{"id":3242,"date":"2026-03-13T09:38:55","date_gmt":"2026-03-13T09:38:55","guid":{"rendered":"https:\/\/www.captcha.eu\/?p=3242"},"modified":"2026-03-13T10:03:14","modified_gmt":"2026-03-13T10:03:14","slug":"was-ist-passwort-reset-poisoning","status":"publish","type":"post","link":"https:\/\/www.captcha.eu\/de\/was-ist-passwort-reset-poisoning\/","title":{"rendered":"Was ist Password Reset Poisoning?"},"content":{"rendered":"<figure class=\"wp-block-image size-large is-resized\"><img data-dominant-color=\"d1d2d4\" data-has-transparency=\"false\" loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" src=\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-1024x576.jpg\" alt=\"\" class=\"wp-image-3243 not-transparent\" style=\"--dominant-color: #d1d2d4; width:1200px;height:auto\" srcset=\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-1024x576.jpg 1024w, https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-300x169.jpg 300w, https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-768x432.jpg 768w, https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-1536x864.jpg 1536w, https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-18x10.jpg 18w, https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg 1920w\" \/><\/figure>\n\n\n\n<p>Passwort-Reset-Poisoning ist eine Schwachstelle in Webanwendungen, bei der ein Angreifer eine Website dazu bringt, einen Link zum Zur\u00fccksetzen des Passworts zu generieren, der auf eine vom Angreifer kontrollierte Domain statt auf die legitime Domain verweist. Die E-Mail kann immer noch von dem echten Dienst stammen. Wenn das Opfer jedoch auf den vergifteten Link klickt, kann das Reset-Token dem Angreifer preisgegeben werden. Der Angreifer kann dann das Passwort zur\u00fccksetzen und auf das Konto zugreifen.<\/p>\n\n\n\n<p>Dieser Angriff ist Teil eines umfassenderen Problems: dem Missbrauch von Kennwortr\u00fccksetzungen. Zu dieser umfassenderen Kategorie geh\u00f6ren Reset Flooding, die Aufz\u00e4hlung von Konten durch Wiederherstellungsformulare, die unsichere Handhabung von Token und unsichere Wiederherstellungsmethoden. Mit anderen Worten: Passwort-Reset-Poisoning ist eine spezielle Technik, w\u00e4hrend Passwort-Reset-Missbrauch den breiteren Missbrauch des Kontowiederherstellungsprozesses beschreibt.<\/p>\n\n\n\n<p>F\u00fcr die Zielgruppe der Unternehmen ist der entscheidende Punkt einfach. Die Wiederherstellung ist Teil der Authentifizierung. Sie ist nicht nur eine Unterst\u00fctzungsfunktion. Wenn der Wiederherstellungsprozess schw\u00e4cher ist als die Anmeldung, ist er f\u00fcr Angreifer der einfachere Weg.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<div class=\"wp-block-yoast-seo-table-of-contents yoast-table-of-contents\"><h2>Inhaltsverzeichnis<\/h2><ul><li><a href=\"#h-how-password-reset-poisoning-works\" data-level=\"2\">Wie Passwort-Reset-Poisoning funktioniert<\/a><\/li><li><a href=\"#h-password-reset-poisoning-vs-password-reset-abuse\" data-level=\"2\">Passwort-Reset-Vergiftung vs. Passwort-Reset-Missbrauch<\/a><\/li><li><a href=\"#h-why-password-reset-abuse-matters-for-businesses\" data-level=\"2\">Warum Passwortr\u00fccksetzungsmissbrauch f\u00fcr Unternehmen wichtig ist<\/a><\/li><li><a href=\"#h-common-password-reset-abuse-patterns\" data-level=\"2\">H\u00e4ufige Missbrauchsmuster bei der Kennwortr\u00fccksetzung<\/a><\/li><li><a href=\"#h-signs-of-suspicious-password-reset-activity\" data-level=\"2\">Anzeichen f\u00fcr verd\u00e4chtige Passwort-Reset-Aktivit\u00e4ten<\/a><\/li><li><a href=\"#h-risks-and-consequences\" data-level=\"2\">Risiken und Folgen<\/a><\/li><li><a href=\"#h-how-to-prevent-password-reset-poisoning-and-password-reset-abuse\" data-level=\"2\">So verhindern Sie Passwort-Reset-Vergiftungen und Passwort-Reset-Missbrauch<\/a><\/li><li><a href=\"#h-future-outlook\" data-level=\"2\">Zuk\u00fcnftiger Ausblick<\/a><\/li><li><a href=\"#h-conclusion\" data-level=\"2\">Fazit<\/a><\/li><li><a href=\"#h-faq-frequently-asked-questions\" data-level=\"2\">FAQ \u2013 H\u00e4ufig gestellte Fragen<\/a><\/li><\/ul><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-4b4b2679da59fe7969426bc03c4cb0b5\" id=\"h-how-password-reset-poisoning-works\" style=\"color:#2b7ca4\">Wie Passwort-Reset-Poisoning funktioniert<\/h2>\n\n\n\n<p>Ein normaler Ablauf zum Zur\u00fccksetzen des Passworts ist einfach. Zun\u00e4chst gibt ein Benutzer eine E-Mail-Adresse oder einen Benutzernamen ein. Anschlie\u00dfend erstellt die Anwendung ein eindeutiges Reset-Token. Dann wird ein Link zum Zur\u00fccksetzen per E-Mail verschickt. Schlie\u00dflich klickt der Benutzer auf den Link, best\u00e4tigt die Kontrolle \u00fcber das Token und w\u00e4hlt ein neues Passwort.