Gefährlich oft gewählt

Die 10 meistgenutzten Passwörter der Welt im Jahr 2025

Ein aktueller Bericht zeigt: Auch im Jahr 2025 greifen Millionen Nutzer:innen weiterhin zu denkbar schwachen Passwörtern. An der Spitze der beliebtesten Passwörter weltweit steht erneut "123456". Die Folgen reichen von Datenklau bis zu großflächigen Sicherheitslücken in Unternehmen. Der Report legt offen, wie unbelehrbar viele User:innen trotz besserer Alternativen agieren – und welche dramatischen Auswirkungen das für digitale Infrastrukturen haben kann.

Zahlenkombination bleibt Sicherheitsrisiko

Die Rangliste basiert auf einer Auswertung von zwei Milliarden geleakten Zugangsdaten, die im Dark Web analysiert wurden. Allein "123456" schützte über 7,6 Millionen kompromittierte Konten weltweit. Auf den weiteren Plätzen folgen Passwörter wie:

Die zehn am häufigsten verwendeten Passwörter 2025:

1. 123456

2. admin

3. password

4. 123123

5. 111111

6. qwerty

7. welcome

8. 123456789

9. iloveyou

10. 000000

Diese simplen Kombinationen lassen sich von automatisierten Hacker-Tools in Sekunden knacken.

Auffällig: Rund ein Viertel der 1.000 häufigsten Passwörter besteht ausschließlich aus Zahlen. Fast 40 Prozent enthalten die Ziffernfolge "123", kombiniert mit Namen, Alltagsbegriffen oder Tastaturmustern. Beispiele wie "India@123", "admin123" oder "minecraft" wirken komplexer, bieten aber kaum mehr Schutz. Die trügerische Sicherheit solcher Passwörter ist ein gefährlicher Irrglaube.

Die meisten dieser schwachen Kennwörter stammen von Plattformen, die keine Mindestanforderungen bei der Passwortvergabe stellen. Dort reicht oft ein sechsstelliger Code ohne Sonderzeichen. In der Praxis nutzen viele User:innen zudem dasselbe Passwort für mehrere Accounts – ein zusätzliches Einfallstor für Cyberkriminelle.

Warum ist "123456" so beliebt trotz aller Warnungen?

Das Problem liegt weniger in fehlendem Wissen als in Bequemlichkeit und Nachlässigkeit vieler Nutzer:innen. "123456" ist leicht zu merken, aber auch leicht zu knacken. Durch sogenannte Credential-Stuffing-Angriffe nutzen Cyberkriminelle geleakte Daten aus vorherigen Lecks, um automatisiert Zugriff auf weitere Konten zu erlangen. Besonders gefährlich ist dieses Vorgehen im Unternehmensumfeld, wenn Mitarbeitende ihre beruflichen Zugänge mit privaten Passwörtern absichern.

Trotz Zwei-Faktor-Authentifizierung und Passwortmanager nutzen Millionen weiterhin zu einfache Kombinationen – oft mehrfach. Der menschliche Faktor bleibt damit eine der größten Schwachstellen in der IT-Sicherheit.

Viele Unternehmen versuchen inzwischen, ihre Belegschaft durch Schulungen zu sensibilisieren. Doch selbst verpflichtende Sicherheitsunterweisungen führen selten zu einer nachhaltigen Verhaltensänderung. Die psychologische Hürde, komplexe Passwörter regelmäßig zu wechseln, bleibt hoch – insbesondere, wenn kein Passwortmanager verwendet wird.

Welche Lösungen gibt es gegen unsichere Passwörter?

Die wichtigste Maßnahme bleibt die Wahl starker, individueller Passwörter für jeden Dienst. Experten empfehlen mindestens 12 Zeichen mit Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben. Alternativ können auch sogenannte Passphrasen verwendet werden – also ganze Sätze oder Wortkombinationen, die schwer zu erraten, aber leicht zu merken sind.

Merkmale eines sicheren Passworts:

• Mindestens 12 Zeichen

• Kombination aus Groß- und Kleinbuchstaben

• Sonderzeichen wie !, %, #, $

• Keine persönlichen Daten (Name, Geburtsdatum etc.)

• Kein Wiederverwenden von Passwörtern auf mehreren Seiten

Noch einfacher: Passwortmanager nutzen, die sichere Kombinationen erstellen und speichern. Diese Tools reduzieren nicht nur das Risiko, sondern erhöhen auch den Komfort im digitalen Alltag.

Zusätzlich wird Zwei-Faktor-Authentifizierung (2FA) als Standard empfohlen. Sie ergänzt die klassische Passwortabfrage durch einen zweiten Sicherheitsfaktor – etwa per App, SMS oder physischem Token. Dienste wie haveibeenpwned.com zeigen, ob eigene Passwörter bereits in Datenlecks aufgetaucht sind. Wer betroffen ist, sollte umgehend handeln.

IT-Sicherheitsbehörden und Unternehmen fordern zudem klare gesetzliche Mindeststandards für digitale Plattformen, insbesondere was Passwortsicherheit und Datenverschlüsselung betrifft. In einigen Ländern sind bereits Regelungen in Kraft, die schwache Passwörter automatisch ablehnen oder bei verdächtigem Verhalten sofortige Sperren auslösen.