Analysten von Comparitech haben mehr als zwei Milliarden im Jahr 2025 geleakte Passwoerter ausgewertet, die auf Foren, in Telegram-Kanaelen und weiteren Quellen kursieren. Das Ergebnis ist ernuechternd: Trotz jahrelanger Aufklaerung dominieren weiterhin triviale Kombinationen wie 123456, admin und password die Ranglisten – ein direkter Nährboden fuer Angriffe mit gestohlenen Zugangsdaten.
Top-Passwoerter 2025: Wiederkehrende Muster und gefaehrliche Fehlannahmen
Neben Klassikern wie admin und password tauchen einfache Ziffernfolgen (1–9) besonders haeufig auf. Auffaellig ist der Anteil kosmetisch komplizierter Varianten: Aa123456 belegt Platz 6, Aa@123456 Platz 13. Solche Muster wirken komplex, sind aber in Wortlisten-, Masken- und Hybridangriffen leicht vorhersehbar und fallen dadurch sehr schnell.
Ebenfalls verbreitet sind Tastaturfolgen wie 1q2w3e4r. Kurze, alltaegliche Woerter steigen in der Frequenz: So liegt gin auf Platz 29, und der Passwortstring minecraft wurde 69 464-mal gefunden. Diese Befunde unterstreichen stabile Verhaltensmuster: Anwender optimieren auf Bequemlichkeit statt auf Widerstandsfähigkeit.
Leak-Quellen und Bedrohungslage: Von Foren bis Telegram – und dann Credential Stuffing
Die Daten stammen aus offenen und geschlossenen Leaks – von Darknet-Marktplätzen bis zu Messaging-Kanaelen. Solche Dumps gelangen schnell in den Umlauf fuer Credential Stuffing, also die automatisierte Wiederverwendung von kompromittierten Logins auf anderen Diensten. Laut Verizon DBIR gehoert der Einsatz gestohlener Anmeldedaten seit Jahren zu den wichtigsten Angriffsvektoren. Wer Passwoerter mehrfach nutzt, erhoeht sein Risiko exponentiell.
Warum kurze und populaere Passwoerter praktisch sofort fallen
Moderne Crack-Tools kombinieren Wortlisten, Muster (Masken) und Substitutionen, um verbreitete Schemata plus Variationen effizient durchzuprobieren. Benchmarks von Tools wie Hashcat zeigen, dass besonders kurze und vorhersagbare Passwoerter samt trivialer Abwandlungen auf aktuellen GPUs extrem schnell geraten. Offline-Angriffe gegen schwach gehashte Daten potenzieren dieses Risiko.
Die Richtlinie NIST SP 800‑63B empfiehlt, Passwoerter gegen bekannte Leak-Listen zu pruefen, laengere und unvorhersehbare Geheimnisse zu foerdern und verbotene, haeufig kompromittierte Strings auszusperren. Reine Komplexitaetsanforderungen ohne Laenge und Leak-Screening liefern dagegen eine truegerische Sicherheit.
Empfehlungen: Konten jetzt wirksam absichern
Passkeys und Biometrie bevorzugen. Wo verfuegbar, sollten Passkeys genutzt werden. Sie eliminieren geteilte Geheimnisse, reduzieren Phishing-Risiken und erschweren Session-Uebernahmen deutlich. Fuehrende Plattformen unterstuetzen FIDO2/WebAuthn breitflächig.
Wenn Passwoerter noetig sind: lang, einzigartig, merkbar. Zielwert: mindestens 12 Zeichen, besser 16+; Kombination aus Gross-/Kleinbuchstaben, Ziffern und Sonderzeichen ist hilfreich, entscheidend ist jedoch die Laenge. Merksame Passphrasen sind effektiv – eine kleine Variation erhoeht die Entropie spuerbar, z. B. statt „icantbelievewerestilltellingyouthis“: „icantbelievewerestilltellingy0uthis“.
Niemals wiederverwenden. Passwort-Recycling ist der Turbo fuer Credential Stuffing. Nutzen Sie einen vertrauenswuerdigen Passwortmanager zur Generierung und Speicherung einzigartiger Geheimnisse pro Dienst. Pruefen Sie regelmaessig, ob Manager kompromittierte Eintraege erkennen.
MFA aktivieren und Leaks monitoren. Bevorzugen Sie App-basierte TOTP-Codes oder Hardware-Keys; SMS ist nur Basisschutz. Ueberwachen Sie Ihre E-Mail-Adressen mit Diensten wie Have I Been Pwned und aendern Sie betroffene Passwoerter umgehend.
Die Datenlage ist eindeutig: Solange Komfort über Sicherheit steht, bleibt die Angriffsfläche gross. Wer jetzt auf Passkeys umstellt, lange und einzigartige Passphrasen nutzt, MFA konsequent aktiviert und auf Leaks achtet, reduziert sein Risiko erheblich. Fuehren Sie heute eine Konto-Revision durch, ersetzen Sie schwache und doppelt genutzte Passwoerter und migrieren Sie, wo moeglich, auf passwortlose Authentifizierung.
