World Password Day

Welt-Passwort-Tag 2025: Warum Passwörter ausgedient haben

, Check Point | Autor: Herbert Wieler

Welt-Passwort-Tag 2025: Warum Passwörter ausgedient haben

Security-Anbieter Check Point Software Technologies Ltd. warnt: Passwörter sind nicht mehr zeitgemäß – moderne, passwortlose Authentifizierungsmethoden bieten heute deutlich besseren Schutz.

Jedes Jahr am ersten Donnerstag im Mai ruft der Welt-Passwort-Tag dazu auf, die Passwortsicherheit zu überdenken. Doch im Jahr 2025 gerät dieses Konzept selbst ins Wanken. Denn genau die Technologie, die einst Schutz versprach, stellt heute ein zentrales Risiko dar: die übermäßige Abhängigkeit von Passwörtern.

Laut dem Verizon Data Breach Investigations Report sind 81 % aller Sicherheitsvorfälle noch immer auf gestohlene oder schwache Passwörter zurückzuführen. KI-gestützte Angriffe und leistungsstarke Hardware machen selbst komplexe Passwörter innerhalb von Minuten angreifbar. Einfache Kombinationen wie „123456“ sind trotz bekannter Risiken weiterhin im Einsatz – und lassen sich in unter einer Sekunde knacken.

Cyberkriminalität auf Industrie-Niveau

Die Bedrohungslage hat sich verschärft: Brute-Force-Angriffe laufen heute über GPUs mit Millionen von Kombinationen pro Sekunde. Im Darknet zirkulieren über 24,6 Milliarden kompromittierte Zugangsdaten – häufig mehrfach verkauft und zu Spottpreisen angeboten, wie etwa im Fall von Booking.com. Besonders begehrt sind Zugangsdaten zu Banken, E-Mails, Clouds, Krypto-Wallets, Unternehmensnetzwerken und sozialen Medien.

Hinter diesen Angriffen stehen hochprofessionelle Gruppen wie Kimsuky (Nordkorea), MuddyWater (Iran) und APT28/29 (Russland). Sie nutzen Malware wie Lumma sowie Malware-as-a-Service-Plattformen (MaaS), um gestohlene MFA-Token und Krypto-Zugänge über Telegram-Bots automatisiert weiterzugeben. Allein im Jahr 2024 wurden so 3,9 Milliarden Anmeldedaten auf 4,3 Millionen Geräten kompromittiert.

Selbst die weit verbreitete Zwei-Faktor-Authentifizierung (2FA) ist durch Tools wie EvilProxy verwundbar, die MFA-Tokens abfangen. Neue Angriffsmodelle wie Phishing-as-a-Service (PhaaS) oder Infostealer-Kits machen komplexe Cyberangriffe für jedermann zugänglich – gegen geringe Kosten und ohne Programmierkenntnisse.

Die Zukunft ist passwortlos – und sie ist längst Realität

Technologiekonzerne wie Google, Microsoft und Shopify setzen bereits auf Passkeys – verschlüsselte, gerätegebundene Schlüssel, kombiniert mit biometrischer Authentifizierung. Microsoft will Passwörter für über eine Milliarde Nutzer abschaffen. Laut Gartner planen 60 % der Unternehmen bis Ende 2025, Passwörter in weiten Teilen durch alternative Verfahren zu ersetzen.

Staatlich geförderte Systeme zeigen, dass es geht:

  • In Singapur verbindet die digitale Identitätsplattform Singpass über 700 öffentliche und private Organisationen – mit Gesichtserkennung und QR-basiertem Login.
  • Indien setzt mit dem weltweit größten biometrischen System Aadhaar auf OTPs und Biometrie für Gesundheits- und Finanzdienste.
  • Australien investiert in föderierte Identitätssysteme für einen vollständig passwortfreien Zugang.

KI – Freund und Feind zugleich

Die rasante Entwicklung künstlicher Intelligenz beschleunigt sowohl Bedrohung als auch Lösung:

  • Deep-Learning-Modelle analysieren Milliarden kompromittierter Passwörter und lernen daraus, neue schneller zu erraten.
  • Deepfakes gefährden sogar biometrische Systeme, wenn diese auf schwachen Verifikationsschichten basieren.
  • Cloud-GPUs demokratisieren die Passwort-Knackmethoden – Ransomware-Gruppen und Skript-Kiddies greifen gleichermaßen an.

Empfehlungen von Check Point für eine sichere Authentifizierungsstrategie:

  • Verzicht auf Passwort-Wiederverwendung und konsequente Nutzung langer, eindeutiger Passphrasen.
  • Migration zu passwortlosen Verfahren: Passkeys, biometrische Merkmale und Hardware-Token.
  • Phishing-Resilienz stärken: Sicherheitslösungen einsetzen, Mitarbeiterschulungen ausbauen, Awareness fördern.
  • Zero-Trust-Architekturen und PAM-Lösungen einführen, um privilegierte Zugriffe strikt zu kontrollieren.
  • Netzwerksegmentierung zur Begrenzung potenzieller Schäden durch kompromittierte Konten.
  • Benutzer schulen, um Akzeptanz und Kompetenz im Umgang mit passwortlosen Technologien zu fördern.

Fazit:

Der Welt-Passwort-Tag sollte kein nostalgischer Appell an veraltete Sicherheitskonzepte mehr sein. Er sollte vielmehr der Weckruf für eine neue Ära sein: eine Ära ohne Passwörter. Die Technologien existieren, die Bedrohungen sind real – jetzt ist es an der Zeit, konsequent umzusteigen.