Die Lösung des Passwortproblems ist so einfach wie 123456

Das weltweit am häufigsten verwendete Passwort ist genau das, was man erwartet: „123456“. Das zeigt der aktuelle Jahresbericht von NordPass zu Passwörtern, die weltweit bei Datenlecks offengelegt wurden. Auch andere vorhersehbare Klassiker wie „123456789“, „12345678“, „12345“ oder „admin“ tauchen seit Jahren zuverlässig in den Toplisten auf.

Mein erster Impuls war, das Ganze als typisches Aufregerthema abzutun. Schlechte Passwortgewohnheiten waren allerdings auch Teil einer Diskussionsrunde, die ich kürzlich auf der RSAC Conference moderiert habe: Let's Rant: 4 Things That Need to Change in Cybersecurity. Passend zum World Password Day (7.5.2026) wollte ich den Selbstversuch wagen: Gibt es tatsächlich noch größere Plattformen, auf denen sich ein Konto mit „123456“ als Passwort anlegen lässt? Die Antwort lautet leider: ja.

Dienste wie Evite akzeptieren diese exakte sechsstellige Zahlenfolge weiterhin. Das mag auf den ersten Blick harmlos wirken, schließlich handelt es sich „nur“ um einen Einladungsdienst. Tatsächlich werden dort aber persönliche Informationen verarbeitet, Einladungen verwaltet und Rückmeldungen von Teilnehmern gespeichert. Besonders problematisch: Evite war bereits 2019 von einem Datenleck betroffen, bei dem personenbezogene Daten von mehr als 100 Millionen Menschen kompromittiert wurden. Umso erstaunlicher ist es, dass der Dienst weiterhin derart schwache Passwörter zulässt.

Deutlich besser sieht die Lage selbst bei großen Plattformen nicht aus. Als ich versucht habe, ein neues Facebook-Konto anzulegen, verlangte die Plattform zwar ein Mindestmaß an Passwortkomplexität. Trotzdem wurde ein Passwort wie „1234567!“ akzeptiert. Bei X fiel das Ergebnis ähnlich aus.

Facebook gibt Nutzern zwar Hinweise zur Passwortsicherheit, etwa „Vermeide häufig verwendete Wörter wie ‚password‘“ oder empfiehlt längere Passphrasen mit Groß- und Kleinbuchstaben. Gleichzeitig akzeptiert die Plattform aber weiterhin „1234567!“ als gültiges Passwort. Keine Buchstaben, lediglich eine fortlaufende Zahlenreihe mit einem Ausrufezeichen am Ende. Ein Muster, das sich problemlos automatisiert erraten lässt, etwa durch Skripte, die massenhaft bekannte Passwortkombinationen gegen Nutzerkonten testen.

Umso auffälliger ist der Vergleich mit Collins Dictionary. Die Plattform mit deutlich weniger sensiblen Inhalten zwang mich dazu, ein Passwort mit mindestens acht Zeichen zu erstellen. Gefordert wurden dabei mindestens drei der folgenden Kategorien: Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen.

Die Daten von NordPass deuten darauf hin, dass zahlreiche Websites weiterhin nur minimale Passwortanforderungen durchsetzen und triviale Kennwörter wie „123456“ akzeptieren. Gleichzeitig dürfte die Auswertung auch Altlasten enthalten. Wenn ein Unternehmen seit zehn Jahren existiert und inaktive Nutzerkonten nie gelöscht hat, tauchen bei einem Datenleck zwangsläufig auch veraltete Datensätze auf. Einige davon stammen möglicherweise aus einer Zeit, in der überhaupt keine Passwortregeln existierten. Auch die Motivation hinter solchen aufmerksamkeitsstarken Statistiken liegt auf der Hand: Anbieter, die mit solchen Meldungen Schlagzeilen erzeugen, profitieren potenziell davon, weil sie Passwortmanager im Abo verkaufen.

Den Kreislauf durchbrechen

Bleibt die Frage, wie sich diese endlose Diskussion über schwache Passwörter endlich beenden lässt und warum Plattformen weiterhin unsichere Kennwörter erlauben. Grundsätzlich halte ich wenig davon, wenn Gesetzgeber Nutzer bevormunden. In diesem Fall wäre regulatorischer Druck allerdings sinnvoll. Unternehmen sollten verpflichtet werden, strengere Authentifizierungsrichtlinien umzusetzen, statt Nutzern weiterhin die bequemste und unsicherste Option anzubieten.

Datenschutzgesetze schreiben vielerorts bereits vor, dass Unternehmen personenbezogene Daten mit angemessenen Sicherheitsmaßnahmen schützen müssen. Dazu gehören starke Passwörter und Multi-Faktor-Authentifizierung (MFA), wie sie praktisch jedes ernstzunehmende Cybersecurity-Framework fordert. Trotzdem fehlen bei vielen kundenorientierten Online-Diensten verbindliche Vorgaben für die Authentifizierung.

In einigen Branchen wurden moderne Authentifizierungsverfahren bereits verpflichtend eingeführt. Im Finanzsektor existieren beispielsweise Vorgaben wie die zweite Zahlungsdiensterichtlinie PSD2, die MFA für elektronische Zahlungen und den Zugriff auf Onlinekonten verlangt.

Solche Anforderungen sollten branchenübergreifend gelten. MFA sollte für sämtliche Onlinekonten verpflichtend sein, unabhängig vom jeweiligen Dienst. Gleichzeitig wäre es sinnvoll, klassische Passwörter als primäre Schutzmaßnahme schrittweise abzulösen und durch zeitgemäße Sicherheitsverfahren zu ersetzen.

Ein mögliches Hindernis bleibt allerdings die Einstiegshürde bei der Kontoerstellung. Unternehmen, die ihr Geschäft auf Werbung oder die Sammlung und den Verkauf personenbezogener Daten stützen, dürften erheblichen Widerstand leisten. Gerade große Plattformen werden kaum akzeptieren, dass Sicherheitsmaßnahmen den Registrierungsprozess verlangsamen oder potenzielle Umsätze beeinträchtigen.

Seit mehr als 30 Jahren gehört das Thema schwache Passwörter zu den Dauerbrennern der Cybersecurity-Branche. Es wird auf Konferenzen diskutiert, in Kampagnen aufgegriffen und jedes Jahr aufs Neue thematisiert. Dabei wäre die Lösung vergleichsweise einfach: starke Passwörter verpflichtend machen oder besser direkt MFA durchsetzen. Dann müsste vielleicht irgendwann auch niemand mehr über „123456“ diskutieren.