Die meisten Menschen stellen sich einen Passwortangriff als einen Computer vor, der ein einziges Anmeldefeld mit Millionen von Rateversuchen bombardiert. Password Spraying ist das Gegenteil, und genau das macht es so gefährlich. Statt vieler Versuche gegen ein Konto verwendet es ein gängiges Passwort gegen viele Konten - ein leiser Ansatz, der darauf ausgelegt ist, direkt an den Abwehrmaßnahmen vorbeizukommen, die gewöhnliches Raten stoppen sollen.
Was Password Spraying tatsächlich ist
Bei einem Password-Spraying-Angriff beginnt der Angreifer mit einer Liste von Benutzernamen oder E-Mail-Adressen - oft leicht zu beschaffen, weil Organisationen vorhersehbare Formate wie vorname.nachname@company.com verwenden. Statt viele Passwörter für eine Person zu raten, wählt er dann ein einziges sehr gängiges Passwort, etwa Password2026! oder Company@123, und probiert es gegen jedes Konto auf der Liste aus. Schlägt dieses eine fehl, wartet er ab und testet ein zweites gängiges Passwort bei allen.
Der Trick ist Geduld. Lockout-Richtlinien sperren ein Konto meist nach einer Handvoll fehlgeschlagener Versuche. Indem pro Konto nur ein oder zwei Passwörter probiert werden, bleibt Spraying bei jedem einzelnen Konto unter dieser Schwelle, sodass nichts gesperrt wird und kaum ein Alarm ausgelöst wird. Der Angreifer wettet darauf, dass in einer ausreichend großen Gruppe von Menschen mindestens eine dieses schwache, offensichtliche Passwort verwendet hat. Meistens hat es jemand getan.
Wie es sich von Brute Force und Credential Stuffing unterscheidet
Diese drei Angriffe werden ständig verwechselt, doch der Unterschied ist einfach, sobald man die Form jedes einzelnen erkennt:
- Brute Force - viele Passwörter gegen ein Konto. Laut, löst Sperren aus und wird durch ein langes, zufälliges Passwort geschlagen.
- Password Spraying - ein Passwort gegen viele Konten. Leise, vermeidet Sperren und wird dadurch geschlagen, dass man keine gängigen Passwörter verwendet (plus MFA).
- Credential Stuffing - echte geleakte Kombinationen aus Benutzername und Passwort, die über verschiedene Seiten hinweg erneut eingespielt werden. Nutzt die Wiederverwendung von Passwörtern aus und wird durch eindeutige Passwörter pro Seite geschlagen.
Die zentrale Erkenntnis: Brute Force wird durch die Stärke des Passworts besiegt, während Spraying und Stuffing durch die Eindeutigkeit und Unvorhersehbarkeit des Passworts besiegt werden. Ein starkes Passwort, das einem gängigen Muster folgt, hilft dem Angreifer trotzdem; ein eindeutiges, zufälliges tut das nicht.

Warum es funktioniert und wo man es sieht
Password Spraying gedeiht unter zwei Bedingungen: vorhersehbare Benutzernamen und mindestens ein schwaches Passwort in der Menge. Große Organisationen erfüllen beide Punkte, weshalb es eine so gängige Technik gegen Unternehmensanmeldungen ist - Microsoft 365, VPN-Gateways und single sign-on-Portale sind häufige Ziele. Angreifer, darunter gut ausgestattete Gruppen, mögen es, weil es geräuscharm ist und skaliert: ein Passwort über Tausende Konten sprühen und die Wahrscheinlichkeit sagt, dass einige treffen werden.
Es steht auch in direktem Zusammenhang mit Angriffen, die wir an anderer Stelle behandeln. Wenn Sie die vertikale Variante wollen, lesen Sie was ein Brute-Force-Angriff ist; wenn Sie die Breach-Replay-Variante wollen, lesen Sie was Credential Stuffing ist. Spraying liegt zwischen beiden: keine Breach-Daten erforderlich, nur schwache Passwörter und eine lange Namensliste.
Wie man es stoppt
Die gute Nachricht ist, dass dieselben wenigen Gewohnheiten Spraying ausschalten:
- Aktivieren Sie MFA. Das ist die mit Abstand wichtigste Verteidigung. Selbst wenn ein gesprühtes Passwort korrekt ist, wird die Anmeldung beim zweiten Faktor gestoppt. Password-Spraying-Kampagnen sind überwiegend gegen Konten ohne MFA erfolgreich.
