Das sind die schlimmsten Passwörter des Jahres 2018

Das sind die schlimmsten Passwörter des Jahres 2018

Verwende ein starkes Passwort, ändere es regelmäßig, verwende nicht das selbe Passwort für wichtige Dienste…es gibt vermutlich niemanden mehr, dem man mit diesen Ratschlägen noch etwas Neues erzählt. Es gibt aber noch immer jede Menge Leute, denen man diesen Hinweis idealerweise auf ein Kantholz genagelt um die Ohren haut, denn nach wie vor ist das Netz voll von Passwörtern, deren Dummheit regelrecht betroffen macht.

SplashData, Hersteller des Passwort-Managers TeamsID, hat wie in jedem Jahr die Hitliste der schlimmsten Passwörter veröffentlicht, und an der Spitze sehen wir einen alten Bekannten: „123456“, dicht gefolgt von „password“. In den Top 10 finden sich gleich fünf Kennwörter, die aus aufsteigenden Zahlen bestehen. Ebenfalls weit vorne rangieren so kreative Einfälle wie „admin“ oder – das finde ich im Hinblick auf Hacker ganz besonders amüsant: „welcome“. Und wer denkt, dass  „[email protected]#$%^&*“ doch wirklich sehr nach einem starken Kennwort aussieht, der muss wissen, dass man dafür auf der US-Tastatur bei gedrückter Shift-Taste die Zahlen 1 bis 8 eingeben muss.

Das hier sind die 30 schlimmsten Passwort-Verbrechen des Jahres 2018:

1. 123456
2. password
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwerty
10. iloveyou
11. princess
12. admin
13. welcome
14. 666666
15. abc123
16. football
17. 123123
18. monkey
19. 654321
20. [email protected]#$%^&*
21. charlie
22. aa123456
23. donald
24. password1
25. qwerty123
26. zxcvbnm
27. 121212
28. bailey
29. freedom
30. shadow

Die vollständige Liste mit den Top 100 findet ihr bei SplashData. Sie bezieht sich auf den amerikanischen Raum, aber ich gehe fest davon aus, dass die Auswertung in jedem anderen Land der Welt nicht weniger erschütternde Ergebnisse hervorbringen würde.

Hält man sich diese Ergebnisse vor Augen, dann versteht man, warum an diversen Fronten für die Abschaffung des Passworts gekämpft wird, Microsoft ist da mit Windows Hello oder dem Authenticator ja ebenfalls im Boot und rudert auch kräftig mit.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Da in der Software die Passwörter mit AES 256 Bit verschlüsselt werden, würde mich irgendwie mehr interessieren, wie der Hersteller diese Top 100 Liste eigentlich erstellen kann? ;) :D
    Ja, mag schon sein. Aber viel schlimmer finde ich, dass sich immer wieder große Firmen Daten (Mailadressen, Kontoverbindungen und Passwörter) von ihren Kunden klauen lassen. Und das gleich nach dem Motto im Dutzend billiger millionen,- wenn nicht gar hundertmillionenfach. Da kommt es dann auf mein PW auch nicht mehr an. Mal ehrlich, auch die Gauner unterliegen mittlerweile einem bestimmten Kostendruck. Macht doch keinen Sinn in einmaligen Aktionen klein Hänschen und Gretel ihre Zugangsdaten bei Amazon oder Ebay zu klauen, wenn ich die von Amazon oder Ebay gleich im Paket geliefert bekommen kann.
    Finde es eher schlimm, daß der Hersteller einer Passwort-Verwaltungssoftware so mit seinen Kundendaten umgeht, denn dies bedeutet ja, daß alle Passwörter der Kunden von denen eingesehen und ausgewertet werden...
    ComPoti
    Da in der Software die Passwörter mit AES 256 Bit verschlüsselt werden, würde mich irgendwie mehr interessieren, wie der Hersteller diese Top 100 Liste eigentlich erstellen kann? ;) :D