<\/p>\n\n\n\n<p>Der Vergiftungsangriff beginnt fr\u00fcher. Bei einem typischen Passwort-Reset-Poisoning-Angriff manipuliert der Angreifer den Reset-Prozess, bevor die E-Mail versendet wird. Der Angreifer sendet eine R\u00fccksetzanfrage f\u00fcr das Konto des Opfers und \u00e4ndert technische Anfragedaten, denen die Anwendung bei der Erstellung des Links niemals vertrauen sollte. In vielen F\u00e4llen handelt es sich dabei um den HTTP-Host-Header. Einfach ausgedr\u00fcckt handelt es sich dabei um ein Feld, das dem Server mitteilt, welcher Dom\u00e4nenname verwendet wird. Wenn die Anwendung diesen nicht vertrauensw\u00fcrdigen Wert verwendet, um die URL zum Zur\u00fccksetzen zu erstellen, enth\u00e4lt die E-Mail das falsche Ziel.<\/p>\n\n\n\n<p>Die E-Mail sieht immer noch echt aus, da sie von einem legitimen Dienst stammt. Wenn das Opfer jedoch auf den Link klickt, erh\u00e4lt der vom Angreifer kontrollierte Server das Token. Der Angreifer kann dieses Token dann in der echten Anwendung verwenden, die R\u00fccksetzung abschlie\u00dfen und ein neues Passwort festlegen.<\/p>\n\n\n\n<p>Die Schwachstelle mag klein klingen, aber die Folgen sind gravierend. Der Angreifer muss nicht in den Posteingang eindringen. Er braucht auch nicht das alte Passwort. Er braucht nur die Anwendung, um den Link zum Zur\u00fccksetzen auf die falsche Weise zu erstellen.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-22ad8bc72c38da7c214ab7ca484d71f8\" id=\"h-password-reset-poisoning-vs-password-reset-abuse\" style=\"color:#2b7ca4\">Passwort-Reset-Vergiftung vs. Passwort-Reset-Missbrauch<\/h2>\n\n\n\n<p>Diese Begriffe sind eng miteinander verwandt, aber sie sind nicht dasselbe.<\/p>\n\n\n\n<p>Passwort-Reset-Poisoning ist ein technischer Fehler in der Art und Weise, wie der Reset-Link generiert wird. Er h\u00e4ngt in der Regel von unsicherem Vertrauen in Anfrage-Header oder \u00e4hnlichen Eingaben ab. Das Kernproblem liegt in der Anwendungslogik. Die Website erstellt eine g\u00fcltige E-Mail zum Zur\u00fccksetzen des Kennworts, sendet den Benutzer jedoch an das falsche Ziel.<\/p>\n\n\n\n<p>Missbrauch der Kennwortr\u00fccksetzung ist der umfassendere Begriff. Er umfasst jede b\u00f6swillige Nutzung des Wiederherstellungsflusses, auch wenn kein Vergiftungsfehler vorliegt. Angreifer k\u00f6nnen beispielsweise Tausende von R\u00fccksetzungs-E-Mails ausl\u00f6sen, testen, ob Konten existieren, schwache R\u00fccksetzungs-Tokens erraten oder schwache Wiederherstellungskan\u00e4le ausnutzen.<\/p>\n\n\n\n<p>Diese Unterscheidung ist in der Praxis von Bedeutung. Wenn ein Team nur die Host-Header-Behandlung behebt, l\u00e4sst es m\u00f6glicherweise immer noch die Automatisierung und Aufz\u00e4hlung offen. Wenn es andererseits nur einen Anti-Bot-Schutz hinzuf\u00fcgt, kann es immer noch eine Schwachstelle in Form eines vergifteten Reset-Links bestehen lassen. Starke Kontowiederherstellungssicherheit erfordert sowohl eine sichere Implementierung als auch aktive Missbrauchskontrollen.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-924c1923c8688c69111fcf98489634cd\" id=\"h-why-password-reset-abuse-matters-for-businesses\" style=\"color:#2b7ca4\">Warum Passwortr\u00fccksetzungsmissbrauch f\u00fcr Unternehmen wichtig ist<\/h2>\n\n\n\n<p>Der Missbrauch der Passwortr\u00fccksetzung ist wichtig, weil die Wiederherstellung den normalen Anmeldevorgang des Benutzers umgeht. Wenn dieser Ausweichpfad schw\u00e4cher ist, m\u00fcssen Angreifer nicht mehr das aktuelle Passwort stehlen oder den Hauptauthentifizierungsfluss unterbrechen. Sie k\u00f6nnen ihn einfach umgehen.<\/p>\n\n\n\n<p>Die Auswirkungen auf das Unternehmen h\u00e4ngen vom jeweiligen Konto ab. Ein kompromittiertes Kundenkonto kann pers\u00f6nliche Daten preisgeben, Betrug ausl\u00f6sen oder Supportkosten verursachen. Ein Mitarbeiter- oder Administratorkonto kann weitaus schwerwiegender sein. Es kann den Zugriff auf interne Mailboxen, Abrechnungseinstellungen, Cloud-Dienste, Kundendatens\u00e4tze oder andere privilegierte Arbeitsabl\u00e4ufe erm\u00f6glichen.<\/p>\n\n\n\n<p>Selbst wenn der Angreifer die \u00dcbernahme nicht abschlie\u00dft, kann wiederholter Reset-Missbrauch dennoch Schaden anrichten. Benutzer k\u00f6nnen das Vertrauen verlieren, wenn sie unerwartete R\u00fccksetz-E-Mails erhalten. Die Support-Teams sehen sich m\u00f6glicherweise mit einer Welle von Beschwerden konfrontiert. Sicherheitsteams m\u00fcssen unter Umst\u00e4nden untersuchen, ob es sich bei den Aktivit\u00e4ten um Rauschen oder einen echten Angriff handelt. Das Problem wirkt sich also gleichzeitig auf die Ausfallsicherheit, den Betrieb und den Ruf aus.