Passwort-Recycling: 84 Prozent der Nutzer gefährden sich selbst
Studie belegt massive Sicherheitslücke durch identische Passwörter bei verschiedenen Diensten. Credential-Stuffing-Angriffe nutzen diese Gewohnheit systematisch aus.
Trotz unzähliger Datenlecks verwenden vier von fünf Menschen identische Passwörter für mehrere Online-Dienste. Cybersecurity-Experten warnen vor einem gefährlichen Teufelskreis: Jeder neue Datendiebstahl füttert automatisierte Angriffe, die Millionen weitere Konten kompromittieren.
Eine aktuelle Studie aus 2024 offenbart das Ausmaß der digitalen Sorglosigkeit: 84 Prozent aller Internetnutzer verwenden dasselbe Passwort für verschiedene Websites. Besonders brisant: Gerade die Generation Z, die als digital versiert gilt, zeigt riskantes Verhalten. 72 Prozent der jungen Erwachsenen recyceln ihre Zugangsdaten – obwohl 79 Prozent das Risiko durchaus kennen.
Diese Kluft zwischen Wissen und Handeln wird zur Goldgrube für Cyberkriminelle. Sie nutzen gestohlene Passwort-Listen aus früheren Datenlecks, um systematisch andere Plattformen anzugreifen. Das Kalkül ist simpel: Wer sein Passwort bei einem gehackten Online-Shop wiederverwendet hat, nutzt es wahrscheinlich auch bei seiner Bank.
Credential Stuffing: Wenn Bequemlichkeit zum Verhängnis wird
Das Herzstück moderner Hackerangriffe ist das sogenannte “Credential Stuffing”. Anders als bei rohen Gewaltangriffen erraten Kriminelle keine Passwörter – sie kaufen sie. Im Darknet wechseln Listen mit Milliarden gestohlener Zugangsdaten für wenige Euro den Besitzer.
Die Erfolgsquote ist erschreckend hoch. Automatisierte Programmearbeiten testen diese Kombinationen millionenfach bei Banking-Websites, Online-Shops und sozialen Netzwerken. Ein einziges großes Datenleck kann so zur Lawine werden: Anfang 2024 gelangten 16 Milliarden Zugangsdaten ins Netz – ein Festmahl für die internationale Hackerszene.
Besonders perfide: Eine kürzlich entdeckte, ungeschützte Datenbank enthielt 184 Millionen Datensätze mit Passwörtern im Klartext und direkten Login-Links. Cybersecurity-Forscher bezeichneten den Fund als “Traumarbeitsplatz für Cyberkriminelle”.
Generation Z: Digital natives mit analogen Schwächen
Ausgerechnet die vermeintlich sicherheitsbewusste Generation Z zeigt die riskantesten Gewohnheiten. Nach einem Datenleck erstellen 59 Prozent der jungen Nutzer einfach neue Accounts mit alten Passwörtern – bei den Baby-Boomern sind es nur 23 Prozent.
Der Grund liegt auf der Hand: Passwort-Müdigkeit. Junge Erwachsene verwalten deutlich mehr Online-Konten als ältere Generationen. 30 Prozent vergessen regelmäßig ihre Zugangsdaten, ein Viertel nutzt die Passwort-Wiederherstellung als Standard-Anmeldemethode.
Selbst die Nutzung von Passwort-Managern (46 Prozent bei Gen Z) wird durch unsichere Praktiken konterkariert: Viele verschicken Zugangsdaten per Textnachricht oder Screenshot – ein Sicherheitsdesaster mit Ansage.
Passwort-Manager versus Passkeys: Der Kampf um die Zukunft
Die Tech-Giganten setzen auf eine radikale Lösung: Passkeys sollen herkömmliche Passwörter komplett ersetzen. Microsoft, Google und Apple werben massiv für die neue Technologie, die auf kryptografischen Schlüsseln basiert und an das jeweilige Gerät gebunden ist.
Das Versprechen: Kein Passwort kann mehr gestohlen werden, weil keines auf einem Server gespeichert wird. Microsoft berichtet von einer Verdopplung passwort-basierter Angriffe seit 2023 und treibt den Wandel für Milliarden Nutzer voran.
Doch die Realität holt die Vision ein. Das US-amerikanische National Institute of Standards and Technology (NIST) räumt ein: Passwörter bleiben auf absehbare Zeit Standard. Die neue Empfehlung lautet deshalb: Länge vor Komplexität. Statt kryptischer Zeichenkombinationen raten Experten zu “Passsätzen” aus mehreren Wörtern.
Menschlicher Faktor: Bequemlichkeit siegt über Sicherheit
Die hartnäckige Passwort-Wiederverwendung trotz jahrelanger Aufklärungskampagnen verdeutlicht das Grundproblem der Cybersecurity: der Mensch selbst. Die aktuellen Zahlen bestätigen, was Sicherheitsexperten seit Jahren predigen – Komfort schlägt Sicherheit.
Diese Verhaltensträgheit macht Credential Stuffing so lukrativ. Angreifer wissen: Vorhersagbare menschliche Gewohnheiten zu exploitieren ist oft einfacher als komplexe technische Abwehrmechanismen zu knacken.
Die Branche reagiert mit systemischen Lösungen. Paskeys sollen die menschliche Schwachstelle aus der Gleichung eliminieren. Bis zur flächendeckenden Einführung bleibt jedoch die altbewährte Dreifaltigkeit der Cybersicherheit: einmalige Passwörter, Zwei-Faktor-Authentifizierung und Passwort-Manager.
Anzeige: Apropos Kontoschutz – viele Angriffe starten heute direkt am Smartphone: WhatsApp, Online‑Shopping, PayPal oder Online‑Banking sind beliebte Ziele. Der kostenlose Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android – einfach, praxistauglich und ohne teure Zusatz‑Apps. Mit Schritt‑für‑Schritt‑Anleitungen schließen Sie häufig unterschätzte Lücken und sichern Ihr Gerät in wenigen Minuten. Jetzt kostenloses Android‑Sicherheitspaket sichern
Das Rennen gegen die Zeit hat begonnen – denn während die Industrie noch an passwordlosen Lösungen feilt, werden KI-gestützte Hacker-Tools immer raffinierter. Die nächsten Jahre werden zeigen, ob Technologie das lösen kann, was Aufklärung bisher nicht geschafft hat.
