Passwort-Wiederverwendung
Was ist Passwort-Wiederverwendung?
Passwort-WiederverwendungDie Praxis, dasselbe Passwort für mehrere Konten oder Dienste zu nutzen, wodurch ein einziger Vorfall viele Konten gefährdet.
Passwort-Wiederverwendung liegt vor, wenn Anwender dasselbe oder ein trivial abgewandeltes Passwort für privates E-Mail, Arbeit, Banking und Dutzende weitere Dienste verwenden. Wird einer dieser Dienste kompromittiert und das Passwort geknackt oder geleakt, können Angreifer dasselbe Login per Credential Stuffing auf weiteren Seiten ausprobieren und so zusätzliche Konten übernehmen. Studien und Vorfallsanalysen zeigen durchgängig, dass die Wiederverwendung der wichtigste Verstärker passwortbasierter Vorfälle ist. Gegenmittel sind eindeutige, durch einen Passwortmanager erzeugte Passwörter pro Site, Pflichtprüfungen gegen Leak-Listen, MFA und die schrittweise Umstellung auf passwortlose Verfahren wie Passkeys.
● Beispiele
- 01
Aus einem Forum-Leak stammendes Passwort wird später für E-Mail und Cloud-Storage desselben Nutzers verwendet.
- 02
Mitarbeiter nutzt sein privates Passwort erneut für den unternehmensweiten SSO-Zugang.
● Häufige Fragen
Was ist Passwort-Wiederverwendung?
Die Praxis, dasselbe Passwort für mehrere Konten oder Dienste zu nutzen, wodurch ein einziger Vorfall viele Konten gefährdet. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Passwort-Wiederverwendung?
Die Praxis, dasselbe Passwort für mehrere Konten oder Dienste zu nutzen, wodurch ein einziger Vorfall viele Konten gefährdet.
Wie funktioniert Passwort-Wiederverwendung?
Passwort-Wiederverwendung liegt vor, wenn Anwender dasselbe oder ein trivial abgewandeltes Passwort für privates E-Mail, Arbeit, Banking und Dutzende weitere Dienste verwenden. Wird einer dieser Dienste kompromittiert und das Passwort geknackt oder geleakt, können Angreifer dasselbe Login per Credential Stuffing auf weiteren Seiten ausprobieren und so zusätzliche Konten übernehmen. Studien und Vorfallsanalysen zeigen durchgängig, dass die Wiederverwendung der wichtigste Verstärker passwortbasierter Vorfälle ist. Gegenmittel sind eindeutige, durch einen Passwortmanager erzeugte Passwörter pro Site, Pflichtprüfungen gegen Leak-Listen, MFA und die schrittweise Umstellung auf passwortlose Verfahren wie Passkeys.
Wie schützt man sich gegen Passwort-Wiederverwendung?
Schutzmaßnahmen gegen Passwort-Wiederverwendung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Passwort-Wiederverwendung?
Übliche alternative Bezeichnungen: Wiederverwendetes Passwort, Geteiltes Passwort über Konten hinweg.
● Verwandte Begriffe
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- identity-access№ 230
Credential Harvesting
Das massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.
- attacks№ 800
Password Spraying
Langsamer, breit gestreuter Angriff, der wenige gängige Passwörter gegen viele Konten testet und dabei unter Lockout- und Rate-Limit-Schwellen bleibt.
- identity-access№ 793
Passkey
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
- identity-access№ 797
Passwort-Manager
Eine Anwendung, die starke, einmalige Zugangsdaten erzeugt, speichert und automatisch einsetzt; abgesichert durch eine Master-Passphrase und zunehmend auch Passkeys.