<\/p>\n\n\n\n<p>F\u00fcr europ\u00e4ische Organisationen gibt es auch einen Governance-Aspekt. Die Wiederherstellung von Konten ist ein Teil davon, wie ein Unternehmen <a href=\"https:\/\/www.edpb.europa.eu\/sme-data-protection-guide\/secure-personal-data_en\" target=\"_blank\" rel=\"noreferrer noopener\">sichert personenbezogene Daten<\/a> und Gesch\u00e4ftssysteme. Schwache Wiederherstellungskontrollen sind daher nicht nur ein technisches Problem. Sie sind auch ein Problem des Risikomanagements.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-b8b236f4b4bce274b33301a03560f000\" id=\"h-common-password-reset-abuse-patterns\" style=\"color:#2b7ca4\">H\u00e4ufige Missbrauchsmuster bei der Kennwortr\u00fccksetzung<\/h2>\n\n\n\n<p>Das erste Muster ist klassisches Poisoning. Der Angreifer manipuliert hostbezogene Eingaben, sodass die Anwendung den Reset-Link mit einer vom Angreifer kontrollierten Dom\u00e4ne erstellt. Das Opfer erh\u00e4lt eine echte Reset-E-Mail, aber das Token geht verloren, wenn der Link ge\u00f6ffnet wird.<\/p>\n\n\n\n<p>Das zweite Muster ist die Aufz\u00e4hlung von Konten. Hier nutzt der Angreifer das Formular \"Passwort vergessen\", um zu erfahren, ob ein Konto existiert. Ein anderer Wortlaut, ein anderer Zeitpunkt oder ein anderes Verhalten k\u00f6nnen g\u00fcltige Benutzernamen oder E-Mail-Adressen aufdecken. Sobald die Angreifer wissen, welche Konten echt sind, werden Phishing- und \u00dcbernahmeversuche effizienter.<\/p>\n\n\n\n<p>Das dritte Muster ist Reset Flooding. Angreifer l\u00f6sen wiederholte Wiederherstellungs-E-Mails oder SMS-Nachrichten aus, um Benutzer zu bel\u00e4stigen, Verwirrung zu stiften oder eine Phishing-Nachricht in einem Strom legitimer Benachrichtigungen zu verstecken. \u00d6ffentlich zug\u00e4ngliche Wiederherstellungsformulare sind ein leichtes Ziel f\u00fcr die Automatisierung, wenn Ratenbegrenzungen und Bot-Kontrollen fehlen.<\/p>\n\n\n\n<p>Das vierte Muster ist ein schwaches Wiederherstellungsdesign. Wenn Wiederherstellungscodes, Sekund\u00e4rkontakte oder Ersatzauthentifizierungsschritte schwach oder schlecht verifiziert sind, brauchen Angreifer m\u00f6glicherweise gar kein Poisoning. Sie k\u00f6nnen die Wiederherstellungsrichtlinie selbst missbrauchen.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-6a2bd50657f334a685d4609e92c06820\" id=\"h-signs-of-suspicious-password-reset-activity\" style=\"color:#2b7ca4\">Anzeichen f\u00fcr verd\u00e4chtige Passwort-Reset-Aktivit\u00e4ten<\/h2>\n\n\n\n<p>Das offensichtlichste Zeichen ist das Volumen. Wenn ein Konto wiederholt E-Mails zum Zur\u00fccksetzen erh\u00e4lt oder Ihre Plattform einen starken Anstieg der Anfragen zum Vergessen des Passworts verzeichnet, stimmt etwas nicht. Das kann auf eine \u00dcberschwemmung, eine Aufz\u00e4hlung oder einen skriptgesteuerten \u00dcbernahmeversuch hindeuten.<\/p>\n\n\n\n<p>Das zweite Anzeichen ist die Nicht\u00fcbereinstimmung von Mustern. Zum Beispiel k\u00f6nnen R\u00fccksetzungsanfragen von ungew\u00f6hnlichen Orten, unbekannten Netzwerken oder zu ungew\u00f6hnlichen Zeiten kommen. Ein einziges seltsames Ereignis kann harmlos sein. Wiederholte Anomalien sollten jedoch beachtet werden.<\/p>\n\n\n\n<p>Das dritte Anzeichen ist eine inkonsistente Benutzererfahrung. Wenn Benutzer echte R\u00fccksetzungs-E-Mails mit seltsamen Dom\u00e4nen, fehlerhaftem Branding oder unerwarteten Weiterleitungen melden, sollten Sie dies als m\u00f6gliche Sicherheitsl\u00fccke und nicht als einfaches Supportproblem betrachten. In einem vergifteten R\u00fccksetzungsszenario kann der Absender immer noch legitim sein, w\u00e4hrend das Linkziel es nicht ist.<\/p>\n\n\n\n<p>Das vierte Anzeichen ist ein abnormaler Wiederherstellungserfolg oder Sperrverhalten. Wenn viele Konten innerhalb eines kurzen Zeitraums ihre Kennw\u00f6rter zur\u00fccksetzen oder wenn Benutzer pl\u00f6tzlich melden, dass sie ausgesperrt wurden, kann der Wiederherstellungsprozess angegriffen werden.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-81f99a79b4bf55140d2ead889acba3cc\" id=\"h-risks-and-consequences\" style=\"color:#2b7ca4\">Risiken und Folgen<\/h2>\n\n\n\n<p>Die deutlichste Konsequenz ist <a href=\"https:\/\/www.captcha.eu\/de\/was-ist-kontoubernahmebetrug\/\">Konto\u00fcbernahme<\/a>. Sobald ein Angreifer das Reset-Token erlangt oder einen schwachen Wiederherstellungspfad missbraucht, kann er oft ein neues Kennwort festlegen und den echten Benutzer aussperren. Von da an h\u00e4ngt der Schaden davon ab, worauf das Konto zugreifen kann.