Hasso-Plattner-Institut: Top 20 der deutschen Passwörter 2019

Bild von ChrisL
ChrisL 190827 EXP - Unendliches Abo,R10,S10,C10,A10,J10
Alter Haudegen: Ist seit mindestens 10 Jahren bei GG.de registriertNews-Redaktion: Hat von der Redaktion weitere Rechte für das News-Redigieren erhaltenPro-Gamer: Hat den ultimativen GamersGlobal-Rang 30 erreichtGG-Gründungsfan: Hat in 2009 einmalig 25 Euro gespendetExtrem-Schreiber: Hat mindestens 1000 News geschriebenDieser User hat am GamersGlobal Grillfest 2019 teilgenommenDieser User hat an der Weihnachtsfeier 2016 teilgenommenTop-News-Meister: Hat mindestens 500 Top-News geschriebenPlatin-Gamer: Hat den sehr hohen GamersGlobal-Rang 25 erreichtAlter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertGold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreicht

18. Dezember 2019 - 16:14
Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer: Hilf auch du mit!

Symboldbild: Darwin Laganzon auf Pixabay.

Jeder von uns nutzt regelmäßig (zahlreiche) verschiedene Online-Dienste, angefangen bei E-Mail-Accounts über das GamersGlobal-Konto bis hin zu Anbietern wie PayPal, um nur einige sehr wenige Beispiele zu nennen. In Bezug auf das Hobby des Spielens an Konsole oder PC kommen Zugangsdaten für diverse Verkaufsplattformen (und deren Clients) wie zum Beispiel Steam, GOG.com oder auch das PlayStation Netzwerk und der Epic Games Store hinzu – die Liste ließe sich noch lange fortsetzen.

Immer wieder berichten wir darüber, dass Online-Services angegriffen und in der Folge Kundendaten entwendet beziehungsweise veröffentlicht worden sind. Das Hasso-Plattner-Institut – ein privat finanziertes IT-Institut – hat auch in diesem Jahr erneut zahlreiche Leaks ausgewertet, wodurch eine Liste mit den 20 am häufigsten in Deutschland im Jahr 2019 genutzten Kennwörtern erstellt werden konnte. Als Basis dienten circa 67 Millionen Zugangsdaten, die auf E-Mail-Adressen mit .de-Domäne registriert sind.

Top 20 der deutschen Passwörter im Jahr 2019 (Quelle: HPI)
Platz 1 123456 (2018 auf Platz 1) Platz 11 dragon
Platz 2 123456789 (2018 auf Platz 3) Platz 12 iloveyou
Platz 3 12345678 (2018 auf Platz 5) Platz 13 password1
Platz 4 1234567 Platz 14 monkey
Platz 5 password Platz 15 qwertz123
Platz 6 111111 Platz 16 target123
Platz 7 1234567890 Platz 17 tinkle
Platz 8 123123 Platz 18 qwertz
Platz 9 000000 Platz 19 1q2w3e4r
Platz 10 abc123 Platz 20 222222

Die Abermillionen Zugangsdaten stammen aus dem sogenannten Identity Leak Checker des Hasso-Plattner-Instituts, in den in den vergangenen knapp zwölf Monaten 178 Datenlecks eingetragen und von denen wiederum 96 von den jeweiligen Anbietern bestätigt wurden. Habt ihr den Verdacht, dass euch Daten gestohlen wurden, könnt ihr mit dem Tool prüfen, ob eure Daten im Netz im Umlauf sind (eigenen Angaben zufolge ist „der Abgleich mit mehr als 10 Milliarden gestohlener und im Internet frei verfügbarer Identitätsdaten“ möglich).

Neben dem Hinweis, dass heutzutage „jeder eine Passwortstrategie oder einen Passwortmanager [benötigt]“ gibt das IT-Institut wie üblich Tipps für gute Passwörter, die wir euch aufgrund der Wichtigkeit der Thematik abschließend im Wortlaut auflisten:

  • Lange Passwörter (mehr als 15 Zeichen).
  • Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen).
  • Keine Wörter aus dem Wörterbuch.
  • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten.
  • Verwendung von Passwortmanagern.
  • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen.
  • Zwei-Faktor-Authentifizierung aktivieren, wenn möglich.
Cyd 19 Megatalent - - 17479 - 18. Dezember 2019 - 16:27 #

ähm... wieso werden hier meine Passwörter geleakt???

euph 28 Endgamer - P - 105175 - 18. Dezember 2019 - 16:33 #

Finde ich auch eine Frechheit!

SupArai 23 Langzeituser - P - 40139 - 19. Dezember 2019 - 1:20 #

Hahahahaha! :-) Sehr gut!

