Schwache Passwortregeln für Websites prägen Unsicherheitskultur

Eine neue Studie von NordPass zeigt warnend auf, dass selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen wird

[datensicherheit.de, 07.11.2025] Laut einer neuen Studie von NordPass zeigen sich arge Sicherheitsprobleme im Internet auf: Demnach wird selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen. Für die Studie seien die 1.000 der weltweit meistbesuchten Websites analysiert worden: Die meisten setzten nicht einmal die einfachsten Passwortregeln durch – und keine halte die Sicherheitsstandards von NIST oder NordPass vollständig ein. Karolis Arbačiauskas, „Head of Product“ bei NordPass, nennt dies „einen stillen Designfehler, der die Ansichten von Milliarden von Menschen beim Thema Sicherheit prägt“. Die vorliegende Studie zeige, dass Behörden- und Gesundheitswebsites am schlechtesten abschnitten – und bei lediglich einem Prozent von 1.000 Web-Plattformen lange, komplexe Passwörter verlangt würden. Da indes Cyberangriffe durch „Tools“ auf Basis Künstlicher Intelligenz (KI) immer effektiver würden, warnt NordPass, dass ein reiner Fokus auf Benutzerfreundlichkeit bei großen Websites weltweit die Passwort-Gewohnheiten verändere – und damit die Sicherheitsstandards für alle senke. Insgesamt seien für die Studie 1.000 der meistbesuchten Websites ausgewählt – basierend auf dem Ranking „Top 1000 Most Visited Websites in the World“ von Ahrefs und den Schätzungen zum organischen Suchdatenverkehr vom Februar 2025. Dieses Ranking spiegele die geschätzte Anzahl monatlicher Besuche wider, welche jede Website über organische Suchanfragen erhält. Anschließend sei überprüft worden, welche Authentifizierungsmethoden und Passwortanforderungen diese Websites zum jeweiligen Zeitpunkt boten. Die Datenerhebung habe im Zeitraum vom 26. Februar bis 6. März 2025 stattgefunden.

Abbildung: NordPass

NordPass kritisiert den „stillen Designfehler“, welche die Ansichten von Milliarden von Menschen beim Thema Passwort-Sicherheit auf Websites unvorteilhaft prägt

Beliebteste Websites der Welt fördern stillschweigend schlechte Passwortgewohnheiten

Eine neue Studie von NordPass zeige, dass die beliebtesten Websites der Welt stillschweigend schlechte Passwortgewohnheiten förderten – „nicht mit ihren Inhalten, sondern mit dem, was sie von den Nutzern nicht verlangen“.

• Bei der Analyse der 1.000 meistbesuchten Websites weltweit habe das Expertenteam von NordPass herausgefunden, dass es auf bei den meisten immer noch viel zu einfach sei, schwache Passwörter zu erstellen. Von Shopping-Plattformen bis hin zu Portalen von Behörden: Selbst die wichtigsten Online-Präsenzen ignorierten oft die Grundprinzipien für das Erstellen sicherer Passwörter.

Arbačiauskas kommentiert und kritisiert: „Das Internet macht vor, wie man sich einloggen soll – und das schon seit Jahrzehnten auf die falsche Weise. Wenn eine Website ‚Passwort123‘ akzeptiert, denken die Nutzer, es sei in Ordnung, solche schwachen Passwörter zu verwenden. So hat sich eingebürgert, mit minimalem Aufwand ein maximal großes Risiko einzugehen.“

Websites derzeit mit Passwort-Paradoxon

Beim Thema „grundlegende Sicherheit“ würden die meisten Websites also immer noch hinterherhinken. Wie NordPass herausgefunden hat, „gibt es viele Unstimmigkeiten dabei, wie Plattformen mit dem Passwortschutz umgehen“. Einige Websites setzten ein paar grundlegende Anforderungen durch, während andere überhaupt keine festlegten. Zudem folgten nur einige wenige einem klaren, standardisierten Ansatz.

• 61 Prozent der Websites setzten ein Passwort voraus – aber keine erfülle die Sicherheitsstandards von NIST oder NordPass vollständig.
• 58 Prozent erforderten keine Sonderzeichen und 42 Prozent erzwängen keine Mindestlänge.
• Elf Prozent hätten überhaupt keine Anforderungen an Passwörter.
• Nur ein Prozent der in der Studie geprüften Websites fordere alle wichtigen Punkte – nämlich lange, komplexe Passwörter mit Großbuchstaben, Symbolen und Zahlen.