    in dem man jedes Jahr die Rangfolge neu mischt, vielleicht auch mal ein Neues hinzunimmt.
    Das beliebteste Passwort des Jahres 2015 ? Klausis Krypto Kolumne
    Im Grunde findet sich das zu jeder Jahreszahl.
    DAS ist jetzt wirklich mal ein Clickbait :D Quasi der runnig Gag zur Jahreswende oder "Dinner for One" der IT-PRess
    Warum sind diese Passwörter schlimm?
    Schlimm ist es nur wenn ich auf jeder Seite die selbe E-Mail und das selbe Passwort benutze.
    Wenn ich auf einer Seite nur einen Newsletter abonieren will und mich da anmelde, dann nehme ich eine eigene E-Mailadresse, ein eigenes Pseudonym und ein eigenes Passwort. Da tut es dann auch "123456", wenn das einer hacked, nehme ich eine neue E-Mail und neues PW.
    Bei wichtigen Seiten wird wenn möglich natürlich 2-Faktorauthentifizierung genutzt.
    "admin" und "Password" sind ja die typischen Kandidaten für voreingestelle Gerätekennwörter. Eventuell sogar bei IoT-Geräten wo man gar nicht als normaler Nutzer an die Admin-Einstellung kommt.
    Das werden auch die interessantesten Angriffsszenarien in der Zukunft, wenn ich über eine unsichere Spülmaschine das komplette Heimnetz kapern kann, erspare ich mir ja quasi andere, ggf. kompliziertere Wege.
    Wenn ich jetzt wüsste, dass jemand Anhänger z.b. eines bestimmten Fußballvereine wäre, würde ich es mit diesen Listen echter Passwörter versuchen, natürlich noch mit ein paar Variationen
    1fcbayernmunich
    3315129903bayernmunich
    amfcbayernmunchenfanno1
    attnfcbayernmunchen
    bayernmu
    bayernmu09
    bayernmu1
    bayernmuchen
    bayernmue
    bayernmuenchen
    bayernmuenchen1
    bayernmuenchen12
    bayernmuenchen19
    bayernmuenchen1900
    bayernmuenchena
    bayernmuenchenfc
    bayernmuenchengewinnt
    bayernmuenchensupport
    bayernmuenmchen0
    bayernmun
    bayernmun1ch
    bayernmunc
    bayernmunchen
    bayernmunchen1
    bayernmunchen123
    bayernmunchen13
    bayernmunchen1981
    bayernmunchen1995
    bayernmunchen67
    bayernmunchen83
    bayernmunchen87
    bayernmunchen88
    bayernmunchen95
    bayernmunchen971
    bayernmunchen972
    bayernmunchencarson
    bayernmunchenfc
    bayernmunchies
    bayernmuni
    bayernmunic1992
    bayernmunich
    bayernmunich**12
    bayernmunich1
    bayernmunich123
    bayernmunich14
    bayernmunich21
    bayernmunich27
    bayernmunich31
    bayernmunich7
    bayernmunich777
    bayernmunich8000
    bayernmunich99
    bayernmunich9944
    bayernmunichen
    bayernmunichistheshit
    bayernmusic
    doihinhbayernmunich
    ebayernmusic
    fcbayernmu
    fcbayernmu09
    fcbayernmuenchen
    fcbayernmuenchen1
    fcbayernmuenchen12345
    fcbayernmuenchenu
    fcbayernmunchen
    fcbayernmunchen'-'fc
    fcbayernmunchen07
    fcbayernmunchen123
    fcbayernmunchens
    fcbayernmunich
    fcbayernmunichmusic
    fcbayernmusic
    goldipoldibayernmunich
    krloz9bayernmunich
    meluvchelseanbayernmunich
    !fckoelnsaller
    *1fckoeln*
    1.fckoeln
    1.fckoeln!
    1.fckoeln1234
    1.fckoeln1996
    1a1fckoeln
    1fckoeln
    1fckoeln!
    1fckoeln0113
    1fckoeln05
    1fckoeln1
    1fckoeln1971
    1fckoeln1990
    1fckoelngermany
    2.fckoeln
    2fckoeln
    9921fckoeln
    9c1fckoeln2008
    a61fckoeln
    c4fckoeln
    f41.fckoeln
    fckoeln
    fckoeln#+
    fckoeln-herthabsc
    fckoeln007
    fckoeln01
    fckoeln0107
    fckoeln02
    fckoeln04
    fckoeln06
    fckoeln08
    fckoeln09
    fckoeln090283
    fckoeln1
    fckoeln101
    fckoeln123
    fckoeln15
    fckoeln1948
    fckoeln2
    fckoeln2006
    fckoeln2008
    fckoeln230400
    fckoeln33
    fckoeln59872
    fckoeln65
    fckoeln6819x
    fckoeln77
    fckoeln81
    fckoeln86
    fckoeln88
    fckoeln90
    fckoeln92
    fckoelnfan66
    fckoelnfckoeln1
    nuernberg-fckoeln
    beliebige Ansatzpunkte sind denkbar, wie Firmennamen, Vornamen von Kindern, der Ehefrau, des Papageis etc.
    Das Schlimme bei diesen Passwörtern ist, dass ihre Besitzer diese für vermeintlich sicher halten.
    lg sneaker
    Spacerat
    Warum sind diese Passwörter schlimm?
    Wenn ich auf einer Seite nur einen Newsletter abonieren will und mich da anmelde, dann nehme ich eine eigene E-Mailadresse, ein eigenes Pseudonym und ein eigenes Passwort. Da tut es dann auch "123456", wenn das einer hacked, nehme ich eine neue E-Mail und neues PW.

    "hacked" - da bekomme ich Kopfweh. :angel Warum das schlimm ist? Ganz einfach, wenn von einem schlecht geschützten Mail-Konto Schaden ausgeht, steigt die Wahrscheinlichkeit das der Inhaber zur Verantwortung gezogen wird.
    Das Problem sind nicht die Passwörter, sondern das Verhalten der Nutzer. Wenn man Wissen (Passwort / PIN) durch Besitz (Smartphone mit App, Karte, Token) ersetzt, wird es nur geringfügig sicherer. Zwar ist ein Angriff dann nur noch durch direkten Kontakt möglich, während zu einfache Passwörter von überall her angreifbar sind, aber dann werden die Diebstähle von aktivierten Smartphones zunehmen. Da viele Nutzer bequem sind, dürfte es vielfach sogar ausreichen, Smartphones im Standby zu stehlen. Biometrie als alleinige Sicherung scheint immer noch nicht zuverlässig genug zu sein.
    Am besten wäre sowieso eine Kombination aus zwei Methoden. Dabei bietet sich ein Passwort mit einem zweiten Faktor an. Dann wären auch einfache Passwörter nicht unsicher.
    ComPoti
    Da in der Software die Passwörter mit AES 256 Bit verschlüsselt werden, würde mich irgendwie mehr interessieren, wie der Hersteller diese Top 100 Liste eigentlich erstellen kann? ;) :D

    Schon mal was von "Rainbow-Tables" gehört? Wenn nicht, frag mal Onkel Google oder Onkel Wikipedia.
    Mit dem Wissen, dass Menschen einfach gestrickt sind und i.d.R. nur einfach zu merkende "Geheimnisse" (in diesem Fall Passwörter) merken können und der Mensch i.d.R. ein faules Wesen ist und sich die Arbeit so einfach wie möglich machen will, ist es naheliegend, dass inzwischen viele solcher "Listen" gibt.
    Nicht zuletzt auch aufgrund der falschen Annahme der Menschen, dass die Hacker/Cracker kompliziert denkende Menschen sind und auf solche einfachen Passwörter gar nicht kommen würden, werden diese eingesetzt.
    Daher ist sinnvoll, über wo es möglich ist, Multifaktor-Authentifizierung einzusetzen. Ist zwar keine 100% Garantie, aber zumindest wird die Hürde für böse Jungs/Mädels damit deutlich höher.
    Ich finde, das man den Anwendern kaum eine Schuld zuweisen kann.
    Warum wird z.B. nicht mit PhotoTan gearbeitet? Warum muss ein 0-8-15 Anwender sich Gedanken über sein Kennwort machen?
    Ist nicht die IT-Abteilung für die Datensicherheit zuständig?
    Ich weiss zwar nicht in welcher Welt der Sonnenschein die Erde wärmt, aber in meiner können sich nicht sehr viele eine IT-Abteilung leisten. :p :) Da müssen sich die meisten Anwender tatsächlich die Passwörter selber ausdenken.
    Generatoren sind empfehlenswert.
    Wenn denn mal überall vernünftige Passwort-Kriterien gelten würden. Zwar zeigen inzwischen viele Webdienste bei der Erstellung die Passwortstärke an, aber es werden kaum schlechte Passwort zurückgewiesen. Wer sich Passwörter wie Z&3)2jw0vn?"§$am,p nicht merken will, kann es ja mal mit der Methode "correct horse battery staple" versuchen.
    @Sonnenschein: Ich denke auch, dass das alles viel einfacher werden muss. In einer hochtechnologisierten Welt muss es einfach in Richtung Simplifizierung gehen, vor allem, wenn man sich den Durchschnittsnutzer ansieht. Ich denke aber, dass das den Firmen schon bewusst ist. Deshalb gibt's jetzt die kontaktlose Bankcard, das Face-Unlock, und ähnliches.
    kontaktlose Bankcard, das Face-Unlock

    zwei Dinge, die ich für sehr gefährlich halte (besonders Letzteres).
    Ich muss hier 'mal einwerfen, dass es mir eigentlich lieber ist, wenn die Leute mein Passwort knacken, als wenn sie zur Gesichtserkennung meinen Kopf, zum Irisscan meine Augen, oder mein Smartphone und meine Finger mitnehmen...
    "ändere es regelmäßig"
    Das ist nicht automatisch eine gute Idee, und sollte sehr gut überlegt werden. Kann leicht auch kontraproduktiv sein.
    Die Passwörter kommen hoffentlich nicht vom dem Passwortmanager.
    "Schon mal was von "Rainbow-Tables" gehört? "
    Es geht hier nicht um Hashes, sondern um eine hoffentlich gut genug verschlüsselte Datenbank.
    Da in der Software die Passwörter mit AES 256 Bit verschlüsselt werden, würde mich irgendwie mehr interessieren, wie der Hersteller diese Top 100 Liste eigentlich erstellen kann? ;) :D

