Hacker mögen kleine Änderungen an Anmeldedaten

Dieses riskante Verhalten ist in der Tat weit verbreitet. Die Umfrage zur Wiederverwendung von Passwörtern von NordPass zeigt, dass 62 % der US-Amerikaner, 60 % der Briten und 50 % der Deutschen Passwörter für mehrere Online-Konten wiederverwenden. Im Durchschnitt verwenden die Nutzer Passwörter für etwa fünf Konten wieder, wobei ein Fünftel zugibt, sie für 10 oder mehr Konten wiederzuverwenden. 

„Diese riskante Angewohnheit, die fast drei von fünf Benutzern betrifft, löst einen Dominoeffekt aus. Ein einziges geknacktes Passwort kann Hackern Zugang zum gesamten digitalen Leben einer Person verschaffen“, sagt Karolis Arbaciauskas, Head of Product bei NordPass. 

Hinzufügen eines Buchstabens, einer Zahl oder eines Symbols

Laut den Umfragedaten nehmen 68 % der US-Amerikaner, die Passwörter wiederverwenden, zumindest einige Änderungen vor, bevor sie sie wiederverwenden. Dasselbe gilt für 62 % der Briten und 61 % der Deutschen. Die häufigste Änderung besteht darin, eine Zahl, ein Symbol oder einen Buchstaben hinzuzufügen oder zu ändern.

„So eine lockere Herangehensweise an die Sicherheit kann zu gestohlenen Daten, einem leeren Bankkonto und jeder Menge Stress führen“, sagt Arbaciauskas. „Gerade im Unternehmensumfeld ist diese Praxis aber besonders gefährlich. Da sie technisch gesehen nicht gegen die meisten Passwortrichtlinien verstößt, bleibt sie von Administratoren oft unbemerkt. So wird sie zum Einfallstor für Angreifer, die das Unternehmen dann nur zu gern erpressen.“

Die häufigsten Varianten 

In der Liste 200 am häufigsten verwendeten Passwörter 2025 fand das Expertenteam 119 nahezu identische Passwörter, die in sieben Gruppen unterteilt wurden:

• sequenzielle Zahlenvariationen. Beispiele: 12345, 123456, 1234567, 987654321.
• Variationen von „Admin“. Beispiele: admin, Admin, adminadmin, admin123.
• Variationen von „Password“. Beispiele: password, Password1, p@ssw0rd, Passw0rd.
• Variationen von Tastaturmustern. Beispiele: qwerty, qwerty123, abcd1234, Abcd@1234.
• Variationen von sich wiederholenden Mustern. Beispiele: 11111111, 111111111, aa112233, aabb1122.
• Variationen gängiger Wörter. Beispiele: welcome, Welcome1, test123, Test@123.
• Präfix-/Suffix-Variationen. Beispiele: a123456, Aa123456, Aa@123456, 12345678a.

Die zahlreichsten Gruppen sind sequenzielle Zahlenvariationen, Variationen von Tastaturmustern und Variationen von sich wiederholenden Mustern.

„Das ist nur eine grobe Aufteilung, basierend auf Variationen derselben Passwörter. Im Prinzip lassen sich jedoch alle 200 Passwörter in bestimmte, vorhersehbare Kategorien einordnen. Zum Beispiel ist uns bei der Erstellung der Liste aufgefallen, dass beliebte Vor- und Nachnamen, Ortsnamen, Schimpfwörter, Markennamen und Entsprechungen des Wortes ‚Passwort‘ in verschiedenen Sprachen oft als Passwörter verwendet werden – häufig ergänzt durch Zahlen oder Sonderzeichen. Solche Passwörter fühlen sich womöglich einzigartig an, folgen aber vorhersehbaren Mustern. Bedrohungsakteure wissen das, und die automatisierten Hacking-Tools, die sie verwenden, können mit Sicherheit gängige Änderungen anwenden, wie das Hinzufügen oder Ändern von Zeichen und das Erhöhen von Zahlen“, sagt Arbačiauskas.

Warum verwenden Nutzer Passwörter wieder?

Ein Drittel der Internetnutzer, die Passwörter wiederverwenden, gibt an, dass sie dies tun, weil sie zu viele Konten haben, um sich für jedes ein einzelnes Passwort zu merken. Etwa 25 % geben an, dass sie es umständlich finden, einzigartige Passwörter zu erstellen und zu verwalten. 

„Die Nutzer verwenden Passwörter wieder, weil es einfach bequemer ist. Ob Arbeitstools, Finanz-Apps, Abos, soziale Netzwerke, Online-Shopping oder Gaming – die Zahl der Konten summiert sich schnell. Der Durchschnittsnutzer hat rund 170 Passwörter. Sich für jeden Account ein eigenes zu merken, ist schlicht unrealistisch. Es ist jedoch besorgniserregend, dass trotz ständiger Warnungen etwa 10 % der Befragten immer noch glauben, dass die Wiederverwendung von Passwörtern kein großes Risiko darstellt. Diese Einstellung kann schnell in einer Katastrophe enden. Angreifer könnten Zugriff auf alle Konten eines Nutzers erhalten, dessen Identität stehlen, die Kreditkarte bis zum Limit belasten oder Kredite in dessen Namen aufnehmen. Im Unternehmensumfeld könnte diese Angewohnheit sogar Millionen kosten, wenn dadurch Ransomware ins System gelangt“, sagt Arbačiauskas.

Tipps zur Passwortsicherheit

Laut Arbačiauskas können einige allgemeine Regeln den digitalen Schutz erheblich verbessern und helfen, nicht durch ineffektives Passwortmanagement Opfer von Cyberangriffen zu werden: