Ein IT-Experte aus Australien hat sich die Mühe gemacht und die von Hackern bei großen Hack-Aktionen geklauten Passwörter gesammelt und in eine Datenbank gestellt. Hier kann man nachschauen, ob das eigene Passwort in diesen Listen bereits auftaucht – und wie oft. Ein Passwort, das schon mal gehackt wurde, ist ähnlich unsicher wie ein Begriff, der im Wörterbuch steht.
Passwörter sollen sicher sein. Wir wollen sie uns gut merken können. OK. Dass wir keine Passwörter benutzen sollen, die so im Wörterbuch stehen, lässt sich noch befolgen. Aber was ist ein „originelles Passwort“? Woher weiß ich, dass nicht nur ich auf die Idee komme, ein Passwort wie „3faltigkeit“ sei originell und deshalb sicher? Wer das glaubt, wird eines besseren belehrt.
Benutzt jemand anders mein Passwort?
Der australische IT-Sicherheitsexperte Troy Hunt hat sich die Mühe gemacht, die öffentlich bekannt gewordenen Groß-Hacks genau zu analysieren. Bei Have I Been Pwned kann man bekanntlich nachschauen, ob die eigene E-Mail-Adresse schon mal als Benutzerkennung geknackt oder geklaut wurde, also in entdeckten Datenbanken von Hackern enthalten war oder ist.
Die Hacker kennen in der Regel nicht das Passwort selbst, sondern nur den „Hashcode“. Eine Art mathematische Formel, um ein Passwort zu bestätigen. Das Problem: Während es früher unmöglich war, aus dem Hashcode (der in den Systemen gespeichert wird) das ursprüngliche Passwort zu errechnen, klappt das mittlerweile durchaus – auch im großen Stil. Mit modernen GPUs und spezieller Rainbow-Table-Software können selbst komplexere Hashes geknackt werden. Deshalb ist es gefährlich, ein Passwort zu benutzen, das schon mal verwendet wurde. Hacker probieren diese bekannten Passwörter systematisch aus, um Onlinekonten zu knacken.
Über eine Milliarde kompromittierte Passwörter
Kurz und knapp: Ihr solltet nachschauen, ob euer Passwort schon mal von anderen Menschen genutzt wurde. Denn dann ist das Passwort „verbrannt“ und ihr solltet ein anderes verwenden. „3faltigkeit“ zum Beispiel hat schon mal jemand benutzt. „ent2en“ aber nicht. Ein echt klasse Service, der hier angeboten wird. Einfach das Passwort eingeben, das ihr überprüfen möchtet, schon seht ihr, wie oft es in den Datenbanken der Hacker auftaucht.
Mittlerweile sind über eine Milliarde kompromittierte Passwörter in der Datenbank gespeichert – Tendenz steigend. Allein 2024 und 2025 kamen durch massive Datenlecks bei großen Tech-Unternehmen, Krypto-Börsen und Streaming-Diensten Millionen weitere Passwörter hinzu. Die Idee dahinter: Passwörter, die Hackern schon mal in die Hände gefallen sind, sollten Onlinedienste und Computersysteme gar nicht erst akzeptieren.
API für Entwickler und moderne Sicherheitslösungen
Besonders smart: Es gibt eine API für Entwickler und Systemadministratoren, die es ermöglicht, die Datenbank automatisch abzufragen. So können Websites und Apps bei der Passwort-Erstellung direkt prüfen, ob ein Passwort bereits kompromittiert ist. Viele moderne Passwort-Manager wie 1Password, Bitwarden und Dashlane nutzen diese Schnittstelle bereits und warnen euch automatisch vor unsicheren Passwörtern.
Die Abfrage erfolgt dabei datenschutzkonform: Es wird nicht das komplette Passwort übertragen, sondern nur die ersten fünf Zeichen des SHA-1-Hashes. Der Server sendet dann alle bekannten Hashes zurück, die mit diesen Zeichen beginnen, und der lokale Client prüft, ob eine Übereinstimmung vorliegt.
Warum klassische Passwort-Regeln nicht mehr reichen
Die traditionellen Passwort-Regeln – „mindestens 8 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen“ – sind längst überholt. Viel wichtiger ist heute die Einzigartigkeit und Länge eines Passworts. Ein 12-stelliges Passwort aus zusammenhängenden Wörtern wie „KaffeeHausSchlüssel2026!“ ist sicherer als ein kryptisches 8-Zeichen-Passwort wie „Tr!4nG3l“.
Außerdem solltet ihr für jeden Dienst ein eigenes Passwort verwenden. Das klingt unmöglich zu merken, ist aber mit einem guten Passwort-Manager kein Problem. Die meisten Browser haben mittlerweile auch eingebaute Passwort-Manager, die automatisch starke, einzigartige Passwörter generieren.
Die Zukunft gehört der Zwei-Faktor-Authentifizierung
Noch sicherer wird es mit Zwei-Faktor-Authentifizierung (2FA). Selbst wenn euer Passwort kompromittiert wird, können Angreifer ohne den zweiten Faktor – meist euer Smartphone oder ein Hardware-Token – nicht auf eure Konten zugreifen. Moderne Standards wie WebAuthn und Passkeys machen die Anmeldung sogar komfortabler als klassische Passwörter.
Viele große Anbieter wie Google, Microsoft, Apple und Meta setzen bereits auf Passkeys als Passwort-Ersatz. Diese basieren auf kryptographischen Schlüsseln, die lokal auf eurem Gerät gespeichert werden und nie übertragen werden müssen.
Fazit: Regelmäßige Passwort-Hygiene ist Pflicht
Die Have I Been Pwned-Datenbank ist ein unverzichtbares Werkzeug für alle, die ihre digitale Sicherheit ernst nehmen. Prüft regelmäßig eure Passwörter, nutzt einen Passwort-Manager und aktiviert wo immer möglich die Zwei-Faktor-Authentifizierung. Denn eines ist sicher: Die nächste große Datenpanne kommt bestimmt, und ihr wollt nicht mit einem bereits kompromittierten Passwort erwischt werden.
Zuletzt aktualisiert am 29.03.2026
