Steven LafortuneDie Ausgabe 2025 des NordPass-Berichts „Die 200 häufigsten Passwörter" ist jetzt verfügbar. Schwache, vorhersehbare Passwörter sind weiterhin weit verbreitet. Zudem tauchen immer wieder dieselben bekannten Muster auf.
Über den Bericht
Der diesjährige Bericht basiert auf einer gemeinsamen Studie von NordPass und NordStellar, die in Zusammenarbeit mit unabhängigen Cybersicherheitsexperten erstellt wurde. Analysiert wurden aktuelle Datenschutzverletzungen und Darknet-Archive aus dem Zeitraum von September 2024 bis September 2025. Anschließend wurden die Ergebnisse aus 44 Ländern zusammengetragen. Erstmals wurden auch die Passwortgewohnheiten nach Generationen untersucht, indem verfügbare Metadaten genutzt wurden, um Passwörter Altersgruppen zuzuordnen.
Die Top 10
„123456" führt erneut die globale Liste der häufigsten Passwörter an. Es hat in sechs der letzten sieben Jahre diese zweifelhafte Auszeichnung erhalten. Die weiteren Top 10 sind:
- admin
- 12345678
- 123456789
- 12345
- password
- Aa123455
- 1234567890
- pass@123
- admin123
Die immer wiederkehrenden Muster
Man benötigt kein Analyseteam, um bestimmte Muster und Themen zu erkennen:
- Hochzählen: 12345, 123456, 12345678, 1234567890
- Häufige Wörter und Variationen: „password", „pass"
- Namen und Zahlen: Kombinationen im Stil von „Vorname + 123"
- „Vorgetäuschte Komplexität": Buchstaben werden auf vorhersehbare Weise durch Symbole ersetzt (z. B. „P@ssw0rd")
Schwache Passwörter sind zeitlos
Eine der interessantesten Erkenntnisse des Berichts ist die große Ähnlichkeit der Passwortwahl über alle Altersgruppen hinweg. Die Forscher stellten fest, dass schwache Passwörter in allen Generationen weit verbreitet sind und dass „12345" und „123456" in jeder Gruppe an der Spitze stehen oder nahe davon erscheinen.
Vor diesem Hintergrund ist ein Blick auf die Generationsunterschiede aufschlussreich, denn er gibt einen Hinweis darauf, warum schwache Passwörter weiterhin verbreitet sind:
- Die Generation Z greift für Passwörter am ehesten auf Popkultur und Online-Slang zu (z. B. „skibidi").
- Millennials und Generation X sind zwar nicht ganz so locker wie die Generation Z, sie bevorzugen aber dennoch vorhersehbare Strukturen und versuchen oft, Passwortregeln mit minimalem Aufwand zu erfüllen (z. B. „Aa123455" oder „pass@123").
- Die Babyboomer und ältere Nutzer greifen eher auf vertraute Wörter, Namen oder einfache Zahlenfolgen zurück. Dies könnte darauf hindeuten, dass ihnen Komfort und Einprägsamkeit wichtiger sind als Komplexität.
Die wichtigste Erkenntnis ist nicht, dass eine Generation bei der Wahl und den Gewohnheiten bezüglich Passwörtern „schlechter" ist als eine andere. Vielmehr hat jede Generation ihre eigene Variante derselben Bewältigungsstrategie: Im Allgemeinen wählen Menschen das, was sie sich merken können, und sie wählen es auf eine Weise, die leicht zu erraten ist.
Dieser Ansatz hält modernen Rateangriffen nicht stand – insbesondere, wenn Angreifer schnell große Mengen wahrscheinlicher Passwörter ausprobieren und das, was funktioniert, anschließend durch Credential Stuffing auf anderen Websites wiederverwenden können.
Der Weg nach vorn
Wie viele IT-Experten aus umfangreicher (und leidvoller) Erfahrung wissen, wird eine Lösung dieses weit verbreiteten Problems scheitern, wenn sie darauf beruht, dass Endnutzer ihre Passwortgewohnheiten schnell und drastisch verbessern. Endnutzer waren, sind und bleiben das schwächste Glied in der Sicherheitskette und Passwörter sind nach wie vor der anfälligste Vektor auf der Angriffsfläche. Darauf zu hoffen, dass sich dies ändert, ist keine bewährte Vorgehensweise - es ist Wunschdenken.
Daher sollte der Fokus auf Strategien und Instrumenten liegen, die die schlimmsten Entscheidungen verhindern, gute Entscheidungen und Gewohnheiten so einfach wie möglich machen und den Schaden begrenzen, wenn Angreifer unweigerlich durchschlüpfen.
Hier sind sechs Strategien, um die Lücke zu schließen und das Risiko zu verringern:
1. Sichere Anmeldedaten von vornherein einfach gestalten
Erlauben Sie lange Passwörter und Passphrasen und vermeiden Sie starre Komplexitätsregeln, die Nutzer zu vorhersehbaren Mustern (wie „pass@123" oder „Aa123455") verleiten. Ergänzen Sie dies mit klaren Hinweisen wie „Verwenden Sie einen kurzen, einprägsamen Satz", um stärkere Passwörter zu fördern und Frustration zu vermeiden.
2. Bekannte unsichere Passwörter blockieren, bevor sie vergeben werden
Fügen Sie Kontrollen für verbotene Passwörter hinzu, die die gängigsten und kompromittierten Passwörter einschließlich ihrer Variationen ablehnen. Dadurch werden Passwörter wie „123456" und „admin123" verhindert und Nutzer davon abgehalten, Passwörter zu wählen, die Angreifer ohnehin schon erraten haben.
3. Einzigartige Passwörter erzwingen und die Wiederverwendung mit einem Passwortmanager reduzieren
Machen Sie einzigartige Passwörter zur Pflicht und unterstützen Sie dies mit einem Passwort-Manager, damit sich Nutzer nicht Dutzende von Anmeldedaten merken müssen. Dies ist eine der effektivsten Methoden, um Credential Stuffing zu unterbinden.
4. Multi-Faktor-Authentifizierung (MFA) einrichten
Wenn eine flächendeckende Implementierung von MFA derzeit ein zu großes Projekt darstellt, sollten Sie administrative Konten, Finanzsysteme, HR-Plattformen und Remote-Zugriffe priorisieren. Typischerweise sind dies die Konten, die Angreifer am häufigsten attackieren, um maximalen Schaden zu verursachen.
5. Sicherheitslücken schnell erkennen und beheben
Ersetzen Sie bekannte schwache oder wiederverwendete Anmeldedaten umgehend - insbesondere für privilegierte und wichtige Konten (siehe Punkt 4). Kombinieren Sie dies mit der Überwachung kompromittierter Anmeldedaten und lassen Sie sich benachrichtigen, wenn ein wiederverwendetes Passwort in geleakten Daten auftaucht, damit diese zurückgesetzt werden können, bevor Angreifer sie ausnutzen.
6. Passwörter allmählich durch Phishing-resistente Anmeldungen ersetzen
Wo es sinnvoll ist, sollten Sie auf Passkeys umsteigen. Dadurch entfällt die Möglichkeit der Wiederverwendung von Geheimnissen und es wird Angreifern deutlich schwerer gemacht, etwas zu stehlen, das sie anderweitig verwenden können.
Ein abschließendes Wort
Die neueste Liste der häufigsten Passwörter von NordPass ist nicht beunruhigend, weil sie überraschend ist. Sie ist alarmierend, weil sie so vertraut wirkt.
Wenn Unternehmen sich darauf konzentrieren, Reibungsverluste zu beseitigen, die richtigen Kontrollmechanismen zu standardisieren und Schutzmaßnahmen wie MFA und Passkeys einzuführen, hören sie auf, auf perfektes Nutzerverhalten zu setzen und beginnen, echte Widerstandskraft zu entwickeln.
David Hervieux