpaööwort“ oder so anmelden…
+1
Ich habe wirklich massive Zweifel, dass dragon, iloveyou, monkey und tinkle so weit oben auf der Liste der Passwörter von deutschen Nutzern stehen.
Dabei wäre es doch so einfach, ein echt sicheres Passwort zu verwenden: https://www.der-postillon.com/2014/04/it-experten-kuren-mb2r5ohf-0t-zum.html
Mein Favorit ist seit Jahren „geheim“. Da kann man immer sagen: „Mein Passwort ist geheim!“ – nicht zuletzt, weil nach wie vor was dran ist an dieser Weisheit: „Das beste Versteck ist vor aller Augen.“
„Die Frage ist doch, warum ich nicht 12345678 verwenden soll. Es weiß doch keiner, dass ich ausgerechnet 12345678 verwende!“
Die Frage sollte man beantworten, immer wieder und jedem. Sonst wird sich nie etwas ändern.
Nicht schon wieder diese Unsinnsnachricht.
Bloß weil diese Passwörter in der Datenbank von irgendwelchen (offenbar leicht zu hackenden) Sites sind, heißt das ja noch lange nicht, dass die meisten Menschen solche einfachen Passwörter für wichtige Dienste nutzen.
Wenn ich mich nur für den Download irgendeines Freeware-Tools oder für irgendein Forum unbedingt anmelden muss, nehme ich dafür auch immer eine unwichtige (Spam-)Mailadresse und ein simples Kennwort.