Browser speichert alle Zugangsdaten unverschlüsselt im Arbeitsspeicher – fast jedes zweite Passwort ist in Sekunden geknackt.
Eine Reihe von Sicherheitsenthüllungen hat in dieser Woche die Debatte über die Verwundbarkeit von Passwörtern neu entfacht. Im Kern stehen zwei alarmierende Erkenntnisse: Microsofts Browser Edge hinterlegt gespeicherte Passwörter im Klartext im Systemspeicher – und aktuelle Hardware knackt fast die Hälfte aller weltweit genutzten Passwörter in unter einer Minute. Der Zeitpunkt ist brisant: Erst am 7. Mai wurde der „World Password Day“ begangen.
4,7 Millionen gehackte Konten pro Quartal in Deutschland zeigen, wie unsicher klassische Passwörter geworden sind. Schützen Sie Ihre digitalen Zugänge jetzt effektiv und steigen Sie auf die sicherste Alternative um. Kostenlosen Passkey-Report jetzt herunterladen
Edge-Enthüllung: Forscher findet schwerwiegendes Sicherheitsproblem
Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning entdeckte, dass Microsoft Edge beim Start sämtliche gespeicherten Passwörter unverschlüsselt in den Arbeitsspeicher lädt. Andere Chromium-basierte Browser wie Google Chrome oder Brave entschlüsseln einzelne Zugangsdaten dagegen erst dann, wenn sie tatsächlich benötigt werden – etwa für die Autofill-Funktion.
Die Gefahr ist real: Ein Angreifer mit lokalem Zugriff oder einem kompromittierten Administratorkonto könnte den gesamten Passwortspeicher auslesen, indem er den Prozess-Speicher des Browsers analysiert.
Microsoft selbst verteidigt die Praxis als „bewusste Designentscheidung“ zur Leistungssteigerung. Das Unternehmen argumentiert, dass ein System bereits grundlegend kompromittiert sein müsse, bevor diese Speicher-Exposition ausgenutzt werden könne.
Sicherheitsexperten widersprechen entschieden. „Moderne Browser-Sicherheit sollte auf dem Prinzip der verteidigungstiefe basieren“, kritisieren Fachleute. Sie verweisen auf technische Schutzmaßnahmen wie die „App-Bound Encryption“, die Entschlüsselungsschlüssel an bestimmte Prozesse bindet. Das Fehlen solcher Schutzmechanismen in Edge veranlasst Analysten, Unternehmen den Umstieg auf spezialisierte Passwort-Manager zu empfehlen.
Kaspersky-Studie: Passwort-Knacken in Sekundenschnelle
Die Dringlichkeit des Problems unterstreicht eine Untersuchung des Sicherheitsunternehmens Kaspersky vom 8. Mai 2026. Die Forscher analysierten 231 Millionen einzigartige Passwörter, die zwischen 2023 und Anfang 2026 im Darknet aufgetaucht waren.
Das Ergebnis ist erschütternd: Mit einer handelsüblichen High-End-Grafikkarte (RTX 5090) ließen sich 48 Prozent aller Passwörter in unter 60 Sekunden knacken. 60 Prozent waren innerhalb einer Stunde geknackt, 68 Prozent in weniger als einem Tag.
Der entscheidende Faktor für die Sicherheit eines Passworts bleibt die Länge. Passwörter mit weniger als acht Zeichen sind praktisch sofort kompromittiert. Als Goldstandard gelten Passphrasen mit mehr als 15 Zeichen.
Die Einstiegshürde für Cyberkriminelle ist dramatisch gesunken: GPU-Rechenleistung kann heute stundenweise online gemietet werden – zu minimalen Kosten. Viele veraltete Passwortrichtlinien, etwa solche mit einfachen Zeichenersetzungen, sind damit faktisch wertlos.
