Trotz jahrelanger Security-Awareness-Kampagnen, komplexer Passwortregeln und wachsender MFA-Verbreitung bleibt eine der ältesten Schwachstellen der IT erschreckend aktuell: schwache und wiederverwendete Passwörter. Der aktuelle „2026 Breached Password Report“ von Specops Software analysiert mehr als sechs Milliarden durch Malware gestohlene Zugangsdaten – und zeichnet ein alarmierendes Bild moderner Identitätssicherheit.
Die zentrale Erkenntnis: Nicht Brute-Force-Angriffe sind heute das größte Problem, sondern massenhaft abgegriffene und wiederverwendete Zugangsdaten aus Infostealer-Malware, Datenlecks und Untergrund-Marktplätzen.
Die beliebtesten Passwörter bleiben erschreckend banal
Auch 2026 dominieren weiterhin triviale Kombinationen die Listen kompromittierter Passwörter:
- „123456“
- „123456789“
- „12345678“
Besonders problematisch: Viele kompromittierte Kennwörter erfüllen inzwischen sogar klassische Komplexitätsanforderungen. Sie enthalten Großbuchstaben, Zahlen oder Sonderzeichen – folgen aber weiterhin vorhersehbaren Mustern.
Die Studie zeigt außerdem:
- Achtstellige Passwörter waren mit rund 1,1 Milliarden kompromittierten Kennwörtern die häufigste Kategorie.
- Begriffe wie „admin“, „password“, „welcome“, „student“ oder „qwerty“ tauchen weiterhin millionenfach auf.
Damit bestätigt sich ein Problem, das Security-Teams seit Jahren kennen: Nutzer orientieren sich stärker an Merkfähigkeit als an tatsächlicher Entropie.
Infostealer-Malware verändert die Bedrohungslage
Besonders auffällig ist die Rolle moderner Infostealer-Malware. Laut Specops gehörte die Malware-Familie „LummaC2“ 2025 zu den aktivsten Werkzeugen beim Diebstahl von Zugangsdaten und war für über 60 Millionen kompromittierte Credentials verantwortlich.
Das verändert die Dynamik von Passwortsicherheit fundamental.
Früher standen Passwort-Policies primär im Zeichen der Passwortstärke gegen Brute-Force- oder Dictionary-Angriffe. Heute werden Passwörter jedoch oft gar nicht mehr „geknackt“ – sie werden direkt von kompromittierten Endgeräten abgesaugt, aggregiert und automatisiert weiterverwendet.
Specops formuliert es deutlich: „Die Passwörter werden nicht geknackt – sie werden gestohlen, gesammelt und in großem Maßstab wiederverwendet.“
Warum klassische Passwortregeln zunehmend versagen
Der Bericht offenbart ein strukturelles Problem moderner Passwortpolitik: Viele Unternehmen setzen weiterhin auf starre Komplexitätsregeln statt auf tatsächliche Resilienz.
Genau das kritisieren inzwischen auch Security-Communities und Forscher. Diskussionen auf Reddit zeigen, dass vermeintlich „starke“ Kennwörter häufig hochgradig vorhersehbar bleiben:
- Großbuchstabe am Anfang,
- Sonderzeichen am Ende,
- Jahreszahl oder „123“ als Zusatz.
Ein Beispiel aus den Analysen:
- „Dragon!2023“ galt in vielen Passwort-Checkern als „sehr stark“, tauchte jedoch mehrfach in kompromittierten Datenbanken auf.
- Eine lange Passphrase wie „correcthorsebatterystaple“ oder ähnliche Wortkombinationen erwiesen sich dagegen als deutlich widerstandsfähiger.
Damit verschiebt sich die Diskussion weg von klassischer Komplexität hin zu:
- Passwortlänge,
- Einzigartigkeit,
- und kompromittierungsbasierter Validierung.
Passwort-Wiederverwendung bleibt der eigentliche Brandbeschleuniger
Besonders gefährlich bleibt Credential-Reuse. Bereits ältere akademische Untersuchungen zeigen, dass Nutzer Passwörter häufig mehrfach verwenden oder nur minimal verändern.
In Kombination mit modernen Credential-Stuffing-Angriffen entsteht daraus ein massives Risiko:
- Ein kompromittierter Streaming-Dienst,
- ein geleakter Gaming-Account,
- oder ein infiziertes Privatgerät
können direkten Zugriff auf Unternehmenskonten ermöglichen – selbst dann, wenn die Unternehmenssysteme selbst nie kompromittiert wurden.
Gerade Active-Directory-Umgebungen geraten dadurch zunehmend ins Visier. Genau hier setzt Specops mit seinem Report an: Unternehmen fehlt häufig die Transparenz darüber, welche kompromittierten Passwörter bereits intern verwendet werden.
Passkeys lösen das Problem noch nicht sofort
Zwar wächst die Verbreitung von Passkeys und FIDO2-basierter Authentifizierung, doch klassische Passwörter dominieren weiterhin große Teile der Unternehmensrealität. Laut aktuellen Sicherheitsanalysen bleiben kompromittierte Zugangsdaten einer der häufigsten Initial-Access-Vectors moderner Angriffe.
Das bedeutet: Die Übergangsphase wird besonders gefährlich. Unternehmen müssen aktuell gleichzeitig:
- klassische Passwörter absichern,
- MFA etablieren,
- Passkey-Strategien entwickeln,
- und kompromittierte Credentials kontinuierlich überwachen.
Die eigentliche Lektion: Passwortsicherheit ist heute Threat-Intelligence
Der vielleicht wichtigste Punkt des Reports liegt jedoch tiefer: Passwortsicherheit ist längst kein reines IAM- oder Compliance-Thema mehr. Wer heute Passwortschutz ausschließlich über Mindestlängen und Sonderzeichen definiert, ignoriert die Realität moderner Angriffe. Entscheidend wird vielmehr:
- kontinuierliche Prüfung gegen Breach-Datenbanken,
- Echtzeit-Erkennung kompromittierter Credentials,
- adaptive Policies,
- und eine Zero-Trust-Strategie für Identitäten.
Denn die Zahlen zeigen deutlich:
Selbst „starke“ Passwörter sind wertlos, wenn sie bereits gestohlen wurden.
Fazit: Das Passwortproblem ist nicht gelöst – es verändert sich nur
Der Specops-Report zeigt eindrucksvoll, dass die Branche ein fundamentales Missverständnis lange nicht überwunden hat: Sicherheit entsteht nicht durch komplizierte Passwörter allein. Die eigentliche Gefahr liegt heute in:
- automatisiertem Credential-Harvesting,
- Malware-basiertem Diebstahl,
- massiver Passwortaggregation,
- und Wiederverwendung über unzählige Plattformen hinweg.
Mit anderen Worten: Das Passwort stirbt nicht plötzlich aus – es wird langsam zum permanent kompromittierten Sicherheitsfaktor. Unternehmen müssen deshalb aufhören, Passwörter als statische Zugangsdaten zu behandeln. Sie sind längst Teil eines dynamischen Bedrohungsökosystems geworden.
#Specops
