Zurück zur Startseite

Passwort-Updates im Web: Was das Ändern eines Passworts so schwer macht

Veröffentlicht am 19. Juni 2026 · Lesezeit ca. 6 Minuten

Dr. Alexander Krause
Dr. Alexander Krause IT-Sicherheitsberater & Forscher am CISPA Helmholtz-Zentrum für Informationssicherheit
Erklärvideo mit deutschen Untertiteln: Warum Passwort-Updates schwer sind und was hilft (2:21).

Das eigene Passwort wurde in einem Datenleck gefunden. Die Empfehlung ist klar: ändern, und zwar sofort. Doch wer das versucht, landet erst einmal in den Tiefen der Kontoeinstellungen, klickt sich durch wechselnde Bezeichnungen wie „Sicherheit", „Konto" oder „Profil bearbeiten" und ist am Ende unsicher, ob die Änderung überhaupt funktioniert hat. Die Studie „An Analysis of the Security, Usability, and Automation Capabilities of Password Update Processes on Top-Ranked Websites" (Krause et al., SOUPS 2026) untersucht erstmals systematisch, wie 111 top-gelistete Websites das Ändern und Zurücksetzen von Passwörtern umsetzen, und legt dabei eine erstaunliche Bandbreite an Lücken offen.

Dass sich die Mühe lohnt, hat einen einfachen Grund: Das Passwort verschwindet nicht. Passkeys, biometrische Verfahren und Hardware-Token werden seit Jahren als Nachfolger gehandelt, doch im Alltag bleibt das Passwort das mit Abstand häufigste Anmeldeverfahren im Web. Und selbst dort, wo modernere Methoden zum Einsatz kommen, springt es als Rückfallebene ein, sobald das Smartphone verloren geht oder der Token streikt. Auf absehbare Zeit löst nichts das Passwort ab, weder als primäres noch als zweites Standbein. Umso schwerer wiegt, dass ausgerechnet das Ändern eines Passworts so oft hakt.

111 Prozesse, zwei Wege

Passwort-Updates haben zwei typische Auslöser. Beim Passwortwechsel (Password Change, PWC) kennt der Nutzer sein aktuelles Passwort noch und will es bewusst ersetzen, etwa nach einem Datenleck oder zum Beenden einer geteilten Nutzung. Beim Zurücksetzen (Password Reset, PWR) hat er den Zugang verloren und muss seine Identität auf anderem Weg bestätigen, meist über einen Link per E-Mail oder einen Code per SMS.

Zwei Forschende legten zwischen September 2024 und Februar 2025 echte Konten auf top-gelisteten Websites der Tranco-Liste an und arbeiteten jeden Prozess anhand eines Protokolls mit 32 Merkmalen durch. 96 der Seiten boten einen Passwortwechsel, 109 ein Zurücksetzen. Das Ergebnis vorweg: Keine zwei Seiten glichen sich. Navigationswege, Formulare und Sicherheitsmaßnahmen unterschieden sich auf jeder einzelnen Website.

Schon der Weg zum Formular ist eine Hürde

Bevor überhaupt ein neues Passwort gesetzt werden kann, muss das richtige Formular gefunden werden. Im Schnitt waren dafür zwei bis sechs Klicks nötig, drei waren am häufigsten. Erschwerend kommt hinzu, dass die Funktion auf jeder Seite anders heißt. Mal „Account Security", mal „Edit Profile", mal schlicht „Authentication". Bei drei Seiten ließ sich der Einstieg nur über eine Suchmaschine finden.

Manche Formulare lagen auf einer eigenen Seite mit fester URL, andere öffneten sich als Pop-up ohne eigene Adresse, wieder andere waren tief in den Profileinstellungen vergraben. Diese fehlende Einheitlichkeit hat Folgen: Erfahrung von einer Website lässt sich kaum auf die nächste übertragen. Jeder Passwortwechsel wird so zu einer kleinen Schnitzeljagd.

Sicherheit: Das alte Passwort bleibt oft gültig

Der wichtigste Befund betrifft die Sitzungen. Ein neues Passwort schützt wenig, wenn alte Anmeldungen weiterlaufen. Genau das ist die Regel: Nur 8 von 96 Seiten beim Passwortwechsel und 7 von 109 beim Zurücksetzen meldeten wirklich alle Geräte ab. Ein Angreifer mit einer bestehenden Sitzung bleibt also auch nach der Änderung eingeloggt. Aus Sicht der Studie sollte ein Passwort-Update deshalb wie ein Widerruf behandelt werden, nicht wie ein bloßer Austausch.

Auch bei der Benachrichtigung klaffen Lücken. 34 von 96 Seiten beim Wechsel und 45 von 109 beim Zurücksetzen informierten gar nicht über die Änderung. Wird ein Konto unbemerkt übernommen und das Passwort geändert, erfährt der eigentliche Besitzer davon nichts. Prüfungen gegen bekannte Datenlecks, die ein neu gewähltes Passwort gegen geleakte Listen abgleichen, waren praktisch nicht vorhanden: jeweils nur eine einzige Seite setzte sie wirksam um.

Benutzbarkeit: uneinheitliche, irritierende Formulare

Viele Formulare machen es Nutzern unnötig schwer. Auf 21 der 96 Wechselformulare fehlte ein Bestätigungsfeld für das neue Passwort, sodass sich Tippfehler ungehindert einschleichen und zum Aussperren führen können. Eine Sichtbarkeitsumschaltung, mit der man das eingegebene Passwort kontrollieren kann, fehlte auf 43 der 96 Formulare.

