In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Jedes Jahr gelangen Hunderte Millionen Passwörter von realen Benutzern ins Darknet. Wir haben zwischen 2023 und 2026 231 Millionen eindeutige Passwörter aus Datenlecks im Darknet analysiert, und die Schlussfolgerungen sind düster: Die überwiegende Mehrheit ist extrem schwach. Um 60 % dieser Passwörter zu knacken, braucht ein Hacker nur eine Stunde und ein paar Dollar in der Tasche. Außerdem nimmt das Hacken von Passwörtern von Jahr zu Jahr zu; in einer ähnlichen von uns durchgeführten Studie aus dem Jahr 2024 war der Prozentsatz schwacher Passwörter niedriger.

Heute untersuchen wir, wie zuverlässig ein durchschnittliches Passwort ist (Spoiler: nicht wirklich) und wie du deine Daten und Konten mit robusteren Methoden schützen kannst. Außerdem zeigen wir, welche Muster in tatsächlichen Passwörtern am häufigsten vorkommen.

So werden Passwörter geknackt

In unserer vorherigen Studie haben wir die Methoden zum Speichern und Knacken von Passwörtern detailliert beschrieben, möchten aber hier noch einmal die Grundlagen aufzeigen.

Heutzutage werden Passwörter fast nie in Klartext gespeichert. Wenn du beispielsweise ein Benutzerkonto mit dem Passwort „Password123!“ erstellst, wird es vom Server nicht einfach so gespeichert. Vielmehr wird das Passwort mithilfe bestimmter Algorithmen gehasht, wodurch es in eine Zeichenfolge von Buchstaben und Zahlen fester Länge (einen Hash) umgewandelt wird, die dann auf dem Server verbleibt. Der MD5-Hash für „Password123!“ sieht so aus:

2c103f2c4ed1e59c0b4e2e01821770fa.

Jedes Mal, wenn ein Benutzer sein Passwort eingibt, wird es in einen Hash umgewandelt und mit dem auf dem Server gespeicherten Passwort abgeglichen; wenn die Hashes übereinstimmen, ist das Passwort korrekt. Wenn ein Angreifer an diesen Hash gelangt, muss er ihn entschlüsseln, um das ursprüngliche Passwort wiederherzustellen – dies wird als „Passwort knacken“ bezeichnet. Dies geschieht in der Regel mit eigenen oder gemieteten GPUs, und für den Hack können mehrere Methoden verwendet werden:

• Vollständige Aufzählung (Brute-Force). Der Computer probiert jede mögliche Kombination von Zeichen aus und berechnet den Hash für jedes einzelne Zeichen. Dies ist die einfachste Methode, um kurze Passwörter zu knacken oder solche, die aus einem einzigen Zeichensatz bestehen (z. B. nur aus Ziffern).
• Rainbow Tables. Ein totaler Albtraum für jeden, der ein einfaches Passwort besitzt. Im Wesentlichen handelt es sich um ein „Telefonbuch“ für Passwörter, deren Hash bereits mittels Brute Force oder intelligenten Algorithmen geknackt wurde. Der Angreifer muss lediglich einen passenden Hash finden und sehen, welches Passwort ihm entspricht.
• Intelligent knacken. Diese Algorithmen werden anhand von Datenbanken mit unterwanderten Passwörtern trainiert. Sie kennen die Häufigkeit verschiedener Zeichenkombinationen und gehen bei ihrer Prüfung von den wahrscheinlichsten bis zu den am wenigsten beliebten Zeichenfolgen. Sie berücksichtigen Wörter aus dem Wörterbuch, Ersetzungen von Zeichen (a → @ oder s → $) und berücksichtigen gängige Kennwortstrukturen wie „Wörterbuchwort + Zahl + Sonderzeichen“, während sie Hashes mit Rainbow Tables vergleichen. Durch eine Kombination dieser Methoden lässt sich der Crackprozess erheblich beschleunigen.

Darüber hinaus können Angreifer auch Passwörter in Klartext abfangen. Dazu gibt es zahlreiche Möglichkeiten, von Phishing (bei dem ein Opfer auf eine gefälschte Webseite gelockt wird und sein Passwort freiwillig eingibt) über Keylogger, die Tastatureingaben aufzeichnen, bis hin zu Stealern oder Trojanern, die Dokumente, Cookies und Daten aus der Zwischenablage abgreifen und mehr. Leider speichern viele Benutzer ihre Passwörter als Klartext in Notizen, Messaging-Apps und Dokumenten oder in Browsern, wo Angreifer sie in Sekundenschnelle extrahieren können.