Labrador Nelson 30 Pro-Gamer - - 197595 - 18. Dezember 2019 - 16:28 #

*Kopfschüttel^^

thhko 16 Übertalent - P - 4528 - 18. Dezember 2019 - 16:38 #

Naja, das Passwort ist bei mir halt umso "sicherer", je wichtiger der Dienst ist... das für den Mailzugang sollte da höchste Priorität haben und am besten mit 2FA abgesichert sein.
Das beste Passwort nutzt letztendlich nichts, wenn die beim Diensteanbieter millionenfach durch eine Sicherheitslücke kopiert werden (und da am besten dann unverschlüsselt oder nur durch unzureichenden Hash gesichert rumliegen). Ich denke nicht, dass die meisten Accounts durch massenhaftes durchprobieren geknackt werden, eher durch Lücken beim Diensteanbieter oder Phishing, da nutzt dann auch das beste Passwort alleine nichts.
https://xkcd.com/936/

paschiang 28 Endgamer - - 146864 - 18. Dezember 2019 - 16:39 #

Mein besonderer "Dank" gilt Yahoo für seine beiden Riesenlecks.

Admiral Anger 26 Spiele-Kenner - P - 74082 - 18. Dezember 2019 - 21:13 #

Der Comic macht mich immer wieder fertig. Seit Monaten taucht in meinem Kopf regelmäßig "correct horse battery staple" auf. (Zuletzt durch den ALT-Text getriggert... ಠ_ಠ https://xkcd.com/2241/)

invincible warrior 14 Komm-Experte - 2180 - 19. Dezember 2019 - 3:27 #

WRONG!
https://www.pentestpartners.com/security-blog/correcthorsebatterystaple-isnt-a-good-password-heres-why/

Jonas S. 20 Gold-Gamer - P - 22246 - 18. Dezember 2019 - 16:38 #

Nee, der Witz ist nicht jugendfrei.^^

euph 28 Endgamer - P - 105175 - 18. Dezember 2019 - 16:40 #

Klassiker :-)

Noodles 24 Trolljäger - P - 64636 - 18. Dezember 2019 - 16:41 #

Hier gibts doch eh keine Jugend. ;)

euph 28 Endgamer - P - 105175 - 18. Dezember 2019 - 16:51 #

Genau und wenn doch: die Wörter, die da zu lesen waren, kann die Jugend heute auch nicht mehr schrecken.

paschiang 28 Endgamer - - 146864 - 18. Dezember 2019 - 16:38 #

Alle Jahre wieder...
Ich wundere mich eigentlich nur, daß bei den häufigsten in Deutschland genutzten Passwörtern kein einziges deutsches Wort dabei sein soll.

Necromanus 19 Megatalent - - 14205 - 18. Dezember 2019 - 16:53 #

wundert mich eigentlich nicht weiter. Ich war eher über das fast schon kreative Passwort nr 19 erstaunt.

Altior 15 Kenner - - 3849 - 18. Dezember 2019 - 19:54 #

Für was steht denn das? Für mich eine zufällige Anreihung?

paschiang 28 Endgamer - - 146864 - 18. Dezember 2019 - 20:01 #

Schau mal auf deine Tastatur, welcher Buchstabe sich unter 1, 2 usw. befindet ;-)

Altior 15 Kenner - - 3849 - 22. Dezember 2019 - 10:16 #

Verstehe, Danke für den Tip!

johnchrono 08 Versteher - 170 - 18. Dezember 2019 - 17:19 #

Wie unsicher wäre das denn bitte? :D

timeagent 19 Megatalent - - 15231 - 18. Dezember 2019 - 16:49 #

Mein Passwort ist nur auf Platz 10. Allerdings tippe ich die Zahlen über den Ziffernblock ein... ich kleiner Schlingel.

Maverick 30 Pro-Gamer - - 611758 - 18. Dezember 2019 - 16:59 #

123456 hat die Spitzenposition erfolgreich verteidigt, ein echter Dauerbrenner. ^^

Admiral Anger 26 Spiele-Kenner - P - 74082 - 18. Dezember 2019 - 21:08 #

ServusIbims1Password! :)

Jamison Wolf 18 Doppel-Voter - P - 12027 - 18. Dezember 2019 - 17:02 #

Witzig, das Passwort "1q2w3e4r" hab ich auch mal bei einem Wegwerf-Account benutzt vor gefühlt 100 Jahren .. wobei könnte auch noch ein "5t" mit dran gewesen sein... obwohl, hmm, damals war ja oft PW's auf 8 Zeichen begrenzt.

