Durch persönliche Passwörter habt ihr unter anderem Zugriff auf eure Spiele-Accounts und die von euch genutzten Streaming-Plattformen. Umso wichtiger ist es, dass eure Kennwörter nicht leicht zu knacken sind. Eine Liste der beliebtesten Passwörter für das Jahr 2023 beweist leider das Gegenteil.
Bei eurem Weg durch das Internet benötigt ihr immer mehr Accounts und Zugangsdaten, die auf unterschiedlichen Websites zwingend notwendig sind. Sei es euer teurer Spiele-Account, der Zugang zu Streaming-Anbietern oder eure Logindaten für das Onlinebanking.
Ohne eure Passwörter habt ihr keinen Zugriff mehr auf eure Daten und die verschiedenen von euch genutzten Plattformen. Allerdings machen viele es Hackern leicht, die verwendeten Passwörter zu erraten, weil sie einfache Zahlenfolgen oder leicht zu erratene Wörter als Kennwort wählen. Hier erfahrt ihr, was die schlechtesten Passwörter im Jahr 2023 sind. Ist euer Lieblings-Passwort mit dabei?
Beliebte Passwörter werden sekundenschnell geknackt
Was sind die schwächsten Passwörter in diesem Jahr? Das Sicherheitsunternehmen Nord Security Inc. hat in Zusammenarbeit mit unabhängigen Forschern eine Liste der beliebtesten Passwörter erstellt. Diese werden seit 2019 jährlich auf nordpass.com veröffentlicht.
Die meisten Ergebnisse gelten weltweit, die Top 200 können aber auch nach Herkunftsland gefiltert werden. Hier die Top 10 der beliebtesten Passwörter in Deutschland.
| Rang | Passwort | Benötigte Zeit zum Knacken | Anzahl |
|---|---|---|---|
| 1 | admin | < 1 Sekunde | 18.997 |
| 2 | 123456 | < 1 Sekunde | 16.914 |
| 3 | zwieback | 2 Stunden | 9.039 |
| 4 | 12345678 | < 1 Sekunde | 5.860 |
| 5 | 123456789 | < 1 Sekunde | 5.515 |
| 6 | yxcvbnm | 6 Sekunden | 5.419 |
| 7 | password | < 1 Sekunde | 4.848 |
| 8 | scheisspasswort | 2 Monate | 3.011 |
| 9 | 12345 | < 1 Sekunde | 2.897 |
| 10 | niklas23 | 3 Stunden | 2.818 |
Sehr auffällig sind dabei Passwörter aus simplen Zahlenfolgen und einfachen Wörtern wie Passwort/Password. Solche Kennwörter werden in wenigen Sekunden oder sogar im Bruchteil einer Sekunde herausgefunden. Sobald ein Passwort komplexer wird, dauert die Entschlüsselung bedeutend länger. Wie schnell Passwörter geknackt werden können, zeigt dieser Bericht hier.
Wie ist diese Liste entstanden? Das US-Unternehmen und die externe Forschergruppe für Cybersicherheit griffen dafür auf riesige Datenbanken zurück. Deren Daten wurden ausgewertet und analysiert. Personenbezogene Daten sind laut eigener Aussage von Nord Security Inc. nicht übertragen worden.
Die gewonnenen Daten wurden als rein statistische Informationen erfasst. Dadurch ist eine Einzelauswertung pro Land und verwendeter Kategorie/Plattform möglich. Die Passwortlisten von 2019 bis 2022 stehen für Interessierte zusätzlich als PDF zum Download zur Verfügung.
Benutzen Gamer bessere Passwörter als die Allgemeinheit? Nein, das ist leider nicht der Fall. Auch in der Kategorie Gaming sind die Top 10 fast ausschließlich einfach gewählte Zahlenfolgen, die von Hackern schnell ermittelt werden können.
| Rang | Passwort | Anzahl |
|---|---|---|
| 1 | 12345678910 | 112.900 |
| 2 | 987654321 | 40.653 |
| 3 | 87654321 | 23.323 |
| 4 | qwertyuiop | 16.846 |
| 5 | 12345678901 | 16.663 |
| 6 | 11223344 | 14.852 |
| 7 | 111111111 | 12.832 |
| 8 | 1234567891 | 12.724 |
| 9 | 12345678900 | 12.305 |
| 10 | 123456789 | 12.247 |
Wie berechnet sich die Passwortstärke? Die Passwortstärke wurde von unabhängigen Forschern berechnet. Dazu haben sie die durchschnittliche Anzahl von Versuchen ausgewertet, die benötigt werden, um ein Passwort für eine bestimmte Plattform/Kategorie zu knacken. Die beste Bewertung erlangte hierbei ein zufällig generiertes Passwort mit 20 Zeichen.