Jedes Jahr verfolgen wir etwa hundert Millionen Lecks von Klartext-Passwörtern. Wir verwenden diese Datenbanken, um KPM-Benutzer zu warnen, wenn ihre Daten unterwandert wurden. Um die am häufigsten gestellte Frage zu beantworten: Nein, wir kennen die Passwörter unserer Benutzer nicht. Wir haben in einfacher Sprache erklärt, wie wir deine Passwörter mit gehackten Passwörtern vergleichen, ohne sie wirklich zu kennen – und warum weder deine in KPM gespeicherten Passwörter noch deren Hashes jemals dein Gerät verlassen – in unseren Erläuterungen zu unserer Technologie zur Analyse von Datenlecks und der internen Architektur unseres Password Manager. Schau sie dir an. Du wirst überrascht sein, wie elegant das Design ist.

60 % der Passwörter lassen sich in weniger als einer Stunde knacken

Wir haben die Datenbank aus unserer vorherigen Studie um 38 Millionen reale Passwörter erweitert, die von Angreifern in Darknet-Foren gepostet wurden, und die Ergebnisse verglichen. Die Tests wurden mit einer einzelnen RTX 5090-GPU für Passwörter durchgeführt, die mit dem MD5-Algorithmus gehasht wurden. Die Daten für die Analyse stammen aus unserem Dienst Digital Footprint Intelligence. Welche Algorithmen wir zur Bewertung der Sicherheit von Passwörtern verwendet haben, kannst du in unserem Artikel über Securelist nachlesen.

Leider bleiben Passwörter so schwach wie eh und je, während das Knacken von Jahr zu Jahr schneller und einfacher wird. Heute können 60 % der Passwörter in weniger als einer Stunde geknackt werden; vor zwei Jahren waren es noch 59 %. Aber erschreckend ist noch etwas anderes: Fast die Hälfte aller Passwörter (48 %) ist in weniger als einer Minute geknackt!

Diese Geschwindigkeitssteigerung war nur möglich dank neuer Grafikprozessoren, die jedes Jahr leistungsfähiger werden. Während eine RTX 4090 im Jahr 2024 MD5-Hashes mit einer Brute-Force-Rate von 164 Gigahashes (Milliarden Hashes) pro Sekunde verarbeiten könnte, hat die neue RTX 5090 diese Geschwindigkeit um 34 % erhöht und erreicht 220 Gigahashes pro Sekunde.

Und obwohl eine High-End-Grafikkarte derzeit mehrere tausend Dollar kostet, ist der Preis kein großes Hindernis: Es gibt viele günstige Cloud-Dienste, um GPU-Rechenleistung zu mieten. Je nach Konfiguration und Modell liegen die Mietkosten zwischen wenigen Cent und einigen Dollar pro Stunde. Wie wir gesehen haben, braucht ein Angreifer nur eine Stunde, um drei von fünf Passwörtern zu knacken, die er in einem Datenleck gefunden hat. Außerdem kann er, je nach Umfang der Aufgabe, immer zehn oder sogar hundert statt nur einer GPU mieten …

Es ist erwähnenswert, dass das Knacken jedes Passworts in einem Datensatz nicht viel länger dauert als das Knacken eines einzelnen Passworts. Sobald der Angreifer einen Hash für eine bestimmte Zeichenkombination berechnet hat, überprüft er bei jeder Iteration, ob derselbe Hash an einer beliebigen Stelle im Datensatz vorhanden ist – und je größer der Datensatz ist, desto einfacher ist es, eine Übereinstimmung zu finden. Wenn eine Übereinstimmung gefunden wird, wird das entsprechende Passwort als „geknackt“ markiert und der Algorithmus geht zum nächsten über.

Welche Passwörter sind schwach?

Die Stärke eines Passworts hängt von seiner Länge, der Vielfalt des Inhalts und der Zufälligkeit des Inhalts ab. Von Menschen erstellte Passwörter erweisen sich als am wenigsten belastbar – leider sind Menschen ziemlich vorhersehbar. Wir verwenden Wörter und Zeichenkombinationen aus dem Wörterbuch, die intelligente Algorithmen seit langem beherrschen, wir vermeiden lange Zeichenfolgen, und Muster können sogar in Tastatureingaben gefunden werden, die wir für zufällig halten. Interessanterweise tragen von KI generierte Passwörter immer noch Spuren eines menschlichen Ansatzes. Wir haben dies in einem separaten Beitrag zur Erstellung eines sicheren, aber einprägsamen Passworts behandelt.

Die Länge des Passworts ist der Hauptfaktor, der sich auf die Zeit zum Knacken auswirkt. Wie du der folgenden Tabelle entnehmen kannst, lässt sich fast jedes achtstellige Passwort in weniger als 24 Stunden knacken.

