Passwort-Lecks erreichen neue Dimension
Eine aktuelle Analyse des Cybernews-Teams vom 2. Mai 2025 zeigt: Im Zeitraum von April 2024 bis April 2025 wurden über 19 Milliarden kompromittierte Passwörter öffentlich zugänglich gemacht – gesammelt aus rund 200 verschiedenen Sicherheitsvorfällen. Es handelt sich ausschließlich um Fälle, bei denen Passwörter gemeinsam mit E‑Mail-Adressen veröffentlicht wurden, also tatsächlich verwertbare Kombinationen für Angreifer. Dabei wurden keine üblichen Wortlisten wie „RockYou“ berücksichtigt, sondern nur echte Leaks, deren Inhalte inzwischen in einschlägigen kriminellen Foren zu finden sind.
Nur 6 Prozent der Passwörter waren einzigartig
Ein zentrales Ergebnis der Untersuchung: 94 Prozent der geleakten Passwörter waren mehrfach verwendet worden – entweder vom gleichen Nutzer auf verschiedenen Plattformen oder von mehreren Nutzern mit denselben schwachen Passwörtern. Nur etwa 6 Prozent, rund 1,14 Milliarden Einträge, enthielten wirklich einzigartige Kombinationen. Das bedeutet, dass die überwiegende Mehrheit der veröffentlichten Daten für sogenannte Credential-Stuffing-Angriffe besonders attraktiv ist, bei denen automatisch mehrere Plattformen mit bekannten Kombinationen getestet werden.
Viele Passwörter zu kurz und zu simpel
Neben der massenhaften Wiederverwendung zeigt die Analyse auch erhebliche Schwächen in der Passwortwahl. Etwa 42 Prozent der geleakten Passwörter waren lediglich 8 bis 10 Zeichen lang – eine kritische Schwelle, unterhalb derer viele Passwörter schnell per Brute-Force-Angriff geknackt werden können. Zudem bestanden 27 Prozent der Passwörter ausschließlich aus Kleinbuchstaben und Zahlen, was die Entropie und damit die Sicherheit erheblich verringert. Sonderzeichen, Großbuchstaben oder längere Passphrasen kamen in den meisten Fällen nicht zum Einsatz.
Häufig verwendete Begriffe: „admin“ und „password“
Auch Standardbegriffe finden sich weiterhin massenhaft in geleakten Zugangsdaten. Laut Cybernews tauchte das Passwort „admin“ über 53 Millionen Mal auf, „password“ wurde über 56 Millionen Mal verwendet. Die Sicherheitsexpertin Neringa Macijauskaitė weist darauf hin, dass genau diese Begriffe gezielt von Angreifern zuerst ausprobiert werden – oft automatisiert, im Rahmen von Angriffen auf Login-Formulare. Wer solche Passwörter nutzt, erleichtert Angreifern den Zugang erheblich.
Was jetzt zu tun ist – Empfehlungen der Experten
BLITZ empfiehlt dringend, einige grundlegende Sicherheitsmaßnahmen umzusetzen. Dazu gehört vor allem, Passwörter niemals mehrfach zu verwenden, sondern für jede Plattform ein eigenes, starkes Passwort zu wählen. Weiterhin wird geraten, keine Standardpasswörter zu verwenden und regelmäßig zu überprüfen, ob die eigenen Daten in bekannten Leaks aufgetaucht sind. Dienste wie Have I Been Pwned können dabei helfen. Darüber hinaus ist die Aktivierung von Zwei-Faktor-Authentifizierung ein zusätzlicher Schutzmechanismus, um Angriffe auch bei kompromittierten Passwörtern abzuwehren.