<\/p>\n\n\n\n<p>Es entstehen auch operative Kosten. Die Support-Teams m\u00fcssen echte Benutzerfehler von b\u00f6swilligen R\u00fccksetzungsaktivit\u00e4ten unterscheiden. Sicherheitsteams m\u00fcssen untersuchen, ob eine Spitze im Wiederherstellungsverkehr zuf\u00e4llig oder absichtlich verursacht wurde. Das kostet Zeit und f\u00fchrt zu internen Reibungen, selbst wenn der Angreifer die \u00dcbernahme nicht abschlie\u00dft.<\/p>\n\n\n\n<p>Schlie\u00dflich ist der Missbrauch beim Zur\u00fccksetzen von Passw\u00f6rtern f\u00fcr die Endbenutzer sichtbar. Im Gegensatz zu einigen Backend-Fehlern bemerken die Benutzer verd\u00e4chtige R\u00fccksetz-E-Mails sofort. Wenn sie dem Wiederherstellungsprozess nicht mehr vertrauen, beginnen sie m\u00f6glicherweise, die allgemeine Sicherheitslage des Dienstes in Frage zu stellen. Dieses Vertrauensproblem kann schwer zu beheben sein.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-91f0984fc6ab0cd1c33bd92449522d73\" id=\"h-how-to-prevent-password-reset-poisoning-and-password-reset-abuse\" style=\"color:#2b7ca4\">So verhindern Sie Passwort-Reset-Vergiftungen und Passwort-Reset-Missbrauch<\/h2>\n\n\n\n<p>Beginnen Sie mit der Grundursache. Lassen Sie niemals nicht vertrauensw\u00fcrdige Anfragedaten entscheiden, wohin ein sensibler Reset-Link f\u00fchrt. Anwendungen sollten sich nicht auf von Angreifern kontrollierte Hostwerte verlassen, wenn sie <a href=\"https:\/\/owasp.org\/www-project-web-security-testing-guide\/latest\/4-Web_Application_Security_Testing\/07-Input_Validation_Testing\/17-Testing_for_Host_Header_Injection\" target=\"_blank\" rel=\"noreferrer noopener\">Links zum Zur\u00fccksetzen des Passworts<\/a>. Verwenden Sie eine feste, vertrauensw\u00fcrdige Basis-URL in der serverseitigen Konfiguration. Wenn die Anwendung mehr als eine Dom\u00e4ne unterst\u00fctzen muss, \u00fcberpr\u00fcfen Sie jede einzelne anhand einer strengen Zul\u00e4ssigkeitsliste, bevor Sie den Link erstellen. \u00dcberpr\u00fcfen Sie auch die Handhabung von Proxys und Middleware, damit die Host-Validierung nicht durch alternative Header umgangen werden kann.<\/p>\n\n\n\n<p>H\u00e4rten Sie als n\u00e4chstes den Token-Lebenszyklus. Generieren Sie Reset-Tokens mit einer kryptographisch sicheren Methode. Sie m\u00fcssen lang genug sein, damit sie nicht erraten werden k\u00f6nnen. Bewahren Sie sie sicher auf. Sie sollten nur einmalig verwendet werden. Lassen Sie sie schnell ablaufen. \u00c4ndern Sie den Kontostatus nicht, bevor der Benutzer ein g\u00fcltiges Token vorlegt.<\/p>\n\n\n\n<p>Dann reduzieren Sie den Missbrauch in der Antragsphase. Geben Sie f\u00fcr bestehende und nicht bestehende Konten die gleiche Nachricht zur\u00fcck. Halten Sie das Timing so konsistent wie m\u00f6glich. Das macht die Aufz\u00e4hlung von Konten schwieriger. Wenden Sie au\u00dferdem Ratenbeschr\u00e4nkungen pro IP-Adresse und pro Konto an. \u00dcberwachen Sie ungew\u00f6hnliche Aktivit\u00e4ten und schlagen Sie bei Spitzen in den Wiederherstellungsanforderungen Alarm.<\/p>\n\n\n\n<p>Auch Benutzerbenachrichtigungen sind wichtig. Informieren Sie die Benutzer, wenn eine Kennwortr\u00fccksetzung angefordert wird und wenn das Kennwort ge\u00e4ndert wurde. So haben sie die M\u00f6glichkeit, schnell zu reagieren, wenn die Aktion nicht rechtm\u00e4\u00dfig war.<\/p>\n\n\n\n<p>Bei \u00f6ffentlichen Formularen, die automatisch missbraucht werden, kann eine menschliche \u00dcberpr\u00fcfung helfen. CAPTCHA wird die unsichere Linkgenerierung nicht von selbst beheben. Es kann jedoch Reset Flooding, skriptgesteuerte Aufz\u00e4hlung und botgesteuerten Missbrauch von Wiederherstellungsformularen reduzieren. F\u00fcr europ\u00e4ische Unternehmen kann captcha.eu als datenschutzorientierter, GDPR-konformer CAPTCHA-Anbieter mit Sitz in \u00d6sterreich diesen mehrschichtigen Ansatz unterst\u00fctzen.<\/p>\n\n\n\n<p>\u00dcberpr\u00fcfen Sie schlie\u00dflich die gesamte Wiederherstellungspolitik. Die Wiederherstellung sollte nicht schw\u00e4cher sein als die Authentifizierung. Wenn Backup-Kan\u00e4le, Wiederherstellungskontakte oder tempor\u00e4re Anmeldedaten leicht zu missbrauchen sind, werden Angreifer sie als n\u00e4chstes ins Visier nehmen. Daher sollten Unternehmen <a href=\"https:\/\/www.enisa.europa.eu\/sites\/default\/files\/publications\/DNS%20Identity.