Benutzername und Passwort – diese Login-Daten reichen meistens aus, um Zugang zu einem Benutzerkonto bei Sozialen Medien, Online-Shops oder anderen Onlinediensten zu erhalten. Wie sicher sind die Passwörter, mit denen die Deutschen ihre Accounts schützen? Das Bonner Unternehmen Identeco hat dazu Daten ausgewertet und verrät jetzt, welche Passwörter 2023 am häufigsten gestohlen wurden. Erschreckend: Auch beruflich genutzte Passwörter sind demnach leicht zu knacken. Oft werde schlicht der eigene Firmenname verwendet.

Passwörter 2023: Private Nutzer

Für die Analyse wurden fast eine Milliarde Datensätze ausgewertet, jeweils E-Mailadresse und Passwort. Dabei sind die Experten für Accountsicherheit auf bekannte Favoriten wie „123456“, „password“ oder „111111“ gestoßen. Beliebte Passwörter sind auch Namen von Fußballvereinen und Städtenamen – dabei liegt Schalke04 vorn und Dortmund vor Berlin.

Top 10 private Passwörter der Deutschen 2023 (laut Identeco)

• 1.     123456
• 2.     123456789
• 3.     Password
• 4.     12345678
• 5.     123123
• 6.     12345
• 7.     1234567
• 8.     111111
• 9.     qwerty
• 10.   1234567890

Passwörter 2023: Beruflich bei Unternehmen

Daneben wurden auch die Passwörter analysiert, mit denen Mitarbeitende von Unternehmen und öffentlichen Einrichtungen ihre beruflich genutzten Accounts schützen. Hierfür hat Identeco die 40 DAX-Konzerne als Stichprobe genommen. Ausgewertet wurden Datensätze, die die Sicherheitsexpoerten einer E-Mailadresse mit der Hauptdomain eines DAX-Konzerns zuordnen konnten.

Top 10 berufliche Passwörter der Deutschen 2023 (laut Identeco)

• 1.     [Firmenname]
• 2.     123456
• 3.     password
• 4.     9916691966@vV
• 5.     research
• 6.     pass1
• 7.     wealth
• 8.     xchange1
• 9.     Password1
• 10.   1234567890

Das Ergebnis: Auch beruflich nutzen die Deutschen häufig unsichere Passwörter – dadurch machen sie ihre eigenen Daten, aber auch die Daten ihrer Kundinnen und Kunden zur leichten Beute. Die sensiblen Informationen sind in diesem Fall kaum vor Datenleaks geschützt.

Am beliebtesten war es laut der Untersuchung, den Namen der eigenen Firma oder Organisation als Passwort zu wählen. Die Klassiker der privaten Accounts stehen auch hier hoch im Kurs. Und auch Namen von Zulieferern werden gerne als Passwort verwendet.

Passwortregeln schützen nur begrenzt

Eine weitere Beobachtung: „Viele Nutzer verwenden dasselbe Passwort für verschiedene Accounts“, sagt Frank Zickenheiner von Identeco. Dann kann das Passwort selbst noch so sicher sein – für Hacker ist es trotzdem ein Geschenk. Sie können dann in Onlineplattformen und IT-Infrastrukturen eindringen, ohne dass das angegriffene Unternehmen selbst eine Sicherheitslücke hat, erklärt Identeco-Chef Matthias Wübbeling.

Ein Beispiel: Das Passwort „ka_dJKHJsy6“ enthält Groß- und Kleinschreibung, Ziffern und Sonderzeichen – und erfüllt damit die Sicherheitskriterien. Es gehört trotzdem zu den 20 Passwörtern von DAX-Unternehmen, die am häufigsten geknackt wurden.

Leetspeak: 1FCK03!n ist kein sicheres Passwort

Beliebt, aber auch nicht sicher ist „Leetspeak“ – die Methode, einzelne Buchstaben in einem Wort durch ähnlich aussehende Zahlen und Sonderzeichen zu ersetzen. Die Passwörter seien dadurch zwar leicht zu merken, erklären die Experten, „jedoch für geübte Angreifer nicht wesentlich sicherer als herkömmliche Passwörter.“

Und zum Schluss: Fünf Tipps, wie Sie wirklich sichere Passwörter verwenden

• Nutzen Sie keine trivialen Passwörter
• Kein Passwort mehrfach verwenden
• Passwortmanager nutzen
• Alle Accounts regelmäßig prüfen
• Multi-Faktor–Authentifizierung nutzen