Hinzu kommen widersprüchliche Passwortrichtlinien. Zwar setzten die meisten Seiten überhaupt eine Richtlinie ein (67 % beim Wechsel, 74 % beim Zurücksetzen), doch auf ein und derselben Website galten teils unterschiedliche Regeln für Wechsel und Reset. Ein Passwort mit Bindestrich war im einen Prozess erlaubt, im anderen nicht. Passwortstärke-Anzeigen fanden sich nur auf rund einem Drittel der Seiten (31 % beim Wechsel, 25 % beim Zurücksetzen), und ihre Bewertungen waren uneinheitlich. Eingebaute Passwortgeneratoren waren mit nur zwei Seiten die absolute Ausnahme.

Besonders frustrierend ist die Rückmeldung nach dem Absenden. Oft erschien gar keine Bestätigung, manchmal nur eine winzige Meldung, die nach ein, zwei Sekunden wieder verschwand, gelegentlich eine Weiterleitung ganz ohne Text. Der Nutzer bleibt im Ungewissen, ob das neue Passwort nun gilt.

Automatisierung: Passwortmanager bleiben außen vor

Passwortmanager könnten Updates erheblich vereinfachen, doch die wenigsten Seiten unterstützen sie sauber. Das HTML-Attribut autocomplete, mit dem ein Manager aktuelles und neues Passwortfeld zuverlässig erkennt, war nur auf 9 von 111 Seiten in allen Login- und Update-Formularen korrekt gesetzt. Häufig trugen Felder irreführende oder dynamisch wechselnde Namen, an denen die automatische Zuordnung scheitert.

Der vom W3C vorgeschlagene Standard, eine bekannte URL unter /.well-known/change-password, würde Tools direkt zum Änderungsformular leiten. Umgesetzt hatten ihn nur 6 von 111 Seiten. Hinzu kommen die „Türsteher" der Automatisierung: RBA (risikobasierte Authentifizierung), Zwei-Faktor-Abfragen und CAPTCHAs. Sie erschweren automatisiertes Vorgehen, dienen aber zugleich dem Schutz vor Angriffen. Die Studie betont, dass eine automatisierungsfreundliche Gestaltung diese Schutzmechanismen nicht aushebeln darf.

Was die Autoren empfehlen

Die Empfehlungen sind nach Priorität geordnet und jeweils an konkreten Messwerten verankert.

Hohe Priorität (sicherheitskritisch):

  • Updates als Widerruf behandeln: Bei einer Passwortänderung alle anderen Sitzungen, Tokens und Cookies beenden und dem Nutzer anbieten, dies zu tun.
  • Immer out-of-band benachrichtigen: Über einen separaten Kanal wie E-Mail informieren, idealerweise mit Hinweisen zur Schadensbegrenzung, falls die Änderung nicht vom Nutzer stammt.
  • Geführte Account-Remediation anbieten: Den Nutzer durch verwandte Schritte wie aktive Sitzungen, Wiederherstellung und Zwei-Faktor-Authentifizierung leiten, statt das Passwort-Update als abgeschlossene Handlung zu betrachten.

Mittlere Priorität (verhindert Fehler):

  • Updates eindeutig gestalten: Bestätigungsfeld und Sichtbarkeitsumschaltung anbieten, sichtbare Rückmeldung geben und die Richtlinie anzeigen.
  • Passwortmanager-Autofill unterstützen und testen: Formulare mit gängigen Managern prüfen und korrekte HTML-Attribute setzen.

Niedrige Priorität (Ökosystem):

  • Change-Password-URL implementieren: Der W3C-Vorschlag spart Nutzern die Navigationshürde von zwei bis sechs Schritten.
  • Standards zu einer abgesicherten API weiterentwickeln: Eine künftige Schnittstelle muss Zwei-Faktor-Authentifizierung, RBA und Missbrauchsschutz erhalten.

Fazit

Was macht das Ändern eines Passworts so schwer? Die Analyse von 111 Websites zeigt: Die Schwierigkeit liegt nicht im Passwort selbst, sondern in den zersplitterten Prozessen rundherum. Gerade in sicherheitskritischen Momenten, etwa nach einem vermuteten Angriff, stoßen Nutzer auf versteckte Einstiegspunkte, uneinheitliche Bezeichnungen, unklare Richtlinien und unklare Ergebnisse. Im Zweifel verzichten sie ganz auf die Änderung.

Das Passwort bleibt auf Jahre hinaus das Rückgrat der Anmeldung im Web, als primäres Verfahren und als Rückfallebene zugleich. Damit gehört ein verlässlicher Update-Prozess zur Grundsicherung jedes Kontos und verdient denselben Stellenwert wie andere sicherheitskritische Abläufe. Websites sollten direkte Wege zum Formular anbieten, Anforderungen vor dem Scheitern kommunizieren, Erfolge klar bestätigen, out-of-band benachrichtigen und alte Sitzungen beenden. Verlässlich und benutzbar wird das Ganze aber erst, wenn Entwickler, Web-Frameworks und Standardisierungsgremien gemeinsam an einem Strang ziehen.

Die vollständige Publikation: Alexander Krause, Jacques Suray, Lea Schmüser, Marten Oltrogge, Oliver Wiese, Maximillian Golla, Sascha Fahl, „An Analysis of the Security, Usability, and Automation Capabilities of Password Update Processes on Top-Ranked Websites", SOUPS 2026, Hannover.

Dieser Artikel ist eine KI-generierte Zusammenfassung der wissenschaftlichen Publikation „An Analysis of the Security, Usability, and Automation Capabilities of Password Update Processes on Top-Ranked Websites" (SOUPS, 2026). Die Inhalte wurden redaktionell geprüft.

Sie möchten Anmelde- und Passwortprozesse Ihrer Anwendung sicher und benutzbar gestalten? Kontaktieren Sie mich für eine Beratung zu Authentifizierung, Account-Sicherheit und Passwortmanager-Unterstützung.