Schwaches Passwort Beispiele: Anwendung, typische Fehler, Praxiswissen und saubere Workflows

Ein schwaches Passwort ist nicht einfach nur kurz oder leicht zu merken. Schwach ist ein Passwort immer dann, wenn es mit realistischen Angriffsverfahren überdurchschnittlich schnell erraten, wiederverwendet oder aus bekannten Mustern abgeleitet werden kann. In der Praxis scheitern Passwörter selten an einem einzelnen Problem. Meist kommen mehrere Schwächen zusammen: geringe Länge, bekannte Wörter, persönliche Bezüge, Vorhersehbarkeit, Wiederverwendung über mehrere Dienste und fehlende Trennung zwischen privaten und geschäftlichen Konten.

Viele Nutzer bewerten Passwörter nach Gefühl. Ein Kennwort wie Sommer2024! wirkt auf den ersten Blick komplexer als haus oder 123456. Für einen Angreifer ist es trotzdem oft trivial, weil Jahreszahlen, Saisons, Sonderzeichen am Ende und Großschreibung am Anfang zu den ersten Varianten gehören, die in Wortlisten und Regelsets automatisiert erzeugt werden. Genau deshalb reicht subjektive Komplexität nicht aus. Entscheidend ist, wie gut ein Passwort gegen reale Prüfpfade standhält.

Schwache Passwörter entstehen oft aus Bequemlichkeit und aus falschen Sicherheitsannahmen. Viele glauben, ein Sonderzeichen mache jedes Passwort stark. Andere gehen davon aus, dass ein Passwort sicher sei, solange es nicht exakt in einer bekannten Liste vorkommt. Beides ist falsch. Moderne Angriffe arbeiten nicht nur mit statischen Listen, sondern mit Mutationen, Wahrscheinlichkeitsmodellen, Tastaturmustern, Namensvarianten, Leetspeak und kontextbezogenen Kandidaten.

Typische Beispiele für schwache Passwörter sind nicht nur offensichtliche Klassiker wie 123456 oder password. Auch Varianten wie Berlin123!, Fcbayern2025, Julia1989, Admin!23 oder Willkommen#1 sind schwach, weil sie aus häufigen menschlichen Mustern bestehen. Solche Kennwörter sind in Offline-Cracking-Szenarien und bei Online-Angriffen mit intelligenten Wortlisten sehr schnell testbar. Wer verstehen will, wie starke Alternativen aussehen, findet ergänzend praxisnahe Gegenbeispiele unter Starkes Passwort Beispiele und technische Grundlagen unter Was Ist Ein Sicheres Passwort.

Ein Passwort ist außerdem immer im Kontext zu bewerten. Dasselbe Kennwort kann in einem System mit Rate-Limiting, MFA und Anomalieerkennung weniger kritisch sein als in einem Alt-System ohne Schutzmechanismen. Trotzdem bleibt ein schwaches Passwort ein unnötiges Risiko. Schutzschichten reduzieren Folgen, ersetzen aber keine robuste Passwortqualität.

Aus Pentest-Sicht ist die wichtigste Erkenntnis: Schwache Passwörter sind nicht nur ein Benutzerproblem, sondern ein Systemproblem. Wenn eine Organisation zulässt, dass triviale oder vorhersagbare Kennwörter gesetzt werden, liegt die Schwäche nicht nur beim Anwender, sondern auch bei Richtlinien, Validierung, Awareness und technischer Durchsetzung.

Schwache Passwörter folgen fast immer wiederkehrenden Mustern. Diese Muster sind bekannt, dokumentiert und in Angriffswerkzeugen bereits abgebildet. Angreifer müssen sie nicht manuell erraten. Sie werden automatisch generiert, priorisiert und in Sekunden oder Minuten gegen Zielsysteme oder Hash-Dumps getestet.

• Numerische Standardfolgen wie 123456, 12345678, 000000 oder 987654
• Tastaturmuster wie qwertz, qwerty123, asdfgh, 1q2w3e4r oder abc123
• Wörter mit einfacher Mutation wie Passwort1!, Sommer2024!, Berlin#123 oder Fussball12
• Personenbezogene Kennwörter wie Vorname1988, Hundename!, Geburtsjahr oder Kindername123
• Rollen- und Default-Muster wie Admin123!, Welcome1, ChangeMe123 oder Firma2025!

Diese Beispiele sind nicht deshalb schwach, weil sie hässlich aussehen, sondern weil sie statistisch häufig sind und in Angriffsketten früh geprüft werden. Ein Passwort wie Qwertz!2024 scheint formal mehrere Regeln zu erfüllen: Großbuchstabe, Sonderzeichen, Zahl, ausreichende Länge. Trotzdem ist es schwach, weil das zugrunde liegende Muster extrem verbreitet ist. Genau hier scheitern starre Passwortregeln, die nur Zeichenklassen prüfen, aber keine Mustererkennung durchführen.

Ein weiteres Problem sind scheinbar kreative Ersetzungen. Aus Passwort wird P@ssw0rt, aus sommer wird S0mmer!, aus hallo wird H4ll0. Solche Leetspeak-Varianten waren vor vielen Jahren ein kleiner Fortschritt, heute gehören sie zu Standardregeln in Cracking-Tools. Wer sich mit Passwort Checker Wie funktioniert es oder Passwort Checker Algorithmus beschäftigt, erkennt schnell, dass gute Prüfverfahren genau solche Muster abwerten.

Besonders kritisch sind Passwörter mit Organisationsbezug. In Unternehmen tauchen regelmäßig Kennwörter wie Firmenname2024!, Standort123, Abteilung!1 oder Projektname#2025 auf. Solche Passwörter sind für externe Angreifer attraktiv, weil sich Kontextdaten über Webseiten, Social Media, Stellenausschreibungen, Pressemitteilungen und Datenleaks leicht sammeln lassen. Sobald ein Angreifer weiß, wie die Firma heißt, welche Standorte existieren und welche Namenskonventionen intern üblich sind, steigt die Trefferquote deutlich.

Auch saisonale und ereignisbezogene Passwörter sind problematisch. Weihnachten2024!, Urlaub2025, EM2024! oder Oktoberfest1 wirken individuell, sind aber massenhaft verbreitet. In Passwortlisten werden solche Begriffe regelmäßig ergänzt, weil Menschen ihre Kennwörter an aktuelle Ereignisse anlehnen. Das macht sie nicht originell, sondern vorhersagbar.

Ein schwaches Passwort ist daher nicht nur ein einzelner String, sondern Ausdruck eines menschlichen Musters. Genau diese Muster werden in Angriffen ausgenutzt.

Schwache Passwörter werden nicht nur durch simples Raten kompromittiert. In realen Angriffen kommen unterschiedliche Verfahren zum Einsatz, abhängig davon, ob direkt gegen einen Login, gegen geleakte Zugangsdaten oder gegen Passwort-Hashes gearbeitet wird. Wer die Angriffsmethoden versteht, erkennt schneller, warum bestimmte Passwortmuster besonders riskant sind.

Beim Online-Angriff ist die Zahl der Versuche meist begrenzt. Trotzdem reichen wenige hundert oder tausend priorisierte Kandidaten oft aus, wenn Nutzer schwache Muster verwenden. Verfahren wie Was Ist Brute Force werden in der Praxis selten als vollständiger Exhaustivangriff gegen komplexe Passwörter eingesetzt, sondern eher als kontrolliertes Testen wahrscheinlicher Kandidaten. Noch effizienter sind Was Ist Dictionary Attack-Ansätze, bei denen bekannte Wörter, Leaks und Regelmutationen kombiniert werden.

Besonders gefährlich ist Credential Stuffing. Dabei werden Benutzername-Passwort-Kombinationen aus früheren Datenleaks automatisiert gegen andere Dienste getestet. Das Verfahren ist deshalb so erfolgreich, weil Passwort-Wiederverwendung extrem verbreitet ist. Ein Passwort muss dafür nicht einmal besonders schwach sein. Wenn es mehrfach genutzt wird, wird ein Leak in einem schwächer geschützten Dienst zum Einstiegspunkt in weitere Konten. Genau dieses Risiko wird unter Passwort Wiederverwendung Risiko und Was Ist Credential Stuffing vertieft.