Ansonsten prangere ich natürlich an, das die "geleakten" Passwörter hier so rumstehen. Schlimm!

worobl 16 Übertalent - P - 5375 - 18. Dezember 2019 - 17:05 #

Wieso ist "dragon" & "tinkle" so häufig?

Baumkuchen 17 Shapeshifter - 8862 - 18. Dezember 2019 - 21:13 #

Also tinkle erschließt sich mir nicht, aber als ich damals im Informatikunterricht irgendwann die erste E-Mail einrichten müsste, könnte das andere vielleicht auch meines gewesen sein. Zu der Zeit war Dragon Ball beliebt bei mir ;-)

blobblond 20 Gold-Gamer - P - 23259 - 18. Dezember 2019 - 18:52 #

Zum Glück ist mein Passwort: "Pr0nPro" nicht dabei!;P

Cat Toaster 11 Forenversteher - P - 652 - 18. Dezember 2019 - 18:53 #

Verstehe nicht wieso "ficken" raus ist. 2018 noch auf Platz4. An mir liegt´s nicht.

Restrictor81 18 Doppel-Voter - P - 12276 - 18. Dezember 2019 - 19:55 #

Schade, ich glaube das letzt Mal war "Schalke04" noch unter den Top 20.

Francis 17 Shapeshifter - P - 7306 - 18. Dezember 2019 - 20:10 #

Schade, wieder nichts gewonnen ;)

TheRaffer 21 Motivator - - 29264 - 18. Dezember 2019 - 20:19 #

So, mal eben alle Passwörter geändert. Gerade noch rechtzeitig...

Faerwynn 19 Megatalent - - 14275 - 18. Dezember 2019 - 20:45 #

Die Tips sind aber veraltet. Sonderzeichen und Zahlen als Erweiterung des Ergebnisraums stammen noch aus der Zeit als Passwörter unter Unix auf 8 Zeichen beschränkt waren.

Jeder, der ein wenig grundlegende Mathematik beherrscht, sieht schnell, dass ein weiteres Zeichen in der Länge (ab einer gewissen Grundlänge) den Raum stärker erweitert als ein weiteres Zeichen im Grundvorrat der benutzten Zeichen.

Besser einen ganzen Satz in Kleinschreibung als 8 Zeichen mit Zahlen und Sonderzeichen.

Ganon 24 Trolljäger - P - 64220 - 19. Dezember 2019 - 12:09 #

Trotzdem erfordern viele Seiten, bei denen man sich registrieren kann, Ein Passwort mit Groß- und Kleinschreibung, mindestens einer Zahl und/oder einem Sonderzeichen. Heraus kommt dann irgendein Kram, den man sich nicht merken kann und der trotzdem für Profis leicht zu knacken ist...

Extrapanzer 17 Shapeshifter - P - 6777 - 18. Dezember 2019 - 21:49 #

Komisch, dass solche primitiven Kennworte nicht abgewiesen werden. Wobei der Zwang zur Komplexität (statt Länge) auch seine Schattenseiten hat. Manche dieser Regeln sind so streng, dass der aufgespannte mehrdimensionale Raum wieder schön klein wird.

Inso 17 Shapeshifter - P - 8426 - 18. Dezember 2019 - 21:53 #

Wer jetzt in´s Grüßeln kommt: KeePass2 (Freeware) ist sowohl für Win als auch Android (und ich meine auch die anderen Plattformen) erhältlich. Mit der größte Vorteil für mich ist der komplette Verzicht auf die Cloud, es funktioniert offline ohne irgendwelche Einschränkungen. Klar, man muss den Container selbst sichern bzw zwischen PC, Handy usw synchron halten. Aber dafür liegen die Daten halt nicht irgendwo im Netz.
Man sichert da den Container den man sich anlegt mit einem ordentlichen Passwort (ich empfehle 32 Zeichen für AES 256), und da drin legt man dann für die einzelnen Logins kryptische Passwörter an und kopiert die sich nur noch mit nem Doppelklick raus. Er legt auch selber PW an wenn man mag, zeigt die Stärke, man kann Loginnamen, Notizen usw dazu speichern.

Unregistrierbar 18 Doppel-Voter - 9825 - 18. Dezember 2019 - 22:56 #

Platz 19 ist sooo schlecht nicht.

Jac 18 Doppel-Voter - P - 12866 - 20. Dezember 2019 - 15:11 #

Dachte ich auch gerade, aber jetzt ist er nicht mehr zu gebrauchen ;)

Larnak 22 AAA-Gamer - P - 33503 - 18. Dezember 2019 - 22:59 #

Gibt es dabei eigentlich Bemühungen herauszufinden, wie viele dieser Accounts mit Schrottpasswörtern von vornherein als Wegwerfaccounts gedacht waren?

Es ist ja schön, dass uns diese Auswertung Gelegenheit gibt, uns hier als gebildete IT-Profis zu fühlen, die überlegen den Kopf schütteln können gegenüber dem anscheinend immer noch weit verbreiteten DAU. Mir kommt es aber manchmal so vor, als wäre das der einzige Grund, warum diese News sich alljährlich verbreiten, während wir dabei möglicherweise zumindest zu einem erheblichen Teil einem Irrtum aufsitzen.

invincible warrior 14 Komm-Experte - 2180 - 19. Dezember 2019 - 3:49 #

Ja, geht mir genauso! Die Passwörter sind alle nur aus Hacks, also so großartigen Betreibern wie Yahoo, die es gleich zweimal in kurzer Zeit geschafft hatten, gehackt zu werden. Natürlich ist Yahoo auch oft als Hauptmail benutzt worden, aber da ich damals auch nen US Dienst brauchte, hatte ich ne Spammail bei denen angelegt, da war mir das Passwort herzlich egal. Und auch andere Services, wo die Hacks recht bekannt wurden, zB die "Partner"vermittlung AshleyMadison schreit doch danach erstmal nur nen Testaccount zu erstellen um zu gucken, wie das überhaupt ist. Normalerweise kann man sowas ja noch ändern, wenn man ernsthaft interessiert ist. Und das sich dann solche Passwörter eben häufen bei Spamaccounts, ist doch vollkommen normal.
btw: Welche normale Seite lässt überhaupt noch solche Passwörter zu? Alle Seiten, die ich kenne wollen doch mindestens 2 Nummern, ein Sonderzeichen und manche sogar blocken Passwörter in einer Reihe - besonders die dummen Webseiten, wo ich definitiv nur nen Wegwerfaccount erstellen will.

Imo sind da normale Passwörter wie dragon oder so viel interessanter.

Q-Bert 21 Motivator - - 27392 - 19. Dezember 2019 - 6:25 #

Genau das.

Der Daten stammt vorwiegend von yahoo, hotmail, gmail und mail.ru. Und das "häufigste" Passwort 123456 kommt auf 0,8%, die gesamte Top10 der Passworte zusammen auf gerade mal 2% aller verwendeten Passworte. Da kann man mit ziemlicher Sicherheit davon ausgehen, dass da sehr viele Einmal-Wegwerf-Accounts dabei sind.

misc 18 Doppel-Voter - 9856 - 18. Dezember 2019 - 23:00 #

Und der wichtigste Tip: für jeden Account ein eigenes Passwort. Wer es noch sicherer haben will, hat auch für jeden Account eine eigene Emailadresse. Dann weiß man auch zuverlässig, wem man seinen Spam zu verdanken hat.

Inso 17 Shapeshifter - P - 8426 - 19. Dezember 2019 - 5:19 #

Optional hilft es auch oft, die gleiche Mailadresse an verschiedenen Stellen anders groß- und kleinzuschreiben. Meist werde die einfach 1:1 übernommen, und man sieht anhand dessen wem man den Spam verdankt..

Larnak 22 AAA-Gamer - P - 33503 - 19. Dezember 2019 - 19:05 #

Ernsthaft? Wow :D
Hätte ich nie vermutet, dass das funktioniert.

Berthold 21 Motivator - - 25870 - 19. Dezember 2019 - 7:30 #

Mein Passwort ist *********** :-)

Inso 17 Shapeshifter - P - 8426 - 19. Dezember 2019 - 8:35 #

Soso, elf Zeichen, das ist doch schon mal nen guter Ansatzpunkt :D

Sgt. Nukem 16 Übertalent - P - 4732 - 19. Dezember 2019 - 17:36 #

Also 'target', 'tinkle' und 'dragon' wundern mich jetzt etwas... oO

Ganon 24 Trolljäger - P - 64220 - 20. Dezember 2019 - 9:38 #

Und "monkey" nicht? :-)

Danywilde 24 Trolljäger - - 113089 - 19. Dezember 2019 - 18:57 #

Ich verwende einen offline Passwortmanager und für jeden Account ein zufallsgeneriertes Passwort. Die wichtigen Passworte ändere ich regelmäßig. Da wo es geht, benutze ich 2FA.

Damit fühle ich mich relativ sicher.

Jac 18 Doppel-Voter - P - 12866 - 23. Dezember 2019 - 13:49 #

Da bist Du auf jeden Fall sehr gut aufgestellt. Viel mehr kann man nicht machen.