Ob Browser-Schwachstellen oder schnelle Knack-Algorithmen – wer seine Passwörter noch herkömmlich verwaltet, geht ein hohes Risiko ein. Diese neue Einlogg-Methode macht Passwörter überflüssig und schützt Ihre Konten bei Amazon, WhatsApp & Co. dauerhaft. Sicher und passwortlos: Gratis-Leitfaden sichern
Identitätsdiebstahl: Die neue Lieblingsmethode der Hacker
Die technischen Schwachstellen in Browsern und die rasanten Knackgeschwindigkeiten fügen sich in einen größeren trend ein. Laut aktuellen Daten des IBM X-Force Threat Intelligence Teams ist die Nutzung gestohlener Zugangsdaten im Jahresvergleich um 71 Prozent gestiegen.
Identitätsbasierte Angriffe machen inzwischen rund 30 Prozent aller Sicherheitsvorfälle aus. Die Täter setzen zunehmend auf „Einloggen“ statt „Einbrechen“. Mit legitimen Zugangsdaten umgehen sie traditionelle Malware-Erkennungssysteme und können sich über längere Zeiträume als normale Nutzer tarnen.
Diese Entwicklung verändert die Investitionsstrategien in der Unternehmenssicherheit. Immer mehr Firmen setzen auf Managed Detection and Response (MDR)-Programme, die auf Verhaltensanalyse setzen. Statt nur das Passwort zu prüfen, wird analysiert, ob ein Login aufgrund von Standort, Uhrzeit und typischem Nutzerverhalten plausibel ist.
Die finanziellen Folgen solcher „stillen“ Einbrüche sind erheblich. Kompromittierte Konten führen oft zur Offenlegung sensibler Kundendaten, interner Kommunikation und Finanzsysteme. Die Erkennungszeit ist meist länger als bei malware-basierten Angriffen – mit entsprechend höheren Wiederherstellungskosten und Reputationsschäden.
Der Ausweg: Passkeys und Passwort-Manager
Die gebündelten Enthüllungen rund um den World Password Day haben die Diskussion um passwortlose Authentifizierung neu belebt. Organisationen wie die FIDO Alliance treiben die Einführung von Passkeys voran. Diese nutzen kryptografische Schlüsselpaare statt traditioneller Zeichenketten. Passkeys sind resistent gegen Phishing, da sie an eine bestimmte Website oder Anwendung gebunden sind und nicht gestohlen oder geteilt werden können.
Der durchschnittliche Nutzer verwaltet rund 120 verschiedene Zugangsdaten. Die Folge: weit verbreitete Wiederverwendung und schwache, leicht zu erratende Muster. Die aktuellen Enthüllungen zu Browser-Speicher und Knackgeschwindigkeiten haben große Technologieanbieter veranlasst, ihre Passkey-Einführungen zu beschleunigen.
Ein besonderer Warnhinweis gilt der Nutzung von KI zur Passwort-Generierung. Zwar können KI-Tools komplex wirkende Zeichenfolgen erstellen, doch die zugrundeliegende Logik großer Sprachmodelle erzeugt oft vorhersagbare Muster, die spezialisierte Knack-Algorithmen besonders leicht ausnutzen können.
Ausblick: Der Countdown für klassische Passwörter läuft
Für den Rest des Jahres 2026 erwartet die Branche einen verstärkten Fokus auf den Schutz nicht-menschlicher Identitäten – etwa Service-Konten und API-Schlüssel. Wie jüngste Vorfälle bei Firmen wie Dropbox Sign zeigten, können kompromittierte Service-Konten mit erweiterten Rechten Angreifern breiten Zugang zu Produktionsumgebungen verschaffen – unabhängig von der Stärke einzelner Nutzer-Passwörter.
Die Empfehlung für Endnutzer und kleine Unternehmen ist eindeutig: Umstieg auf spezialisierte Passwort-Manager und Aktivierung phishing-resistenter Multi-Faktor-Authentifizierung (MFA). Während Microsoft weiterhin das Design seines Browser-Speichermanagements verteidigt, zeigt der Markttrend in eine andere Richtung: hin zu restriktiveren Datenverarbeitungspraktiken. Die Sicherheitsfenster für traditionelle Passwörter werden sich weiter schließen – die Adoption hardwaregestützter Zugangsdaten und Passkeys wird vom Luxus zur Notwendigkeit.