Prozentsatz unterschiedlicher Passwörter, die innerhalb eines bestimmten Zeitraums geknackt werden können

Die Vorhersehbarkeit deines Passworts ist jedoch genauso wichtig. Meinst du, die Sicherheit steigt, wenn du einem einprägsamen Wort eine Zahl oder ein Sonderzeichen hinzufügst? An sich schon, aber nur geringfügig. Die Muster, mit denen Passwörter erstellt werden, sind leicht vorhersehbar und manchmal ziemlich amüsant – allerdings ist das keineswegs zum Lachen.

Was wir über Passwortmuster gelernt haben

Die Analyse von über 200 Millionen Passwörtern ergab charakteristische Muster, die es intelligenten Algorithmen ermöglichen, Benutzerpasswörter mit Leichtigkeit zu knacken.

Wähle eine Zahl

Mehr als die Hälfte aller Passwörter (53 %) endet mit einer oder mehreren Ziffern, während fast jedes sechste (17 %) mit einer Zahl beginnt. Jedes achte Passwort (12 %) enthält Sequenzen, die stark nach Jahren aussehen – von 1950 bis 2030 – und jedes zehnte (10 %) fällt speziell zwischen 1990 und 2026. Dies ist höchstwahrscheinlich darauf zurückzuführen, dass die Benutzer ihr Geburtsjahr (oder das einer nahestehenden Person), ein anderes bedeutendes Jahr oder das Jahr der Erstellung des Passworts oder Kontos verwenden. Wissenswertes: Die Verteilung dieser Daten lässt vermuten, dass die aktivsten Internetnutzer zwischen 2000 und 2012 geboren wurden.

Unter allen Zahlenkombinationen war jedoch die beliebteste … du ahnst es vielleicht: „1234“. Insgesamt kommen Muster mit sequentiellem Tastendruck („qwertz“, „ztrewq“ usw.) in 3 % der Passwörter vor.

Sonderzeichen sind kein Allheilmittel

In den meisten Passwortrichtlinien der letzten Jahre wird mindestens ein Sonderzeichen gefordert. Das absolute Gewinner in dieser Kategorie ist das Symbol @: Es erscheint in einem von 10 Passwörtern. Der Punkt (.) steht an zweiter Stelle, gefolgt vom Ausrufezeichen (!) an dritter Stelle.

Liebe regiert die Welt … und Skibidi Toilet tut es auch

Emotional geladene Wörter bilden oft die Grundlage für ein Passwort, und trotz allem sind positive Wörter häufiger anzutreffen. Beispielsweise „Liebe“, „Engel“, „Team“, „Kumpel“, „Leben“ und „Stern“. Allerdings taucht auch Negatives auf – meistens in Form von gebräuchlichen Schimpfwörtern.

Interessanterweise spiegeln sich auch aktuelle Trends in Passwörtern wider. Zwischen 2023 und 2026 ist die Verwendung des Wortes Skibidi in Passwörtern um das 36-Fache gestiegen! Natürlich (siehe Link, wenn es dir nicht natürlich erscheint) ist auch „Toilette“ im Aufwind, wenn auch nicht so extrem.

Benutzer neigen dazu, ihre Passwörter jahrelang unverändert zu lassen

Mehr als die Hälfte der Passwörter (54 %), die wir in den letzten Jahren identifiziert haben, sind schon einmal aufgetaucht. Teilweise lässt sich das damit erklären, dass dieselben Daten von einem Datensatz in einen anderen migriert werden. Es gibt jedoch noch einen viel beunruhigenderen Grund: Viele Benutzer haben ihre Passwörter einfach seit Jahren nicht mehr geändert.

Die Analyse der in Passwörtern gefundenen Daten zeigt, dass Kombinationen mit den Jahren 2020 bis 2024 weiterhin beliebt sind. Es scheint, dass die Leute bei der Erstellung von Passwörtern das aktuelle Jahr zu ihrem Passwort hinzufügen – und dann mehrere Jahre lang nicht mehr darüber nachdenken. Auf diese Weise können wir die durchschnittliche Lebensdauer eines Passworts berechnen: etwa drei bis fünf Jahre.

Dies ist ein gefährlicher Trend. Zum einen können intelligente Algorithmen in einem solchen Zeitraum viel komplexere Passwörter knacken. Zweitens gilt: Je länger dein Passwort unverändert bleibt, desto höher ist die Wahrscheinlichkeit, dass es gehackt wird – sei es durch eine Sicherheitsverletzung, eine Malware-Infektion oder einen Phishing-Angriff.

Die Situation wird noch schlimmer, wenn dasselbe Passwort für mehrere Konten verwendet wird. In diesem Fall müssen Angreifer nicht einmal etwas knacken; sie müssen lediglich dein Passwort in einem einzigen Datenleck finden und es auf anderen Websites eintragen.