    In den man natürlich Spionage oder Spionage Software durchgeführt hat. Wie sonst, kommt man auf so eine Idee.
    Wenn ich jetzt wüsste, dass jemand Anhänger z.b. eines bestimmten Fußballvereine wäre, würde ich es mit diesen Listen echter Passwörter versuchen, natürlich noch mit ein paar Variationen
    1fcbayernmunich
    3315129903bayernmunich
    amfcbayernmunchenfanno1
    attnfcbayernmunchen
    bayernmu
    bayernmu09
    bayernmu1
    bayernmuchen
    bayernmue
    bayernmuenchen
    bayernmuenchen1
    bayernmuenchen12
    bayernmuenchen19
    bayernmuenchen1900
    bayernmuenchena
    bayernmuenchenfc
    bayernmuenchengewinnt
    bayernmuenchensupport
    bayernmuenmchen0
    bayernmun
    bayernmun1ch
    bayernmunc
    bayernmunchen
    bayernmunchen1
    bayernmunchen123
    bayernmunchen13
    bayernmunchen1981
    bayernmunchen1995
    bayernmunchen67
    bayernmunchen83
    bayernmunchen87
    bayernmunchen88
    bayernmunchen95
    bayernmunchen971
    bayernmunchen972
    bayernmunchencarson
    bayernmunchenfc
    bayernmunchies
    bayernmuni
    bayernmunic1992
    bayernmunich
    bayernmunich**12
    bayernmunich1
    bayernmunich123
    bayernmunich14
    bayernmunich21
    bayernmunich27
    bayernmunich31
    bayernmunich7
    bayernmunich777
    bayernmunich8000
    bayernmunich99
    bayernmunich9944
    bayernmunichen
    bayernmunichistheshit
    bayernmusic
    doihinhbayernmunich
    ebayernmusic
    fcbayernmu
    fcbayernmu09
    fcbayernmuenchen
    fcbayernmuenchen1
    fcbayernmuenchen12345
    fcbayernmuenchenu
    fcbayernmunchen
    fcbayernmunchen'-'fc
    fcbayernmunchen07
    fcbayernmunchen123
    fcbayernmunchens
    fcbayernmunich
    fcbayernmunichmusic
    fcbayernmusic
    goldipoldibayernmunich
    krloz9bayernmunich
    meluvchelseanbayernmunich
    !fckoelnsaller
    *1fckoeln*
    1.fckoeln
    1.fckoeln!
    1.fckoeln1234
    1.fckoeln1996
    1a1fckoeln
    1fckoeln
    1fckoeln!
    1fckoeln0113
    1fckoeln05
    1fckoeln1
    1fckoeln1971
    1fckoeln1990
    1fckoelngermany
    2.fckoeln
    2fckoeln
    9921fckoeln
    9c1fckoeln2008
    a61fckoeln
    c4fckoeln
    f41.fckoeln
    fckoeln
    fckoeln#+
    fckoeln-herthabsc
    fckoeln007
    fckoeln01
    fckoeln0107
    fckoeln02
    fckoeln04
    fckoeln06
    fckoeln08
    fckoeln09
    fckoeln090283
    fckoeln1
    fckoeln101
    fckoeln123
    fckoeln15
    fckoeln1948
    fckoeln2
    fckoeln2006
    fckoeln2008
    fckoeln230400
    fckoeln33
    fckoeln59872
    fckoeln65
    fckoeln6819x
    fckoeln77
    fckoeln81
    fckoeln86
    fckoeln88
    fckoeln90
    fckoeln92
    fckoelnfan66
    fckoelnfckoeln1
    nuernberg-fckoeln
    beliebige Ansatzpunkte sind denkbar, wie Firmennamen, Vornamen von Kindern, der Ehefrau, des Papageis etc.
    Das Schlimme bei diesen Passwörtern ist, dass ihre Besitzer diese für vermeintlich sicher halten.
    lg sneaker

    Ich glaube bayernmuschi fehlt noch
Nach oben