Stoppen Sie die Wiederverwendung von Passwörtern: Was die neue NordPass-Studie zeigt

Die Befragung von NordPass zur Wiederverwendung von Passwörtern 2025

Um zu messen, wie normal die Angewohnheit der Passwort-Wiederverwendung noch immer ist, beauftragte NordPass ein unabhängiges Forschungsteam mit der Durchführung von Interviews mit 1.727 Erwachsenen – 619 in den USA, 605 in Großbritannien und 503 in Deutschland. Der Fragebogen beschäftigte sich mit drei Themenbereichen:

• Wie häufig Menschen Anmeldedaten wiederverwenden.

• Wie viele Passwörter und Accounts betroffen sind.

• Und warum die Nutzer auch im Jahr 2025 noch so vorgehen.

USA

• 62 % der US-Amerikaner bekennen sich dazu, Passwörter „häufig“ oder „immer“ wiederzuverwenden.

• Der durchschnittliche „Wiederverwender“ jongliert dabei mit 3 zentralen Passwörtern für rund 5 verschiedene Accounts.

• Die Hälfte gab als Begründung an, es sei „leichter, sich weniger Passwörter zu merken“, jeder Dritte fühlt sich von der Zahl von Diensten, die er oder sie jeden Monat nutzt, überwältigt.

• Beunruhigende 11 % sehen „kein erhebliches Risiko“ in der Wiederholung – ein Beleg dafür, dass die eigene Erfahrung und nicht Warnungen das Verhalten leiten.

Großbritannien

• 60 % recyceln hier ihre Anmeldedaten.

• Angst vor Vergessen schlägt Bequemlichkeit: 40 % haben Angst, sich selbst auszusperren, wenn sie jedes Passwort einzigartig machen.

• Bequemlichkeit und „zu viele Accounts“ liegen gemeinsam auf dem zweiten Platz, während sich auch hier 11 % gar keine Sorgen um die Bedrohung machen.

Deutschland

• 50 % verwenden hierzulande Passwörter wieder, der „beste“ Wert, aber eben immer noch die Hälfte.

• Bequemlichkeit ist das Hauptmotiv für 37 % der deutschen Wiederverwender, 29 % nennen die Überlastung durch zu viele Accounts.

• 13 % glauben, dass die Wiederholungen praktisch harmlos sind.

Zusammengenommen sagen die Daten dies: Rund 57 % aller Verbraucher in drei hoch entwickelten Volkswirtschaften setzen nach wie vor auf die mehrfache Verwendung von Anmeldedaten. Eine Mehrheit, die groß genug ist, um Credential-Stuffing-Angriffe auf Jahre profitabel zu machen.

Warum Menschen noch immer Passwörter wiederverwenden

Bei der Erklärung ihrer Angewohnheit der Wiederverwendung von Passwörtern lassen sich die Befragten in vier Gruppen einteilen, die sich teilweise überschneiden:

• Die Auswendig-Lerner. Etwa die Hälfte aller US-Amerikaner, 43 % aller Briten und 37 % aller Deutschen, die an der Befragung teilnahmen, gaben an, dass sie Passwörter wiederverwenden, weil es „leichter ist, sich weniger Passwörter zu merken“.

• Die Überwältigten. Rund 30 % in jedem Land nannten „zu viele Accounts“, um verschiedene Passwörter zu verwalten.

• Die Ängstlichen. Die Angst davor, einzigartige Anmeldedaten zu vergessen, herrscht bei 40 %der Nutzer in Großbritannien, 38 % in den USA und 31 % in Deutschland.

• Die Skeptiker. Zwischen 11 % und 13 % mussten nie mit den Folgen von Datenlecks umgehen und vermuten, dass das Risiko übertrieben wird.

Stärken Sie Ihren Online-Schutz

Digitale Wertsachen sicher speichern und verwalten

Jetzt kostenlos testen

So nutzen Cyberkriminelle wiederverwendete Passwörter aus

Die Wiederverwendung macht aus einer undichten Stelle eine Kettenreaktion. Hacker, die Ihr Passwort von einer einzigen Website gestohlen haben, können dieselben Anmeldedaten bei jedem anderen Dienst ausprobieren, den Sie nutzen – E-Mail, Banking, berufliche Apps –, bis einer von ihnen entsperrt werden kann. Darin liegt die große Gefahr der Wiederverwendung von Passwörtern. Und die kriminelle Wirtschaft rund um gestohlene Anmeldedaten hat industrielle Ausmaße angenommen. Sie bewegt sich schnell. Sobald ein Datenleck die Foren und Marktplätze im Dark Web erreicht, gibt es zahlreiche Möglichkeiten für böswillige Akteure, von gestohlenen und wiederverwendeten Anmeldedaten zu profitieren:

• Credential Stuffing. Ausgestattet mit riesigen Mengen an wiederverwendeten Anmeldedaten, laden die Angreifer Millionen von Nutzer-Passwörter-Paaren in Botnetze, die automatisierte Anmeldeversuche abfeuern. Selbst eine Erfolgsquote von nur 1 % bedeutet netto Tausende von gehackten beruflichen Accounts.

• Übernahme von Accounts. Ein wiederverwendetes Passwort – in der Regel bei Datenlecks kompromittiert –, das Ihren E-Mail-Eingang entsperrt, erlaubt es Online-Gaunern, auch alles andere zurückzusetzen – die Speicherung in der Cloud, Wallets mit Kryptowährungen, weitere E-Mail-Adressen usw. Aus dem anfänglichen ersten Stützpunkt wird ein Angriffspunkt für höherwertige Ziele.

• Social Engineering. Haben sie erst einmal die Kontrolle über soziale oder geschäftliche Accounts übernommen, studieren die Kriminellen die Nachrichtenhistorie und entwickeln daraus glaubhafte Anfragen wie „Kannst du bitte diese Rechnung genehmigen?“ oder „Wir haben vergessen, den Lieferanten zu bezahlen – bitte dazu dieses Konto verwenden“. Die Opfer reagieren, weil die Anfrage von einer vermeintlich vertrauenswürdigen Identität stammt.

Die Rolle von Unternehmen bei der Vorbeugung gegen die Wiederverwendung

Unternehmen stehen häufig auf beiden Seiten des Problems der Passwort-Wiederverwendung. Sie müssen einerseits ihre Mitarbeiter vor leichtsinnigen Gewohnheiten schützen und andererseits Kunden abschirmen, deren Anmeldedaten möglicherweise bereits im Dark Web angeboten werden. Es gibt einige Möglichkeiten, wie Unternehmen dieses Problem angehen können:

Wiederverwendete Anmeldedaten ablehnen

Während des Anmelde- oder Passwort-Zurücksetzen-Prozesses sollte die Website das vorgeschlagene Passwort mit einer Datenleck-Datenbank abgleichen. Falls der String schon einmal bei vergangenen Datenlecks aufgetaucht ist – oder identisch wie einer aussieht, der bereits gespeichert wurde –, sieht der Nutzer das Angebot, ein stärkeres Passwort zu wählen. Außerdem sorgt die Einbettung eines Ein-Klick-Passwortgenerators für einen reibungsloseren Prozess.

Authentifizierung mit mehreren Ebenen

Eine Multi-Faktor-Authentifizierung stoppt die automatisierte Übernahme selbst dann, wenn den Kriminellen schon Anmeldedaten bekannt geworden sind. Eine wachsende Zahl von Websites überspringt Passwörter inzwischen ganz und bietet stattdessen FIDO Passkeys an – gerätegebundene kryptografische Geheimnisse, die weder wiederverwendet noch per Phishing-Angriff gestohlen werden können.