Dadurch stünden Nutzer je nach Web-Plattform vor ganz unterschiedlichen Anforderungen. Auf der einen Website müssten sie vielleicht ein langes und komplexes Passwort erstellen, während auf einer anderen ein einfaches Kennwort wie „123456“ akzeptiert werde. Diese Inkonsistenz sorge nicht nur für Verwirrung – sie senke auch stillschweigend den weltweiten Standard für Online-Sicherheit.

Website-Anbieter sollten gezielt sichereres Verhalten fördern

Jene Branchen, die mit den sensibelsten Daten arbeiten – Behörden, das Gesundheitswesen und die Lebensmittel- und Getränkeindustrie –, hätten am schlechtesten abgeschnitten.

• „Es reicht nicht, die Nutzer einfach nur darauf hinzuweisen, vorsichtiger zu sein. Sicherheit muss als eine gemeinsame Aufgabe gesehen werden! Webseiten können sichereres Verhalten fördern, indem sie beispielsweise klare Regeln vorgeben, visuelle Hinweise bieten oder moderne Anmeldemethoden wie Passkeys einführen“, erläutert Arbačiauskas.

Die Studie habe sich jedoch nicht nur mit Passwörtern beschäftigt, sondern auch einen Blick darauf geworden, wie Websites generell mit dem Thema „Authentifizierung“ umgehen. Die Zahlen belegten nun, wie langsam sich Innovationen etablierten.

Auf zu vielen Websites geht Benutzerfreundlichkeit vor Sicherheit

Während einige wenige Websites mit strikten Passwortrichtlinien als positive Beispiele herausstechen würden, gäben die meisten jedoch immer noch der Benutzerfreundlichkeit gegenüber der Sicherheit den Vorzug.

• 39 Prozent der Websites ließen Nutzer per „Single Sign-On“ (SSO) einloggen, meistens über „Google“.
• Nur zwei 2 Prozent unterstützten Passkeys – „die moderne passwortlose Technologie, die von der FIDO-Allianz unterstützt wird“.
• Nur fünf Websites – „bahn.de“, „cuisineaz.com“, „fedex.com“, „interia.pl“ und „ups.com“ – erfüllten die strengen Passwortkriterien von NordPass und NIST.

„Die allgemeine Nachlässigkeit beim Umgang mit Passwörtern ist also nicht verwunderlich. Wenn Websites keine starken Anmeldedaten mehr voraussetzen, erstellen die Nutzer auch keine mehr. Was wir hier beobachten, ist ein besorgniserregender Wandel, sowohl bei den Internetnutzern als auch bei den Webseiten-Entwicklern – ein Wandel, den wir dringend umkehren müssen!“, fordert Arbačiauskas.

Passwort-Qualität auch bei Websites erste Verteidigungslinie gegenüber Cyberkriminellen

In einer Zeit zunehmender Datenlecks und automatisierter Hacking-Tools sei die Passwort-Qualität längst kein nebensächliches Detail – sie sei die erste Verteidigungslinie. Schwache Vorgaben bei der Passwortvergabe hätten weitreichende Folgen: Wenn selbst die größten Websites keine hohen Standards setzten, machten das auch kleinere Websites immer seltener.

• Unzureichende Passwortrichtlinien gefährdeten dabei nicht nur einzelne Nutzer, sondern wirkten sich auch auf Unternehmen, Branchen und sogar Behörden aus. Jedes Mal, wenn eine große Plattform ein schwaches Passwort akzeptiere, bremse dies die Einführung weltweit einheitlicher Sicherheitsstandards aus.

Cyberkriminelle nutzten diese Lücke gezielt aus. Einfache Passwörter, kombiniert mit neuen Technologien wie KI, machten „Brute Force“- und „Credential Stuffing“-Angriffe so einfach wie nie zuvor – und setzten Millionen Nutzerkonten branchenübergreifend erheblichen Risiken aus.

Weitere Informationen zum Thema:

NordPass
NordPass: A password manager designed to make online security as easy as it gets — for individuals and companies of all sizes. With a global team of experts dedicated to our customers‘ safety, we prove that cybersecurity can be exceptional and effortless at the same time.

NordPass
Minimum password requirements met: Top 1,000 most-visited websites

Linkedin
Karolis Arbaciauskas: Head of Product & Business Development | Cyber Security

datensicherheit.de, 04.05.2025
Chester Wisniewski: Weltpassworttag sollte überflüssig werden / Als nächster Schritt werden phishing-resistente MFA wie „FIDO2“ und Passkeys empfohlen

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen