Eine neue Analyse von fast 19 Milliarden Passwörtern, die zwischen 2024 und Anfang 2025 durchgesickert sind, zeigt, dass die Passwortsicherheit der Nutzer nach wie vor extrem schlecht ist. Die Forscher fanden heraus, dass etwa 94 Prozent der Passwörter in dem Datensatz entweder wiederverwendet oder über mehrere Konten hinweg dupliziert wurden. Nur rund sechs Prozent waren Unikate.
Es study zeigte sich, dass sich die Benutzer weiterhin auf einfache Muster, kurze Längen und vorhersehbare Sequenzen verlassen. Zu den gebräuchlichsten Passwörtern gehörten “123456”, “123456789”, “password” und “qwerty”, die alle seit mehr als einem Jahrzehnt an der Spitze der globalen Passwort-Verletzungslisten stehen. Experten weisen darauf hin, dass solche Passwörter mit automatisierten Tools in Sekundenschnelle geknackt werden können.
Demnach waren etwa 42 Prozent aller analysierten Passwörter zwischen acht und zehn Zeichen lang, wobei acht Zeichen die häufigste Länge sind. Etwa 27 Prozent enthielten nur Kleinbuchstaben und Zahlen und boten damit wenig Widerstand gegen automatisierte Rateangriffe. Trotz jahrelanger Sensibilisierungskampagnen geben die Nutzer weiterhin Komfort und Einprägsamkeit Vorrang vor der Stärke der Sicherheit.
Die Forscher fanden auch heraus, dass viele Passwörter persönliche Informationen wie Namen, Geburtstage oder Sportmannschaften kombinieren. Diese Muster machen Konten noch anfälliger, da Angreifer häufig wörterbuchbasierte Methoden verwenden, die gängige Namen und Zahlenkombinationen zuerst testen. Passwörter mit persönlichen Daten werden oft in den frühen Stadien von Brute-Force-Versuchen kompromittiert, wodurch Konten offengelegt werden.
Schwache Passwörter bleiben bestehen
Analysten führen das anhaltende Vertrauen auf schwache Passwörter eher auf Gewohnheit und Ermüdung als auf Unwissenheit zurück. Viele Nutzer unterschätzen die Wahrscheinlichkeit, direkt ins Visier genommen zu werden, und gehen davon aus, dass sich die Angreifer nur auf große Organisationen konzentrieren. Andere verlassen sich auf ähnliche Passwörter für alle Dienste, weil sie befürchten, sie zu vergessen. Die Wiederverwendung von Anmeldeinformationen bleibt jedoch eines der schädlichsten Cybersicherheitsrisiken, da ein kompromittiertes Konto viele andere freischalten kann.
Die Studie warnt davor, dass dieses Muster es Angreifern ermöglicht, “Credential Stuffing”-Kampagnen zu starten, bei denen Passwörter von einem Verstoß automatisch auf mehreren Websites getestet werden. Diese Technik wird häufig verwendet, um E-Mail-, Bank- und Social-Media-Konten zu kompromittieren. Schwache oder wiederverwendete Passwörter machen es Kriminellen viel leichter, erfolgreich zu sein, ohne fortschrittlichere Sicherheitskontrollen umgehen zu müssen.
Experten empfehlen den Anwendern mehrere praktische Schritte. Zunächst sollte jedes Konto über ein eindeutiges Passwort verfügen, das lang und komplex ist, idealerweise mindestens zwölf Zeichen. Kennwörter sollten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Zweitens sollten Benutzer die Multi-Faktor-Authentifizierung aktivieren, wann immer sie verfügbar ist, um eine zusätzliche Schutzebene hinzuzufügen, selbst wenn das Passwort gestohlen wird.
Passwort-Manager werden auch dringend empfohlen, um sichere Anmeldeinformationen zu erstellen und zu speichern. Diese Tools generieren zufällige Kombinationen, die fast unmöglich zu erraten sind, und machen es überflüssig, sich mehrere lange Zeichenfolgen zu merken. Darüber hinaus können Dienste, die Benutzer benachrichtigen, wenn ihre Daten bei einer bekannten Sicherheitsverletzung auftauchen, dazu beitragen, die Gefährdung zu verringern, indem sie rechtzeitig zu Passwortänderungen auffordern.
Die Forscher stellen fest, dass viele Verstöße eher auf menschliches Verhalten als auf Systemfehler zurückzuführen sind. Einfache und sich wiederholende Passwörter tauchen jedes Jahr in allen Datensätzen auf, was zeigt, dass Bewusstsein allein nicht ausreicht, um Gewohnheiten zu ändern. Experten argumentieren, dass eine konsequente Aufklärung in Verbindung mit einer besseren Integration von Passwort-Managern und automatischen Sicherheitswarnungen dazu beitragen könnte, langjährige Benutzermuster zu verändern.
Die Daten aus dem Jahr 2025 zeigen, dass die Wiederverwendung von Passwörtern und die Einfachheit nach wie vor die größten Schwächen der Online-Sicherheit sind. Obwohl Unternehmen weiterhin in stärkere Authentifizierungssysteme investieren, müssen Einzelpersonen mehr Verantwortung für den Schutz ihrer eigenen Konten übernehmen. Ohne eine sinnvolle Verhaltensänderung werden die gleichen schwachen Passwörter wahrscheinlich auch zukünftige Berichte über Sicherheitsverletzungen dominieren.