Sicherheitsschulungen

Unternehmen, die regelmäßig praktisch orientierte Sicherheits-Workshops abhalten, erleben wesentlich weniger Fälle von Mitarbeitern, die Anmeldedaten wiederverwenden. Die Demonstration, wie schnell ein einziges kompromittiertes Anmeldepasswort in einem gesamten Netzwerk spürbar werden kann, macht den Teilnehmern klar, wie schlecht die Angewohnheit der Wiederverwendung von Passwörtern ist.

Einführung eines Passwort-Managers

Viele Unternehmen fördern heute – oder verlangen sogar – die Nutzung von Business-Passwort-Managern. Wenn Mitarbeiter über einen sicheren Tresor für ihre Anmeldedaten verfügen, ist es wesentlich unwahrscheinlicher, dass sie Passwörter recyceln. Die meisten Webtresore beinhalten außerdem integrierte Passwort-Generatoren, die auf Knopfdruck starke, zufällige Strings erzeugen und damit die Erstellung robuster Anmeldedaten professionalisieren.

So stoppen Sie die Wiederverwendung von Passwörtern

Um mit der Angewohnheit der Wiederverwendung von Passwörtern effektiv zu brechen, benötigen Sie lediglich einen Workflow, der starke, einzigartige Anmeldedaten als Standard behandelt und nicht als Ausnahme. Hier sind einige Tipps, wie Sie das bewerkstelligen.

Führen Sie einen Passwort-Manager ein

Tools wie NordPass speichern generieren und synchronisieren Passwörter geräteübergreifend und füllen sie automatisch aus. Der Nutzer merkt sich nur ein einziges Master-Passwort, der Tresor merkt sich alle anderen. Ein integrierter Passwort-Generator erzeugt auf einem Klick hin zufällige Strings mit hoher Entropie und beseitigt so die Versuchung, das neue Jahr mit P@ssw0rd2026 zu begrüßen.

Prüfen Sie die Nutzung von Passkeys

Ein Passkey vereint die Kryptografie eines öffentlichen Schlüssels mit biometrischen Daten an einem Gerät, sodass es nichts einzugeben, nichts zu vergessen und auch nichts wiederzuverwenden gibt. Viele große Plattformen unterstützen diese bereits; unsere Was ist ein Passkey? Anleitung führt Sie durch die allererste Einrichtung eines Passkeys. Wo Passkeys nicht zur Verfügung stehen, aktivieren Sie MFA, um eine zweite Prüfungsebene hinzuzufügen, die kein Angreifer aus einer kompromittierten Liste erraten kann.

Prüfen Sie ruhende Accounts

Alte Foren, Shopping-Websites, die Sie nur einmal für ein ausgefallenes Geschenk genutzt haben, oder die aufgegebene Fitness-Tracking-App – jeder dieser Accounts ist eine latente Schwachstelle, wenn die Anmeldedaten auch für aktive Dienste verwendet werden. Schließen Sie solche Accounts oder setzen Sie zumindest das Passwort auf ein einzigartiges Passwort zurück. Blättern Sie durch unsere jährliche Liste der gängigsten Passwörter für Inspiration, was Sie vermeiden sollten.

Abschließende Gedanken

Die Wiederverwendung von Passwörtern gedeiht auf der Grundlage von kurzfristiger Bequemlichkeit und langfristigem Optimismus. Unsere Befragung zeigt, dass sich 57 % aller Nutzer in drei vollentwickelten digitalen Volkswirtschaften nach wie vor auf diesen Optimismus verlassen, obgleich Kriminelle den Diebstahl von Anmeldedaten inzwischen industrialisiert haben. Die Abhilfe ist nicht gerade exotisch: Passwort-Manager, Authentifizierung mit mehreren Ebenen und eine realistische Risikobewertung. Um sich die Angewohnheit abzugewöhnen, braucht es nicht perfekte Wachsamkeit, sondern vielmehr den Willen, schlechte Tricks zum Merken von Passwörtern durch spezielle, zielgerichtete Werkzeuge zu ersetzen.