Potsdam (dpa/tmn) - Bei der Wahl ihrer Passwörter geht bei vielen Internetnutzern weiterhin Einfachheit vor Sicherheit. Das geht jedenfalls aus einer Liste der meistbenutzten Passwörter hervor, die das Potsdamer Hasso-Plattner-Institut veröffentlicht hat. An der Spitze herrscht dabei Zahlen-Einerlei: die Kombination 123456 liegt ganz vorne, 123456789 folgt dahinter. Auf den Rängen drei und vier: 12345678 und 1234567. Die Top fünf komplettiert das nicht minder unsichere Wort password.

Die Zahlenfolgen lagen in ähnlicher Variation auch in den vergangenen Jahren regelmäßig vorne. Das legt den Schluss nahe, dass viele Nutzer ihre Konten schon lange Zeit mit diesen schlechten Passwörtern schützen.

Für ihre Liste nutzen die Forscher des an der Universität Potsdam sitzenden Instituts ihren Identity Leak Checker als Datenbasis. Das ist ein Dienst, der auf diversen Wegen öffentlich gewordene Zugangsdaten sammelt und analysiert. Grundlage seien dieses Jahr (2019) 67 Millionen Datensätze von E-Mail-Adressen mit ".de"-Endung gewesen.

Sichere Passwörter sind kompliziert

Fakt ist: Zeichenfolgen wie 123456 sind leicht zu erraten. Auch Wörter wie monkey (Platz 14) oder die Tastaturfolge qwertz (Platz 18) schützen nicht zuverlässig vor Eindringlingen.

Das Hasso-Plattner-Institut empfiehlt lange Passwörtern mit mindestens 15 Zeichen, die aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zusammengesetzt sind. Sie sollten nicht im Wörterbuch stehen. Zudem gilt die Regel: ein Konto, ein Passwort. Gleiche oder ähnliche Zeichenfolgen sollten Nutzer nicht bei mehreren Diensten verwenden. Werden sie einmal abgegriffen, könnten Dritte sonst auch die anderen Online-Konten kapern.

Sich viele komplizierte Passwörter zu merken, ist schwierig. Komfortabel verwalten lassen sich die Zugangsdaten aber mit einem Passwortmanager. Wann immer es möglich ist, sollte man außerdem eine sogenannte Zwei-Faktor-Authentifizierung nutzen. Dabei wird nach der Passworteingabe ein zusätzlicher Sicherheitscode verlangt, der vom Nutzer zum Beispiel per SMS oder App empfangen wird.

Mitteilung des Hasso-Plattner-Instituts

Identity Leak Checker des HPI