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Prozess der Kontenwiederherstellung<\/a> als sicherheitskritischen Arbeitsablauf und \u00fcberpr\u00fcfen Sie ihn regelm\u00e4\u00dfig.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-4acc79a198807100f6bef5bbc62acbca\" id=\"h-future-outlook\" style=\"color:#2b7ca4\">Zuk\u00fcnftiger Ausblick<\/h2>\n\n\n\n<p>Das Vergiften von Kennwortr\u00fccksetzungen wird weiterhin relevant bleiben, da die Wiederherstellung von Konten \u00f6ffentlich, vorhersehbar und f\u00fcr Angreifer wertvoll ist. Gleichzeitig bauen Unternehmen die Self-Service-Wiederherstellung, alternative Authentifikatoren und flexiblere Identit\u00e4ts-Workflows aus. Das verbessert die Benutzerfreundlichkeit. Allerdings erh\u00f6ht sich dadurch auch die Anzahl der Wiederherstellungspfade, die \u00fcberpr\u00fcft und gesch\u00fctzt werden m\u00fcssen.<\/p>\n\n\n\n<p>Die Richtung ist klar. Die moderne Wiederherstellung geht weg von schwachen Sicherheitsfragen und hin zu einer st\u00e4rkeren Authentifizierung, klareren Benachrichtigungen, risikobasierten Kontrollen und einer besseren \u00dcberwachung. Das ist eine positive Entwicklung. Dennoch m\u00fcssen Unternehmen eine Grundregel beachten: Eine sichere Anmeldung allein reicht nicht aus. Wenn die Wiederherstellung schw\u00e4cher ist als die Authentifizierung, wird die Wiederherstellung der Weg sein, den Angreifer als n\u00e4chstes testen werden.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-72de50b6cabed51cc3dd00d967bab9d4\" id=\"h-conclusion\" style=\"color:#2b7ca4\">Fazit<\/h2>\n\n\n\n<p>Die Vergiftung durch das Zur\u00fccksetzen von Passw\u00f6rtern zeigt, wie eine routinem\u00e4\u00dfige Supportfunktion zu einem Weg der Konto\u00fcbernahme werden kann. Die E-Mail kann echt sein. Der Dienst kann echt sein. Doch wenn der Link zum Zur\u00fccksetzen aus unsicheren Eingaben besteht, kann der Angreifer das Token anstelle des Benutzers erhalten.<\/p>\n\n\n\n<p>Deshalb verdient der Missbrauch beim Zur\u00fccksetzen von Passw\u00f6rtern die gleiche Aufmerksamkeit wie die Anmeldesicherheit. Die richtige Reaktion ist vielschichtig. Verwenden Sie eine vertrauensw\u00fcrdige URL-Generierung, starke Einweg-Tokens, konsistente Antworten, Ratenbeschr\u00e4nkungen, Benachrichtigungen und \u00fcberwachte Wiederherstellungsereignisse. F\u00fcgen Sie dann sinnvolle Anti-Automatisierungskontrollen hinzu, wo \u00f6ffentliche R\u00fccksetzformulare dem Missbrauch ausgesetzt sind.<\/p>\n\n\n\n<p>Bei \u00f6ffentlich zug\u00e4nglichen Diensten kann CAPTCHA diese Strategie unterst\u00fctzen. Es wird nicht jede Schwachstelle bei der Wiederherstellung allein l\u00f6sen. Es kann jedoch den automatisierten Missbrauch verringern und die Durchf\u00fchrung gro\u00df angelegter Angriffe erschweren. F\u00fcr europ\u00e4ische Organisationen passt captcha.eu als GDPR-konformer CAPTCHA-Anbieter, der f\u00fcr datenschutzbewusste Unternehmen entwickelt wurde, nat\u00fcrlich in dieses Modell.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading has-text-color has-link-color has-large-font-size wp-elements-cbff7adca8489518fa087943784c86d6\" id=\"h-faq-frequently-asked-questions\" style=\"color:#2b7ca4\">FAQ \u2013 H\u00e4ufig gestellte Fragen<\/h2>\n\n\n\n<div class=\"wp-block-premium-accordion premium-accordion premium-accordion-2708b919b388\">\n<div class=\"wp-block-premium-accordion-item premium-accordion-item-aeed4cd3e797 premium-accordion__content_wrap\"><div class=\"premium-accordion__title_wrap premium-accordion__ltr premium-accordion__out\"><div class=\"premium-accordion__title\"><h4 class=\"premium-accordion__title_text\">Was ist Passwort-Reset-Poisoning in einfachen Worten?<\/h4><\/div><div class=\"premium-accordion__icon_wrap\"><svg class=\"premium-accordion__icon\" role=\"img\" focusable=\"false\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewbox=\"0 0 20 20\"><polygon points=\"16.7,3.3 10,10 3.3,3.4 0,6.7 10,16.7 10,16.6 20,6.7 \"><\/polygon><\/svg><\/div><\/div><div class=\"premium-accordion__desc_wrap\"><p class=\"premium-accordion__desc\">Passwort-Reset-Poisoning ist ein Angriff, bei dem eine Website eine echte Passwort-Reset-E-Mail mit einem b\u00f6sartigen Ziel sendet, weil sie bei der Erstellung der Reset-URL auf unsichere Anfragedaten vertraut. Wenn das Opfer auf diesen Link klickt, kann der Angreifer das Token abfangen und das Kontopasswort zur\u00fccksetzen.<\/p><\/div><\/div>\n\n\n\n<div class=\"wp-block-premium-accordion-item premium-accordion-item-1f83af785bba premium-accordion__content_wrap\"><div class=\"premium-accordion__title_wrap premium-accordion__ltr premium-accordion__out\"><div class=\"premium-accordion__title\"><h4 class=\"premium-accordion__title_text\">Kann das Zur\u00fccksetzen von Passw\u00f6rtern zu einer Konto\u00fcbernahme f\u00fchren?