Password Spraying funktioniert anders. Hier wird nicht ein Konto mit vielen Passwörtern angegriffen, sondern viele Konten mit wenigen sehr wahrscheinlichen Kennwörtern. In Unternehmensumgebungen sind Kandidaten wie Welcome1, Firma2024!, Winter2025! oder Passwort123 oft überraschend erfolgreich. Das Verfahren umgeht teilweise Kontosperren, weil pro Benutzer nur wenige Versuche stattfinden. Mehr dazu unter Was Ist Password Spraying.

Am gefährlichsten wird es bei Offline-Angriffen nach einem Datenbank- oder Backup-Diebstahl. Liegen Passwort-Hashes vor, können Angreifer ohne Rate-Limit lokal testen. Dann entscheidet die Qualität des Passworts zusammen mit dem eingesetzten Hash-Verfahren über die Widerstandsfähigkeit. Schwache Passwörter fallen in solchen Szenarien oft in Sekunden. Selbst mittelmäßige Passwörter halten gegen GPU-gestützte Angriffe häufig nicht lange stand, wenn unsichere Verfahren wie schnelles SHA-256 statt Argon2 oder bcrypt verwendet wurden.

Ein realistischer Workflow eines Angreifers sieht oft so aus: Zuerst Sammlung von Kontextdaten, dann Auswahl passender Wortlisten, anschließend Regelmutationen, danach Test gegen Login oder Hashes, schließlich Validierung und Pivoting auf weitere Systeme. Schwache Passwörter sind deshalb nicht isoliert zu betrachten. Sie sind Teil einer Angriffskette, in der jede zusätzliche Vorhersagbarkeit die Erfolgswahrscheinlichkeit erhöht.

Beispielhafte Kandidatenbildung aus dem Kontext:
Firmenname
Firmenname2025
Firmenname!
Firmenname123
Standort+Jahr
Vorname.Nachname+Geburtsjahr
Abteilung!2024

Genau solche Ableitungen machen aus scheinbar individuellen Passwörtern schnell triviale Ziele.

Die Aussage Länge schlägt Komplexität ist grundsätzlich richtig, aber nur dann, wenn die Länge nicht aus vorhersagbaren Mustern besteht. Ein Passwort mit 16 Zeichen kann schwach sein, wenn es aus einem häufigen Wort plus Jahreszahl plus Sonderzeichen besteht. Sommerferien2024! ist lang, aber nicht stark. Es enthält ein bekanntes Wort, ein aktuelles Jahr und ein Standard-Sonderzeichen am Ende. Für regelbasierte Angriffe ist das ein leichter Kandidat.

Komplexität wird oft mit Zeichenvielfalt verwechselt. Ein Passwort wie X7$k!2Q ist formal komplex, aber kurz. Ein Passwort wie BlaueWolkenTanzenLeiseImApril ist lang und deutlich robuster, sofern es nicht aus einem bekannten Zitat oder einer häufigen Phrase stammt. Genau deshalb ist die Diskussion nicht Länge gegen Komplexität, sondern Vorhersagbarkeit gegen Suchraum. Ergänzende technische Einordnung liefern Passwort Laenge Oder Komplexitaet, Passwort Checker Laenge Vs Komplexitaet und Passwort Entropie Erklaert.

Ein häufiger Fehler in Passwort-Richtlinien ist die erzwungene Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen bei gleichzeitig zu geringer Mindestlänge. Das führt in der Praxis zu vorhersehbaren Konstruktionen: Großbuchstabe am Anfang, Wort in der Mitte, Zahl und Sonderzeichen am Ende. Solche Regeln erzeugen Konformität, aber nicht automatisch Sicherheit. Angreifer kennen diese Konformität und modellieren sie in ihren Regeln.

Auch Entropie wird oft missverstanden. Theoretische Entropieannahmen gehen häufig von gleichverteilten Zufallszeichen aus. Menschlich gewählte Passwörter sind aber nicht gleichverteilt. Sie sind sprachlich, kulturell und kontextuell geprägt. Deshalb kann ein Passwort auf dem Papier stark wirken und in der Praxis trotzdem schnell fallen. Gute Passwortbewertung muss reale Benutzermuster berücksichtigen, nicht nur mathematische Idealmodelle.

Ein weiterer Irrtum: Sonderzeichen an beliebiger Stelle seien automatisch stark. Tatsächlich ist die Position relevant. Sonderzeichen am Ende oder direkt vor einer Jahreszahl sind extrem häufig. Auch doppelte Ausrufezeichen oder Kombinationen wie !?, #1 oder @123 sind bekannte Muster. Sicherheit entsteht nicht durch kosmetische Komplexität, sondern durch geringe Vorhersagbarkeit und ausreichende Länge.

Wer Passwörter bewertet, sollte daher immer fragen: Würde dieses Kennwort in einer intelligenten Wortliste mit Regelmutationen früh auftauchen? Wenn die Antwort wahrscheinlich ja lautet, ist das Passwort schwach, selbst wenn es formale Richtlinien erfüllt.

In Unternehmen sind schwache Passwörter selten zufällig verteilt. Sie folgen organisatorischen Gewohnheiten. In Audits zeigen sich regelmäßig wiederkehrende Muster: Onboarding-Passwörter, saisonale Kennwörter, Abteilungsbezüge, Standortnamen, Produktnamen und minimale Variationen bei Passwortwechseln. Solche Muster sind für interne wie externe Angreifer wertvoll, weil sie Rückschlüsse auf weitere Konten erlauben.

Besonders problematisch sind initiale Standardkennwörter, die nie geändert werden. Beispiele sind Welcome123!, Firma2024!, Benutzername+123 oder Gerätepasswörter mit Serienbezug. Sobald ein Angreifer ein einziges gültiges Muster erkennt, kann er ähnliche Konten systematisch prüfen. In Active-Directory-Umgebungen führt das oft zu schnellen Erfolgen bei Service-Accounts, Testkonten oder selten genutzten Alt-Accounts.

Ein weiteres Problem ist die erzwungene Passwortrotation ohne Qualitätskontrolle. Nutzer ändern dann nicht auf ein neues starkes Passwort, sondern inkrementieren nur die Zahl am Ende: Projekt2024! wird zu Projekt2025!, Winter#1 wird zu Winter#2. Für Angreifer ist das ideal, weil aus einem bekannten alten Passwort sehr schnell plausible Nachfolger abgeleitet werden können. Ob Rotation sinnvoll ist, hängt vom Kontext ab; pauschale Wechselintervalle ohne Leak-Bezug sind oft kontraproduktiv. Dazu passen Passwort Rotation Sinnvoll und Nist Passwort Richtlinien.

In Pentests fallen außerdem häufig gemeinsam genutzte Passwörter auf. Team-Postfächer, Schichtkonten, lokale Administratoren oder technische Benutzer verwenden identische oder nur leicht abgewandelte Kennwörter. Das erhöht nicht nur das Risiko der Kompromittierung, sondern erschwert auch Nachvollziehbarkeit und Incident Response. Sobald ein Passwort bekannt wird, ist oft nicht klar, wer es wann verwendet hat.

• Abteilungsbezogene Passwörter wie Vertrieb2025!, Lager#123 oder HR-Team!1
• Standort- und Firmennamen wie Hamburg2024!, Musterfirma! oder BerlinOffice1
• Vorhersehbare Rotationen wie Passwort!01, Passwort!02, Passwort!03
• Gemeinsam genutzte Admin- oder Service-Konten mit identischen Kennwörtern
• Default-Passwörter auf Netzwerkgeräten, Druckern, Kameras oder internen Webtools

Schwache Passwörter im Unternehmen sind nie nur ein Benutzerfehler. Sie sind fast immer ein Hinweis auf mangelhafte Richtlinien, fehlende technische Kontrollen, unzureichende Passwortfilter, fehlende MFA-Abdeckung oder unklare Verantwortlichkeiten. Wer Unternehmenssicherheit ernst nimmt, muss Passwortqualität als Teil von IAM, Härtung, Monitoring und Awareness behandeln.

Praktisch relevant sind dabei auch Prüfungen gegen bekannte Leaks, Blacklists für Unternehmensbegriffe, Schutz für privilegierte Konten und getrennte Anforderungen für Service-Accounts. Ergänzende organisatorische Perspektiven finden sich unter Passwort Richtlinien Unternehmen und Passwort Audit Durchfuehren.

Die größte praktische Gefahr schwacher Passwörter liegt oft nicht im erstmaligen Erraten, sondern in der Wiederverwendung. Sobald ein Passwort in einem Datenleck auftaucht, verliert es seine Exklusivität. Wird dasselbe oder ein sehr ähnliches Kennwort für E-Mail, Shops, Social Media, VPN oder Unternehmenszugänge verwendet, entsteht eine Kettenkompromittierung. Ein einziger Vorfall reicht dann aus, um mehrere Konten zu übernehmen.

Besonders kritisch ist das E-Mail-Konto. Wer Zugriff auf das primäre Postfach erhält, kann Passwort-Reset-Prozesse für zahlreiche weitere Dienste auslösen. Dadurch wird ein ursprünglich schwaches oder wiederverwendetes Passwort zum Ausgangspunkt einer vollständigen digitalen Übernahme. In Incident-Analysen zeigt sich regelmäßig, dass nicht der technisch wichtigste Dienst zuerst kompromittiert wurde, sondern der am schlechtesten geschützte.

Datenleaks liefern Angreifern mehr als nur Passwörter. Sie enthalten oft E-Mail-Adressen, Benutzernamen, Namensbestandteile, Telefonnummern und historische Passwortmuster. Daraus lassen sich neue Kandidaten ableiten. Wer etwa 2019 das Passwort Sommer2019! verwendet hat, nutzt 2025 möglicherweise Sommer2025! oder Winter2025!. Solche Übergänge sind für Menschen logisch und für Angreifer hochgradig auswertbar.

Deshalb ist die Frage nicht nur, ob ein Passwort stark genug ist, sondern auch, ob es einzigartig ist. Ein mittelstarkes, aber einzigartiges Passwort ist oft sicherer als ein formal starkes Passwort, das auf mehreren Plattformen identisch verwendet wird. Genau hier helfen Passwortmanager und saubere Trennung nach Dienstkategorie. Ergänzend dazu sind Passwort Manager Sicherheit, Datenleaks Passwoerter und Ist Mein Passwort Gehackt relevant.

Ein weiterer Punkt: Viele Nutzer ändern nach einem Leak nur das betroffene Passwort, lassen aber ähnliche Varianten auf anderen Diensten bestehen. Das reicht nicht. Wenn ein Muster kompromittiert wurde, müssen alle verwandten Kennwörter überprüft werden. Aus Angreifersicht sind Passwortfamilien wertvoll. Wer ein Kennwort kennt, kennt oft auch die Logik dahinter.

Wiederverwendung ist deshalb kein Komfortproblem, sondern ein Multiplikator für Risiko. Sie verbindet isolierte Schwächen zu einer Angriffskette mit hoher Erfolgswahrscheinlichkeit.

Schwache Passwörter werden nicht durch gute Vorsätze vermieden, sondern durch belastbare Workflows. Ein sauberer Workflow beginnt bei der Erstellung, setzt sich bei der Speicherung fort und endet nicht bei der ersten erfolgreichen Anmeldung. Entscheidend ist, dass Passwortqualität reproduzierbar und ohne Improvisation entsteht.

Für Einzelpersonen ist der beste Ansatz meist ein Passwortmanager mit zufällig generierten, einzigartigen Kennwörtern pro Dienst. Wo ein Passwort manuell merkbar sein muss, sind lange, ungewöhnliche Passphrasen sinnvoller als kurze, künstlich komplexe Wörter. Dabei sollten keine bekannten Zitate, Liedzeilen, Sprichwörter oder persönlichen Bezüge verwendet werden. Eine gute Passphrase ist lang, individuell und nicht aus öffentlich ableitbaren Informationen zusammengesetzt. Der Vergleich zwischen klassischen Passwörtern und Passphrasen wird unter Passphrase Vs Passwort vertieft.

Für Unternehmen braucht es zusätzlich technische Leitplanken. Dazu gehören Passwortfilter gegen bekannte Leaks, Sperrlisten für Unternehmensbegriffe, Mindestlängen, Schutz privilegierter Konten, MFA, Monitoring fehlgeschlagener Logins und Prozesse für kompromittierte Zugangsdaten. Reine Policy-Dokumente ohne technische Durchsetzung bringen wenig.

Auch Passwort-Checker müssen richtig eingesetzt werden. Ein einfacher Balken mit schwach, mittel, stark reicht nicht aus, wenn keine Muster, Leaks oder Kontextbegriffe berücksichtigt werden. Gute Prüfungen bewerten Länge, Vorhersagbarkeit, bekannte Listen, Mutationen und Wiederverwendungsrisiken. Wer das praktisch einordnen will, findet unter Passwort Checker Richtig Nutzen und Passwort Checker Limitierungen weiterführende Punkte.

Pragmatischer Workflow für neue Passwörter:
1. Für jeden Dienst ein einzigartiges Kennwort erzeugen
2. Keine Namen, Orte, Jahre oder Firmenbegriffe verwenden
3. Keine Wiederverwendung alter Muster
4. Passwort im Manager speichern
5. MFA aktivieren
6. Nach Leaks oder Verdachtsfällen gezielt ersetzen

Wichtig ist außerdem die Trennung nach Kritikalität. E-Mail, Banking, Passwortmanager, Unternehmenszugänge und Admin-Konten benötigen die höchste Qualität und zusätzliche Schutzmaßnahmen. Ein schwaches Passwort auf einem unkritischen Forum ist bereits unsauber; auf einem primären E-Mail-Konto ist es ein direkter Angriffsvektor auf das gesamte digitale Umfeld.

Saubere Workflows reduzieren nicht nur das Risiko, sondern auch die mentale Last. Wer nicht improvisieren muss, baut weniger schwache Muster.

Auch wenn starke Passwörter zentral sind, darf die Verteidigung nicht an der Eingabemaske enden. Systeme müssen so gebaut sein, dass schwache oder kompromittierte Kennwörter möglichst wenig Schaden anrichten. Dazu gehört zuerst eine sichere Speicherung. Passwörter dürfen niemals im Klartext oder mit schnellen Hashfunktionen abgelegt werden. Verfahren wie Argon2 oder bcrypt mit korrekter Parametrisierung, kombiniert mit Salt und gegebenenfalls Pepper, erhöhen die Kosten von Offline-Angriffen erheblich. Technische Hintergründe dazu liefern Argon2 Erklaert, Bcrypt Erklaert und Sha256 Passwort Unsicher.

Auf der Login-Ebene sind Rate-Limits, adaptive Sperren, IP-Reputation, Device-Binding, MFA und Anomalieerkennung entscheidend. Diese Maßnahmen verhindern nicht, dass ein Passwort schwach ist, aber sie reduzieren die Ausnutzbarkeit. Gerade gegen Password Spraying und Credential Stuffing sind Telemetrie und Verhaltensanalyse oft wirksamer als starre Kontosperren allein.

Ein häufiger Fehler ist die ausschließliche Fokussierung auf Passwortkomplexität, während Transport und Umgebung vernachlässigt werden. Wenn Zugangsdaten über Phishing, Keylogger oder unsichere Übertragung abgegriffen werden, hilft selbst ein starkes Passwort nur begrenzt. Deshalb gehören auch TLS, Härtung von Endgeräten, Schutz vor Phishing Passwort Klau, Abwehr von Keylogger Passwortdiebstahl und sichere Login-Prozesse zum Gesamtbild.

Für privilegierte Konten gelten strengere Anforderungen. Admin-Accounts sollten einzigartige, hochentropische Kennwörter, MFA, getrennte Nutzungskontexte und möglichst zusätzliche Kontrollen wie Jump Hosts oder PAM-Lösungen erhalten. Ein schwaches Passwort auf einem Standardkonto ist gefährlich; auf einem Domain-Admin-Konto ist es potenziell katastrophal.

Technische Schutzmaßnahmen sind kein Ersatz für gute Passwörter, aber sie entscheiden oft darüber, ob aus einer Schwäche ein Vorfall wird oder nur ein abgewehrter Versuch. Gute Sicherheit entsteht aus Schichten, nicht aus Einzelmaßnahmen.

In der Praxis lässt sich ein schwaches Passwort oft schon ohne Tool grob erkennen. Entscheidend ist nicht, ob jedes Detail mathematisch bewertet wird, sondern ob typische Risikomerkmale sichtbar sind. Je mehr dieser Merkmale zusammenkommen, desto eher ist das Passwort angreifbar.

• Es enthält ein bekanntes Wort, einen Namen, einen Ort oder einen Firmenbegriff.
• Es endet mit einer Jahreszahl, einer einfachen Zahl oder einem Standard-Sonderzeichen.
• Es basiert auf Tastaturmustern, Reihenfolgen oder Wiederholungen.
• Es ist eine minimale Variation eines alten oder bereits genutzten Passworts.
• Es wird für mehrere Dienste oder Konten wiederverwendet.
• Es ist aus öffentlich bekannten persönlichen Informationen ableitbar.

Ein Passwort wie Leon2001! erfüllt gleich mehrere dieser Punkte. Es enthält einen Vornamen, ein Geburtsjahr und ein Sonderzeichen am Ende. Ein Passwort wie FirmaBerlin2025! ist ebenfalls schwach, weil Firmenname, Standort und Jahr leicht aus offenen Quellen ableitbar sind. Selbst ein längeres Kennwort wie LieblingsvereinBayern2024! bleibt schwach, wenn der zugrunde liegende Begriff häufig und persönlich naheliegend ist.

Umgekehrt gilt: Ein Passwort muss nicht kryptisch aussehen, um stark zu sein. Eine lange, zufällig erzeugte Zeichenfolge ist stark, aber schwer merkbar. Eine gut gewählte, ungewöhnliche Passphrase kann ebenfalls stark sein, wenn sie nicht aus bekannten Phrasen besteht und keine persönlichen Bezüge enthält. Wer die eigene Einschätzung absichern will, kann ergänzend Wie Sicher Ist Mein Passwort und Passwort Sicherheit Test heranziehen.

Wichtig ist dabei ein realistischer Blick: Kein Passwort ist absolut sicher. Die Frage lautet immer, wie teuer und wie wahrscheinlich ein Angriff ist. Schwache Passwörter senken diese Hürde massiv. Gute Passwörter erhöhen sie so weit, dass opportunistische und viele gezielte Angriffe unattraktiv oder technisch aufwendig werden.

Wer Passwörter beurteilt, sollte deshalb nicht nach optischer Komplexität gehen, sondern nach Angriffswahrscheinlichkeit. Genau das trennt echte Sicherheitsbewertung von bloßer Regelkonformität.

Schwache Passwort Beispiele sind nur dann nützlich, wenn daraus konkrete Konsequenzen folgen. Die wichtigste Konsequenz lautet: Nicht einzelne schlechte Kennwörter auswendig vermeiden, sondern die dahinterliegenden Muster abstellen. Wer nur 123456 meidet, aber stattdessen Sommer2025! oder Vorname1987# nutzt, hat das Problem nicht gelöst. Die Form ändert sich, die Vorhersagbarkeit bleibt.

Belastbare Passwortsicherheit entsteht aus wenigen klaren Prinzipien: Einzigartigkeit pro Dienst, ausreichende Länge, geringe Vorhersagbarkeit, keine persönlichen oder organisatorischen Bezüge, sichere Speicherung und zusätzliche Schutzschichten wie MFA. Für Menschen bedeutet das meist: Passwortmanager für den Alltag, Passphrasen nur dort, wo Merkbarkeit zwingend nötig ist, und konsequente Trennung kritischer Konten.

Für Unternehmen bedeutet es: Passwortfilter, Leak-Prüfungen, starke Hash-Verfahren, Schutz privilegierter Konten, Monitoring, Awareness und klare Reaktionsprozesse bei Verdachtsfällen. Wer nur auf Benutzerdisziplin setzt, wird scheitern. Wer nur auf Technik setzt, ebenfalls. Erst das Zusammenspiel aus Richtlinie, Usability und technischer Durchsetzung reduziert schwache Passwörter nachhaltig.

Ein guter Realitätscheck lautet: Würde dieses Passwort in einer Liste mit häufigen Wörtern, Jahreszahlen, Namen, Tastaturmustern und Standardmutationen früh auftauchen? Wenn ja, ist es schwach. Würde ein Leak eines anderen Dienstes wahrscheinlich dieselbe oder eine ähnliche Variante offenlegen? Dann ist es ebenfalls riskant. Sicherheit beginnt dort, wo solche Ableitungen unattraktiv werden.

Schwache Passwörter sind kein Randproblem und kein rein privates Thema. Sie sind ein wiederkehrender Initialzugang in realen Angriffen. Wer sie systematisch vermeidet, schließt einen der häufigsten und unnötigsten Angriffsvektoren überhaupt.