Die gefährlichsten Passwörter des Jahres sind erschreckend vorhersehbar. Eine neue Studie zeigt, dass Nutzer trotz aller Warnungen weiterhin auf simple Kombinationen setzen – und sich damit angreifbar machen.
Die Analyse, veröffentlicht am 20. Februar 2026, identifiziert „password“ als das mit Abstand anfälligste Passwort. Es wird jährlich über 10,3 Millionen Mal gesucht. Auf den Plätzen folgen erwartbare Sequenzen wie „123456“, „qwerty“ oder scheinbar komplexe Varianten wie „P@ssw0rd“. Die Daten belegen eine gefährliche Lücke zwischen vermeintlicher und tatsächlicher Sicherheit im Netz.
Warum einfache Muster so gefährlich sind
Das Kernproblem ist mangelnde Passwort-Entropie – also die fehlende Unvorhersehbarkeit. Viele Nutzer glauben, ein Mix aus Buchstaben, Zahlen und Sonderzeichen reiche aus. Doch Hacker kennen diese Muster genau. Automatisierte „Brute-Force“-Angriffe knacken solche Passwörter in Sekunden.
Die Bedrohung wächst durch Künstliche Intelligenz. Eine Analyse vom 19. Februar warnt: Das Generieren von Passwörtern mit KI-Chatbots wie ChatGPT ist riskant. Diese Modelle erzeugen vorhersehbare Textfolgen, keine echte Zufälligkeit. Die resultierenden Passwörter landen schnell in den Wörterbüchern der Angreifer.
Neue Regeln: Länge schlägt erzwungene Komplexität
Die offiziellen Empfehlungen haben sich grundlegend geändert. Das US-amerikanische National Institute of Standards and Technology (NIST) rückt von alten Praktiken ab. Verpflichtende Sonderzeichen und regelmäßige Passwort-Wechsel führen oft zu schwächeren, vorhersehbareren Kennwörtern.
Stattdessen gilt heute: Länge ist Stärke. NIST empfiehlt mindestens acht Zeichen, ideal sind Passphrasen mit 15 oder mehr Zeichen. Eine lange Phrase aus mehreren Wörtern bietet eine exponentiell höhere Sicherheit als ein kurzes, komplexes Passwort. Zudem sollen neue Passwörter gegen eine Blacklist bekannter Schwachstellen geprüft werden.
Anmeldedaten bleiben das Einfallstor Nummer eins
Kompromittierte Zugangsdaten sind bei fast der Hälfte aller Datenschutzverletzungen im Spiel. Sie sind das bevorzugte Einfallstor für Cyberkriminelle. Das Risiko wird durch die Wiederverwendung von Passwörtern für private und berufliche Konten massiv erhöht. Ein Leck bei einem externen Dienst kann so zur Firmenkrise werden.
Der anhaltende Gebrauch schwacher Passwörter zeigt: Das Nutzerverhalten ändert sich nur langsam. Phishing-Angriffe zielen gezielt auf diese menschliche Schwachstelle ab. Ohne robuste Sicherheitsprotokolle sind Unternehmen weiterhin anfällig für Konten-Übernahmen und Erpressungssoftware.
Die Zukunft: Starke Passphrasen und Zwei-Faktor-Authentifizierung
Die sichere digitale Identität baut auf zwei Säulen: hohe Passwort-Entropie und starke Verifikation. Organisationen müssen das Prinzip „Länge ist Stärke“ verinnerlichen und den Einsatz langer, einzigartiger Passphrasen fördern. Passwort-Manager sind hier unverzichtbar, da sie hochgradig sichere Passwörter generieren und verwalten können.
Wer seine Passwörter, Passphrasen und Unternehmenszugänge wirklich schützen will, sollte nicht nur länger denken, sondern auch die aktuellen Abwehrstrategien kennen. Ein kostenloses E‑Book erklärt aktuelle Cyber-Bedrohungen, praxisnahe Maßnahmen zu Passwort-Management, Multi-Faktor-Authentifizierung und Schutz vor KI-gestützten Angriffen – für Privatpersonen und Unternehmen. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Doch selbst das stärkste Passwort kann geknackt werden. Der entscheidende Schritt ist daher die Multi-Faktor-Authentifizierung (MFA). NIST empfiehlt diese Methode dringend, vorzugsweise mit Authenticator-Apps oder Hardware-Sicherheitsschlüsseln anstelle von SMS-Codes. Die Kombination aus einer hochwertigen Passphrase und einem zweiten Verifikationsfaktor senkt das Risiko eines unbefugten Zugriffs dramatisch – und bietet einen wirksamen Schutz in einer zunehmend bedrohlichen digitalen Welt.
