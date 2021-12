640 Millionen Datensätze aus insgesamt 263 Datenlecks haben die Forscher vom Hasso-Plattner-Institut aus Potsdam im Jahr 2021 im digitalen Untergrund einsammeln können. In den Datenbeständen nur aus diesem Jahr fanden die Forscher der Einrichtung 1,8 Millionen Datensätze, in denen eine E-Mail-Adresse mit .de-Domain vorkam. Die zugehörigen Passwörter haben sie jetzt statistisch ausgewertet.

Die Daten sind nicht weiter qualifiziert, sodass man die Ergebnisse mit ein wenig Vorsicht betrachten muss. Es könnten auch Dienste geknackt worden sein, bei denen Nutzer keine Gefahr durch ein schwaches Passwort sehen und daher nur etwas Einfaches verwenden. Als Beispiel können erzwungene Registrierungen für Downloads oder Ähnliches dienen.

Top Ten der deutschen Passwörter 2021

123456 passwort 12345 hallo 123456789 qwertz schatz basteln berlin 12345678

Es finden sich im Wesentlichen die gleichen Passwörter – in leicht unterschiedlicher Reihung – in der Liste wie schon in früheren Jahren.

Eigentlich ist klar, dass Passwörter einen Zugang nur schützen können, wenn man sie nicht einfach erraten kann. Je länger und komplizierter, desto besser. Noch wichtiger sogar ist, für jeden Zugang ein anderes Passwort zu setzen, Dabei können etwa Passwort-Manager helfen. Dann muss man sich nur ein Master-Kennwort merken und kann für alle Zugänge sehr leicht beliebig komplexe Passwörter nutzen. So erhalten Nutzer am Ende bessere Sicherheit sogar mit einem Komfortgewinn.

Besserer Passwortschutz

Wer sich noch besser schützen möchte, setzt zudem auf Zwei-Faktor-Authentifizerung (2FA). Das klingt kompliziert, ist in der Praxis dennoch sehr einfach. Man kann etwa eine Authenticator-App wie die von Google nutzen. Die funktioniert nicht nur mit Google, sondern auch mit vielen anderen Angeboten. Das sichert Logins zusätzlich mit einem zeitlich begrenzt gültigen Einmal-Kennwort (TOTP) statt, das die App ausspuckt. Selbst wer das Passwort klaut oder knackt, kann ohne diese Einmal-Kennwörter nichts damit anfangen. Etwa per SMS einen Zugangscode zugeschickt zu bekommen, ist zwar etwas weniger sicher, aber auch noch besser als nur ein Passwort zu verwenden.

Ob die eigenen Zugangsdaten in den Datenlecks aufgetaucht sind, können Nutzer auf der Webseite des HPI schnell selber testen. Bei Treffern sollten Nutzer die Passwörter wie oben vorgeschlagen bei dem betroffenen Dienst ändern.