<\/h4><\/div><div class=\"premium-accordion__icon_wrap\"><svg class=\"premium-accordion__icon\" role=\"img\" focusable=\"false\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewbox=\"0 0 20 20\"><polygon points=\"16.7,3.3 10,10 3.3,3.4 0,6.7 10,16.7 10,16.6 20,6.7 \"><\/polygon><\/svg><\/div><\/div><div class=\"premium-accordion__desc_wrap\"><p class=\"premium-accordion__desc\">Ja. Wenn der Angreifer ein g\u00fcltiges R\u00fccksetzungs-Token erbeutet, kann er die R\u00fccksetzung h\u00e4ufig auf der legitimen Website abschlie\u00dfen, ein neues Kennwort festlegen und auf das Konto zugreifen.<\/p><\/div><\/div>\n\n\n\n<div class=\"wp-block-premium-accordion-item premium-accordion-item-2ebd8fce2ca6 premium-accordion__content_wrap\"><div class=\"premium-accordion__title_wrap premium-accordion__ltr premium-accordion__out\"><div class=\"premium-accordion__title\"><h4 class=\"premium-accordion__title_text\">Was ist der Unterschied zwischen Passwort-Reset-Poisoning und Passwort-Reset-Missbrauch?<\/h4><\/div><div class=\"premium-accordion__icon_wrap\"><svg class=\"premium-accordion__icon\" role=\"img\" focusable=\"false\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewbox=\"0 0 20 20\"><polygon points=\"16.7,3.3 10,10 3.3,3.4 0,6.7 10,16.7 10,16.6 20,6.7 \"><\/polygon><\/svg><\/div><\/div><div class=\"premium-accordion__desc_wrap\"><p class=\"premium-accordion__desc\">Das Vergiften von Kennwortr\u00fccksetzungen ist ein spezifischer technischer Angriff. Der Missbrauch von Kennwortr\u00fccksetzungen ist die umfassendere Kategorie. Dazu geh\u00f6ren auch Reset Flooding, Account Enumeration, schwache Wiederherstellungsabl\u00e4ufe und andere missbr\u00e4uchliche Nutzung der Self-Service-Kontowiederherstellung.<\/p><\/div><\/div>\n\n\n\n<div class=\"wp-block-premium-accordion-item premium-accordion-item-0aa238df3ee2 premium-accordion__content_wrap\"><div class=\"premium-accordion__title_wrap premium-accordion__ltr premium-accordion__out\"><div class=\"premium-accordion__title\"><h4 class=\"premium-accordion__title_text\">Kann MFA das Zur\u00fccksetzen von Passw\u00f6rtern verhindern?<\/h4><\/div><div class=\"premium-accordion__icon_wrap\"><svg class=\"premium-accordion__icon\" role=\"img\" focusable=\"false\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewbox=\"0 0 20 20\"><polygon points=\"16.7,3.3 10,10 3.3,3.4 0,6.7 10,16.7 10,16.6 20,6.7 \"><\/polygon><\/svg><\/div><\/div><div class=\"premium-accordion__desc_wrap\"><p class=\"premium-accordion__desc\">Nicht von selbst. Wenn der Wiederherstellungsprozess schw\u00e4cher ist als der normale Anmeldeprozess, kann der Angreifer den Hauptanmeldeweg vollst\u00e4ndig umgehen. MFA ist hilfreich, aber der Wiederherstellungsprozess muss selbst sicher gestaltet, validiert und vor Missbrauch gesch\u00fctzt werden.<\/p><\/div><\/div>\n\n\n\n<div class=\"wp-block-premium-accordion-item premium-accordion-item-0ad5befc578d premium-accordion__content_wrap\"><div class=\"premium-accordion__title_wrap premium-accordion__ltr premium-accordion__out\"><div class=\"premium-accordion__title\"><h4 class=\"premium-accordion__title_text\">Kann CAPTCHA helfen, den Missbrauch von Passwortr\u00fccksetzungen zu verhindern?<\/h4><\/div><div class=\"premium-accordion__icon_wrap\"><svg class=\"premium-accordion__icon\" role=\"img\" focusable=\"false\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewbox=\"0 0 20 20\"><polygon points=\"16.7,3.3 10,10 3.3,3.4 0,6.7 10,16.7 10,16.6 20,6.7 \"><\/polygon><\/svg><\/div><\/div><div class=\"premium-accordion__desc_wrap\"><p class=\"premium-accordion__desc\">Ja, aber nur als Teil eines mehrschichtigen Ansatzes. CAPTCHA wird die unsichere Generierung von Reset-Links nicht beheben. Es kann jedoch automatisierte R\u00fccksetzungsfluten, skriptgesteuerte Aufz\u00e4hlungen und den massenhaften Missbrauch von \u00f6ffentlichen Wiederherstellungsformularen reduzieren.<\/p><\/div><\/div>\n<\/div>\n\n\n\n<div class=\"wp-block-group has-background-color has-text-color has-background has-link-color wp-elements-f0053231231cbd97b0464e4db5840e87 is-vertical is-content-justification-center is-layout-flex wp-container-core-group-is-layout-ce155fab wp-block-group-is-layout-flex\" style=\"border-radius:20px;background-color:#f0faf3\">\n<h2 class=\"wp-block-heading has-foreground-color has-text-color has-link-color has-large-font-size wp-elements-b5699e1a129fe1a30ab792feee8ae242\"><strong>100 kostenlose Anfragen<\/strong><\/h2>\n\n\n\n<p class=\"has-foreground-color has-text-color has-link-color wp-elements-b49cc1b9513f565de22aa575e471cab2\">Testen Sie unser Produkt kostenlos mit 100 Verifizierungen \u2013 keine Kreditkarte erforderlich.