Sechs Milliarden Passwörter: Sicherheitsrisiken im Fokus

Sicherheitsforscher der Firma Specops Software haben im vergangenen Jahr sechs Milliarden geleakte Passwörter untersucht und einen umfassenden Bericht veröffentlicht. Die Analyse gibt nicht nur Einblick in die am häufigsten verwendeten Passwörter, sondern beleuchtet auch die aktuelle Bedrohung durch Datenlecks. Die Ergebnisse zeigen, dass viele Nutzer weiterhin einfache und leicht zu erratende Passwörter verwenden.

Die Top fünf der am häufigsten gestohlenen Passwörter sind alarmierend und setzen sich aus den folgenden Kombinationen zusammen: 123456, 123456789, 12345678, admin und password. Diese Ergebnisse verdeutlichen, dass viele Nutzer nicht einmal die Mühe auf sich nehmen, individuelle Passwörter zu wählen. Neben diesen häufigen Passwörtern wurden auch Kombinationen wie hello, welcome, guest und student festgestellt, was darauf hindeutet, dass es sich nicht nur um private, sondern auch um Unternehmens- und öffentliche Zugangsdaten handelt.

Ein weiteres häufig verwendetes Passwort ist qwerty, das die ersten sechs Buchstaben einer englischen Tastatur darstellt. In Deutschland wäre dies qwertz. Zudem zeigen die Daten, dass Passwörter, die mit @123 oder @1224 enden, ebenfalls weit verbreitet sind. Oft gehen diesen Zugangsdaten Namen, Länder oder Standardwörter wie hello oder hola voraus, was die Unkreativität der Nutzer unterstreicht.

Die Forscher weisen darauf hin, dass es nicht ausreicht, "komplexere Passwörter" zu verwenden, die lediglich einen Großbuchstaben und ein Sonderzeichen enthalten, wenn diese immer demselben Muster folgen. Interessanterweise sind die meisten Passwörter in der Analyse genau acht Zeichen lang, wobei knapp ein Sechstel dieser Länge entspricht. Dies könnte darauf zurückzuführen sein, dass das Wort "Password" genau acht Buchstaben hat. Kürzere Passwörter mit sieben oder weniger Zeichen sind vergleichsweise unbeliebt.

Zusätzlich zu den Passwörtern identifizierten die Forscher die gefährlichsten Infostealer, die zwischen Januar und Dezember 2025 die meisten Daten erbeuteten. Die Malware-Familien LummaC2, RedLine, Vidar, StealC und Raccoon Stealer waren für den Diebstahl von insgesamt nahezu 100 Millionen Anmeldedaten verantwortlich. LummaC2 führte die Liste mit 60.934.662 gestohlenen Passwörtern an, gefolgt von RedLine mit 31.144.858 und Vidar mit 5.965.748 gestohlenen Passwörtern.

Die Analyse zeigt, dass Passwort-Leaks häufig in großem Ausmaß auftreten und Millionen von Menschen betreffen. Besonders gefährdet sind weniger technisch versierte Nutzer, die oft auch Ziel von Phishing-Kampagnen werden. Die Forscher schätzen die Bedrohung durch den Lumma-Stealer als besonders schwerwiegend ein, da er in der Liste der gefährlichsten Programme deutlich aufgestiegen ist.