Wie lassen sich Passwörter und Konten schützen?

Wenn dir beim Lesen dieses Beitrags aufgefallen ist, dass deine eigenen Passwörter leicht zu knacken sind – keine Panik. Wir haben eine Liste mit einfachen, aber wesentlichen Tipps für dich zusammengestellt.

Verwende einen Password Manager

Am schwächsten sind die Passwörter, die man sich selbst ausdenkt. Das Erstellen und Speichern von Hunderten von Sequenzen mit 16 bis 20 zufälligen Zeichen (da jede Website ein einzigartiges, langes Passwort erfordert) ist eine entmutigende und unrealistische Aufgabe.

Daher solltest du die Erstellung und Speicherung von Passwörtern an unseren Password Manager delegieren. Er erstellt und speichert nicht nur komplexe, zufällige Passwörter in einem verschlüsselten Format, sondern synchronisiert sie auch auf allen deinen Geräten. Um deinen Datentresor zu entschlüsseln, musst du dir nur ein Hauptpasswort merken, das niemand außer dir kennt – in unserem Leitfaden zu Passwörtern mit Eselsbrücken findest du dazu hilfreiche Tipps.

Speichere Passwörter nicht als Nur-Text-Datei

Schreibe Passwörter in keinem Fall in Dateien, Nachrichten oder Dokumenten auf. Ihnen fehlt die robuste Verschlüsselung, die ein Password Manager bietet. Darüber hinaus gelangen solche Notizen sofort in die Hände von Angreifern, wenn du an einen Trojaner oder Infostealer gerätst.

Speichere keine Passwörter in deinem Browser

Viele Benutzer speichern ihre Passwörter in ihren Browsern – zumal sie praktischerweise anbieten, dies automatisch zu tun. Leider hat die Forschung ergeben, dass Malware mittlerweile diese Passwörter fast sofort aus allen gängigen Browsern extrahieren kann. Mit KPM kannst du gespeicherte Passwörter aus deinem bevorzugten Browser importieren – folge einfach unserer einfachen Anleitung in drei Schritten. Vergiss vor allem nicht, den Speicher für Passwörter im Browser zu löschen, nachdem der Import abgeschlossen ist.

Wechsle zu Passkeys

Verwende nach Möglichkeit Passkeys – ein kryptografischer Ersatz für Passwörter. Bei dieser Konfiguration speichert der Dienst einen öffentlichen Schlüssel, während der private Schlüssel auf deinem Gerät verbleibt und nicht übertragen wird. Während der Anmeldung signiert das Gerät lediglich eine einmalige Anfrage. Darüber hinaus sind Passkeys an eine bestimmte Domäne gebunden, sodass Phishing-Angriffe mit gefälschten Adressen nicht funktionieren. Mit KPM kannst du sowohl Passwörter als auch Passkeys speichern, wodurch das Problem der Synchronisierung über verschiedene Ökosysteme hinweg gelöst wird, einschließlich Windows, Android, macOS und iOS.

Richte Multi-Faktor-Authentifizierung ein

Aktiviere die Zwei-Faktor-Authentifizierung, wo immer möglich. Selbst wenn dein Passwort unterwandert wurde, erschwert ein richtig konfiguriertes 2FA-Setup dem Angreifer den Zugriff auf dein Konto. Um maximale Sicherheit zu gewährleisten, vergiss per SMS gesendete Einmalcodes und verwende stattdessen Authentifikator-Apps — und ja, KPM ist auch hier praktisch.

Achte auf eine gute digitale Hygiene

Vergiss nicht, dass die korrekte Speicherung deiner Passwörter nur die halbe Miete ist. Es ist äußerst wichtig, die Regeln der digitalen Hygiene zu beachten: Vermeide den Download von nicht überprüften Dateien, Raubkopien, Cheats oder Cracks, und klicke nicht unbedacht auf Links. Da die Zahl der Infostealer-Angriffe in den letzten Jahren stetig zugenommen hat, benötigst du eine robuste Sicherheitslösung für einen umfassenden Schutz. Wir empfehlen Kaspersky Premium — Es schützt alle deine Geräte vor Trojanern, Phishing und anderen Bedrohungen. Außerdem enthält das Abonnement unseren Password Manager.

Alle, die es mit der Sicherheit von Konten ernst meinen, sollten sich unsere Sammlung von Beiträgen zu Passwörtern, Passkeys und Zwei-Faktor-Authentifizierung ansehen:

• Passkeys 2025: Ratgeber zur passwortlosen Anmeldung
• Passkeys 2025: Tipps für erfahrene Nutzer
• Ein wirklich unvergessliches Passwort
• Starke Passwörter erstellen und sicher bewahren
• Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration