Dahinter lag in der Auswertung die etwas längere Version "123456789". Es folgten unter anderem "565656", "hallo123", "kaffeetasse" und "passwort". Das HPI stützte die Untersuchung auf Kennwörter, die zusammen mit geleakten Datensätzen privater Identitäten im Darknet zu finden waren - einem schwer zugänglichen Bereich des Internets, in dem auch kriminelle Dienstleistungen angeboten werden.

Viele Internetdienste haben inzwischen strengere Passwort-Regeln; sie schreiben etwa eine Mindestzahl an Zeichen oder die Mischung von Buchstaben und Sonderzeichen vor. Dort, wo solche Vorgaben fehlen, griffen die Nutzer jedoch weiter auf einfache Kombinationen zurück, so das Institut.

Immer öfter seien sogenannte Passwort-Cluster anzutreffen, etwa Kombinationen aus Vornamen und Geburtsdaten mit angehängten Sonderzeichen. Diese wirkten zwar "auf den ersten Blick komplex", würden jedoch häufig für mehrere Dienste gleichzeitig verwendet, erklärte HPI-Sicherheitsexperte Christian Dörr. "Wurde ein Dienst gehackt und die Zugangsdaten sind offen - was milliardenfach passiert - probieren Kriminelle diese erbeuteten Zugangsdaten überall aus."

In die Analyse wurden neben Deutschland auch andere europäische Länder einbezogen. Auch dort steht "123456" häufig an der Spitze. In Großbritannien tauchen zudem "qwerty", "sample12" sowie "liverpool" auf, in Italien unter anderem die Vornamen "Guiseppe" und "Francesco" sowie "ciaociao".

Die Forscher des HPI empfehlen Nutzern das Verwenden von Passwörtern mit einer Länge von mehr als 15 Zeichen. In einem starken Passwort sollten zudem alle Zeichenklassen verwendet werden - neben Klein- und Großbuchstaben also auch Zahlen und Sonderzeichen. Passwörter sollten außerdem nur für einen einzigen Dienst verwendet werden und es sollte sich nicht um Wörter aus dem Wörterbuch handeln. Hilfreich sei außerdem die Nutzung eines Passwortmanagers.