- Verwenden Sie eindeutige, nicht gängige Passwörter. Spraying hängt davon ab, dass Menschen Passwörter aus einer vorhersehbaren Liste wählen. Ein Passwortmanager erzeugt lange, zufällige Passwörter, die nie auf diesen Listen erscheinen, sodass es nichts Gängiges zum Sprühen gibt. Hier zahlt sich ein Manager aus.
- Für Organisationen: aktivieren Sie smart lockout, das über viele Konten dünn verteilte fehlgeschlagene Anmeldungen erkennt, blockieren Sie legacy authentication, die MFA umgeht, und überwachen Sie verteilte Anmeldefehler statt nur solche pro Konto.
Password Spraying funktioniert, indem es das eine schwache Passwort in einer Menge findet. Die Lösung ist, sicherzustellen, dass es kein schwaches, gängiges Passwort zu finden gibt - und hinter jede Anmeldung MFA zu setzen, damit selbst ein glücklicher Treffer ins Leere läuft.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→Häufig gestellte Fragen
Was ist Password Spraying?
Password Spraying ist ein Angriff, bei dem ein Krimineller ein einziges gängiges Passwort - etwa „Password2026!“ oder „Company@123“ - nimmt und es gegen viele verschiedene Konten ausprobiert, anstatt viele Passwörter gegen ein einzelnes Konto zu testen. Da er pro Konto nur ein oder zwei Passwörter versucht, bleibt der Angreifer unterhalb der Lockout-Schwelle, die normalerweise nach mehreren fehlgeschlagenen Anmeldungen greift, sodass der Angriff unter dem Radar bleibt. Es reicht schon eine einzige Person in einer Organisation, die dieses schwache Passwort verwendet, damit der Angreifer hineinkommt.
Wie unterscheidet sich Password Spraying von Brute Force?
Brute Force arbeitet vertikal: viele Passwortversuche gegen ein Konto, bis etwas funktioniert. Deshalb löst es Kontosperren aus und wird durch ein langes, zufälliges Passwort geschlagen. Password Spraying arbeitet horizontal: ein Passwort gegen viele Konten. Da jedes Konto nur ein paar Versuche sieht, vermeidet es Sperren vollständig. Stärke allein bewahrt eine Organisation nicht vor Spraying - es reicht ein einziger Nutzer mit einem schwachen, gängigen Passwort, damit der gesamte Anmeldeversuch erfolgreich ist.
Wie unterscheidet sich Password Spraying von Credential Stuffing?
Credential Stuffing spielt echte Kombinationen aus Benutzername und Passwort erneut ein, die bereits bei einer früheren Datenpanne geleakt wurden, und setzt auf die Wiederverwendung von Passwörtern. Password Spraying benötigt keine geleakten Daten - es kombiniert einfach eine Liste von Benutzernamen oder E-Mail-Adressen (oft leicht zu erraten oder öffentlich) mit einer Handvoll sehr gängiger Passwörter. Stuffing nutzt die Wiederverwendung aus; Spraying nutzt schwache, vorhersehbare Passwörter aus. Beide werden durch dieselben zwei Dinge besiegt: eindeutige Passwörter und MFA.
Wo wird Password Spraying eingesetzt?
Es ist eine gängige Technik gegen Organisationen, besonders bei Cloud- und Fernzugriffs-Anmeldungen wie Microsoft 365, VPN-Portalen und single sign-on. Angreifer, darunter auch gut ausgestattete Gruppen, bevorzugen es, weil es leise und im großen Maßstab wirksam ist: ein gängiges Passwort über Tausende Unternehmenskonten sprühen und einige werden passen. Es taucht auch bei jeder großen Anmeldeoberfläche auf, bei der Benutzernamen einem vorhersehbaren Muster wie vorname.nachname folgen.
Wie schütze ich mich vor Password Spraying?
Zwei Schutzmaßnahmen erledigen den Großteil der Arbeit. Erstens MFA: Selbst wenn das gesprühte Passwort korrekt ist, wird der Angreifer beim zweiten Faktor gestoppt. Zweitens eindeutige, nicht gängige Passwörter - ein Passwortmanager erzeugt lange, zufällige Passwörter, die nie auf den Listen gängiger Passwörter erscheinen, auf die sich Spraying stützt. Für Organisationen kommt smart lockout hinzu, das über viele Konten verteilte fehlgeschlagene Anmeldungen erkennt, das Blockieren von legacy authentication, die MFA umgeht, sowie die Überwachung verteilter Anmeldefehler.