Immerhin sind Gamer beim Vergleich mit anderen Kategorien nicht das Schlusslicht bei der durchschnittlichen Passwortstärke. Diese wurde mit dem Wert 7.5 angegeben. In anderen Kategorien wählten die User noch viel unsichere Kennwörter. Verwendete Passwörter auf Plattformen für Streaming-Dienste, Online-Shopping und die eigene E-Mail-Adresse sind noch schlechter bewertet.
Tipps für bessere Passwörter
Was kann ich tun, damit meine Kennwörter schwerer zu knacken sind? Hacker erbeuten Zugangsdaten dank fortschrittlicher Technik immer schneller und einfacher. Doch je sicherer ein Passwort gewählt wurde, umso schwieriger macht man Internet-Betrügern ihre Arbeit. Inzwischen gibt es auch eine KI, die euch beim Tippen eurer Passwörter zu hört.
Hier ein paar Tipps, um Hacker aus euren Accounts und Zugängen auszusperren:
- Passwörter möglichst komplex wählen: Je länger ein Passwort ist, umso mehr Zeit benötigt ein Hacker dies zu entschlüsseln. Noch besser ist eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
- Pro Zugang ein extra Passwort: Internet-User neigen dazu, ein bestimmtes Passwort für mehrere Websites gleichzeitig zu verwenden. Wenn ein Hacker an eure Daten gelangt, ist es für ihn ein Leichtes auch andere Zugänge von euch zu erbeuten, wenn Login-Name/E-Mail-Adresse und Kennwort völlig identisch sind. Macht euch daher die Mühe, euch jedes Mal ein neues Passwort auszudenken.
- Aktualisiert eure Passwörter regelmäßig: Auch wenn ihr inzwischen komplexere Passwörter verwenden solltet, habt ihr vielleicht ältere Kennwörter, die sehr einfach zu erraten sind. Bringt diese am besten zeitnah auf den neuesten Stand. Um noch sicherer im Netz unterwegs zu sein, ist es zusätzlich empfehlenswert, selbst komplexere Passwörter kontinuierlich zu prüfen.
- Verwendet hilfreiche Tools, Hacker tun es schließlich auch: Im Wettrüsten gegen Hacking-Tools, könnt ihr inzwischen auf Programme zurückgreifen, die euch das Passwort-Management einfacher machen oder gänzlich abnehmen. Mit einem sogenannten Passwort-Manager braucht ihr euch nur noch ein Master-Passwort zu merken. Aller anderen Kennwörter verwaltet der Manager für euch. Die meisten Tools bieten euch zudem die Funktion an, komplexe Passwörter auf Knopfdruck zu erstellen.
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Postillon wusste es schon vorher. Mb2.r5oHf-0t ist das sicherste Passwort.
Im Ernst: Passwort-Tresor und gib ihm.
Länge > Komplexität. “Meine Oma macht den besten Kuchen” ist sicherer als “Nimda321!”
Die wirklich wichtigen Seiten (Social Media, Bank, Krankenkasse etc. pp.) wo man persönliche Daten hinterlegt hat, sollten auch sichere Passwörter haben.
Alle anderen Seiten können auch unsichere Passwörter haben. Würde mich z.B. jetzt nicht sonderlich ärgern wenn jemand mein Passwort hier findet. Dann kannste halt in meinem Namen posten. Glückwunsch.
Selbst mit Nimda321 kommt man doch bei keiner auch nur halbwegs seriösen Seite rein selbst wenn man 100 Jahre hat …
Würde helfen wenn Firmen nicht Emailaddresse als Namen vorgeben würden
und bei mehrere Fehllogins Lockdowns machen. Damit wäre Brute Force tot. In der allersimpelsten Variante pro faillogin +x sec Timeout. Das würde 2 Faktor weitgehend erübrigen, sowie ultralange nicht merkbare Passwörter..
Es wird auf die Kunden geschoben, ist aber eigentlich Inkompetenz und Faulheit der Anbieter.
Was auch hilft, wenn ein Zugriff von weit außerhalb der sonst recht änlichen IP Adresse erfolgt, dass man dem Besitzer einen Code per Mail schickt und auf diese Eingabe wartet. Das ist zwar nicht die Beste Variante weil Code per 2 Faktor besser wäre aber mittlerweile nutzen schon einige Seiten zumindest die Codeabfrage per Mail. Steam oder EA Play haben ja sowas z.b. Damit wäre Brutforce auch sehr stark eingeschränkt und ist simpel einzubauen.
Die meisten kompromittierten Accounts entstehen auch nicht durch ein gehacktes / geknacktes PW, sondern durch Phishing pder eine Variante davon. Oder das es irgendwo einen Security leak gab und die Leute ein PW für alles haben. Zumindest da hilft ein 2fa.
Am besten einfach Passkey / Security Key verwenden. Kann nicht gephisht werden, kann nicht geknackt werden. Höchstens geklaut.
Finde ich prinzipiell schwierig und würde sagen, es kommt stark darauf an wofür oder wie die Accounts genutzt werden.
Angenommen du musst unbedingt auf einen Account zugreifen und es geht dabei potenziell um eine wesentliche Summe Geld und ich möchte dich nur davon abhalten das wahrnehmen zu können. Ist mir egal ob ich in deinen Account reinkomme, wenn ich einfach nur random Login Versuche spamme kommst du auch nicht mehr rein – Ziel erfüllt und du wirst den Timeout vermutlich hassen.
deshalb +x sec das wird bei jedem versuch länger
Das ändert aber auch nichts daran, dass man den Account vollständig locken kann.
Ah ok hatte deinen Beitrag falsch gelesen.
Das ist richtig, das ist der Nachteil an der Lösung, der Account kann damit gelockt werden. Dazu bräuchte es Lösungen. Man könnte zb nur die IP Nummer locken, oder den IP Bereich (Land), oder und man macht eine alternative Freischaltmöglichkeit, SuperPin/…
Auf der anderen Seite muss man natürlich auch erstmal den Loginnamen herausbekommen, der halt in meinem Fall nicht die Emailadresse ist.
“niklas23” auf Platz 10
das überrascht mich 🙂
sind soviele Niklasse 2000 geboren?
Mein Vorschlag wäre ja, dass die Webseiten eine Änderung einführen, das man mindestens 12 Zeichen eingeben muss mit Groß/Kleinschreibung + 1-2 Sonderzeichen, dann werden alle Benutzer gezwungen es so zu machen und innerhalb weniger Tage, wären ein Großteil aller Konten wieder sicher. Darauf zu warten das die Benutzer das selbst in die Hand nehmen wird nicht funktionieren, weil die meisten immer den weg des geringsten Widerstands gehen und denken, dass sich da schon niemand bei ihnen einloggt, bis Tag X kommt.
Gerade bei sowas, sollte man die Leute zu ihrer Sicherheit dazu zwingen denn so eine Änderung zu implementieren, dauert für die Webseiten Betreiber keine 5Min und damit ist allen geholfen. Leider gibt es noch immer Webseiten die im Passwort keine Zahlen erlauben bzw. Sonderzeichen, da fragt man sich natürlich, ob man im richtigen Jahrhundert lebt.
Solang die Nutzer allerdings nicht bewusst von sich aus sichere Passwörter vergeben wollen bringt das auch nichts, dann werden sie einfach weiterhin ihr “unsicheresPasswort123!” vergeben um ja irgendwie ihr unsicheres Passwort auf die erzwungenen Vorgaben anzupassen, wodurch es auch höchstens minimal und keineswegs ausreichend sicherer wird.
Es gibt aber genügend Webseiten, die bei der Passworteingabe eben genau darauf aufmerksam machen und sagen das es unsicher ist oder so eine einfache Aneinanderreihung 2 Wörter nicht zulassen. Immerhin es gibt wenigstens immer mehr Seiten die eine Skala anzeigen, wie Sicher ein PW ist, seis in Form eines farbigen Balkens oder eben mit einem Hinweis wie “schwaches PW” und genau das sollte Standard für die Seitenbetreiber werden.
Es gibt einfach noch zu viele Menschen die noch glauben, dass wenn sie ein PW aus 2-3 kurzen einfachen Wörtern zusammenbauen, es sicher sein muss weil es 12-14 Zeichen hat und wenn die Webseite da keine Checkabfrage einbaut, bleiben diese im Irrtum denn nur die wenigstens gehen her und lassen das PW mal checken. Man kann es sich zwar einfach machen und sagen, Pech gehabt, sollte jeder User selbst machen dann ist das zu kurz gedacht, gerade weil so eine Abfrage in 5min eingebaut ist die nicht mal kurz programmiert werden muss weil es dafür genug Vorlagen gibt.
Im Gegenteil lange und Komplizierte Passwörter muss man sich aufschreiben … Jede seriöse Seite hat einen Cooldown wenn man das Passwort zu oft falsch eingibt das reicht.
Wenn wir schon dabei sind, wann bietet ihr Login per Security Key oder Passkey an? 😀
Kann man heute überhaupt noch Passwörter erstellen die nicht
Zahlen + Buchstaben (Groß und Klein) sowie mittlerweile auch noch sonderzeichen
beinhalten?
Leider häufiger als man gerne denken würde.
Ebenso gibt es nach wie vor leider viel zu häufig zu starke Beschränkungen bezüglich der maximalen Passwortlänge.