<\/p>\n\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-background-color has-text-color has-background wp-element-button\" href=\"https:\/\/www.captcha.eu\/dashboard\/\" style=\"background-color:#77af84\">Testversion starten<\/a><\/div>\n<\/div>\n<\/div>\n\n\n\n<div class=\"wp-block-group has-background-color has-text-color has-background has-link-color wp-elements-af00b1d79068a7b2dfaed3c6a27bcc40 is-vertical is-content-justification-center is-layout-flex wp-container-core-group-is-layout-ce155fab wp-block-group-is-layout-flex\" style=\"border-radius:20px;background-color:#68c1eb;min-height:370px\">\n<p class=\"has-background-color has-text-color has-link-color has-normal-font-size wp-elements-eebd210dd9d74a0906c3b070c47966be\"><strong>Bei Fragen<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading has-background-color has-text-color has-link-color has-large-font-size wp-elements-ca0e088edbf969fa6cc0ffaa1ba6c01c\" id=\"h-contact-us\"><strong>Kontaktieren Sie uns<\/strong><\/h2>\n\n\n\n<p class=\"has-background-color has-text-color has-link-color wp-elements-316b59d0711ce3cc25ea0c989740e1ea\">Unser Support-Team steht Ihnen gerne zur Verf\u00fcgung.<br><\/p>\n\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-foreground-color has-background-background-color has-text-color has-background wp-element-button\" href=\"javascript:goToContact();\">Kontaktieren Sie uns<\/a><\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Passwort-Reset-Poisoning ist ein verstecktes Risiko f\u00fcr die Wiederherstellung von Konten, das Reset-Tokens entlarven und zur \u00dcbernahme von Konten f\u00fchren kann. Erfahren Sie, wie der Angriff funktioniert, warum er f\u00fcr Unternehmen wichtig ist und wie Sie den Missbrauch von Kennwortr\u00fccksetzungen verhindern k\u00f6nnen.<\/p>","protected":false},"author":1,"featured_media":3243,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_eb_attr":"","footnotes":""},"categories":[41],"tags":[],"class_list":["post-3242","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-knowledge-base"],"acf":{"pretitle":"","intern_slug":""},"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Password Reset Poisoning: A Security Overview - captcha.eu<\/title>\n<meta name=\"description\" content=\"Discover the risks of password reset poisoning attacks and how they can compromise account security for users.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.captcha.eu\/de\/was-ist-passwort-reset-poisoning\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"What Is Password Reset Poisoning?\" \/>\n<meta property=\"og:description\" content=\"Discover the risks of password reset poisoning attacks and how they can compromise account security for users.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.captcha.eu\/de\/was-ist-passwort-reset-poisoning\/\" \/>\n<meta property=\"og:site_name\" content=\"captcha.eu\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-13T09:38:55+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-03-13T10:03:14+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"1080\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Captcha\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@captcha_eu\" \/>\n<meta name=\"twitter:site\" content=\"@captcha_eu\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Captcha\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"10 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/\"},\"author\":{\"name\":\"Captcha\",\"@id\":\"https:\/\/www.captcha.eu\/#\/schema\/person\/f1e4886cdd0c5bbbb44279dd0d95445a\"},\"headline\":\"What Is Password Reset Poisoning?\",\"datePublished\":\"2026-03-13T09:38:55+00:00\",\"dateModified\":\"2026-03-13T10:03:14+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/\"},\"wordCount\":2057,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/www.captcha.eu\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg\",\"articleSection\":[\"Knowledge Base\"],\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#respond\"]}],\"accessibilityFeature\":[\"tableOfContents\"]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/\",\"url\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/\",\"name\":\"Password Reset Poisoning: A Security Overview - captcha.eu\",\"isPartOf\":{\"@id\":\"https:\/\/www.captcha.eu\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg\",\"datePublished\":\"2026-03-13T09:38:55+00:00\",\"dateModified\":\"2026-03-13T10:03:14+00:00\",\"description\":\"Discover the risks of password reset poisoning attacks and how they can compromise account security for users.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage\",\"url\":\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg\",\"contentUrl\":\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg\",\"width\":1920,\"height\":1080,\"caption\":\"captcha.eu\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.captcha.eu\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"What Is Password Reset Poisoning?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.captcha.eu\/#website\",\"url\":\"https:\/\/www.captcha.eu\/\",\"name\":\"captcha.eu\",\"description\":\"The GDPR-compliant message protection | captcha.eu\",\"publisher\":{\"@id\":\"https:\/\/www.captcha.eu\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.captcha.eu\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de-DE\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.captcha.eu\/#organization\",\"name\":\"captcha.eu\",\"url\":\"https:\/\/www.captcha.eu\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/www.captcha.eu\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2024\/02\/Captcha_mono-C_Logo.svg\",\"contentUrl\":\"https:\/\/www.captcha.eu\/wp-content\/uploads\/2024\/02\/Captcha_mono-C_Logo.svg\",\"width\":24,\"height\":28,\"caption\":\"captcha.eu\"},\"image\":{\"@id\":\"https:\/\/www.captcha.eu\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/x.com\/captcha_eu\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.captcha.eu\/#\/schema\/person\/f1e4886cdd0c5bbbb44279dd0d95445a\",\"name\":\"Captcha\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de-DE\",\"@id\":\"https:\/\/www.captcha.eu\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/48b669a092d552f5f30202f8da848c93fa4c54f8c2b3167568ed5cbccbe4994a?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/48b669a092d552f5f30202f8da848c93fa4c54f8c2b3167568ed5cbccbe4994a?s=96&d=mm&r=g\",\"caption\":\"Captcha\"},\"sameAs\":[\"https:\/\/www.captcha.eu\"],\"url\":\"https:\/\/www.captcha.eu\/de\/author\/admin\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Passwort-Reset-Vergiftung: Ein Sicherheits\u00fcberblick - captcha.eu","description":"Informieren Sie sich \u00fcber die Risiken von Angriffen zum Zur\u00fccksetzen von Passw\u00f6rtern und wie sie die Sicherheit von Benutzerkonten gef\u00e4hrden k\u00f6nnen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.captcha.eu\/de\/was-ist-passwort-reset-poisoning\/","og_locale":"de_DE","og_type":"article","og_title":"What Is Password Reset Poisoning?","og_description":"Discover the risks of password reset poisoning attacks and how they can compromise account security for users.","og_url":"https:\/\/www.captcha.eu\/de\/was-ist-passwort-reset-poisoning\/","og_site_name":"captcha.eu","article_published_time":"2026-03-13T09:38:55+00:00","article_modified_time":"2026-03-13T10:03:14+00:00","og_image":[{"width":1920,"height":1080,"url":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg","type":"image\/jpeg"}],"author":"Captcha","twitter_card":"summary_large_image","twitter_creator":"@captcha_eu","twitter_site":"@captcha_eu","twitter_misc":{"Written by":"Captcha","Est. reading time":"10 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#article","isPartOf":{"@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/"},"author":{"name":"Captcha","@id":"https:\/\/www.captcha.eu\/#\/schema\/person\/f1e4886cdd0c5bbbb44279dd0d95445a"},"headline":"What Is Password Reset Poisoning?","datePublished":"2026-03-13T09:38:55+00:00","dateModified":"2026-03-13T10:03:14+00:00","mainEntityOfPage":{"@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/"},"wordCount":2057,"commentCount":0,"publisher":{"@id":"https:\/\/www.captcha.eu\/#organization"},"image":{"@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage"},"thumbnailUrl":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg","articleSection":["Knowledge Base"],"inLanguage":"de-DE","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#respond"]}],"accessibilityFeature":["tableOfContents"]},{"@type":"WebPage","@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/","url":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/","name":"Passwort-Reset-Vergiftung: Ein Sicherheits\u00fcberblick - captcha.eu","isPartOf":{"@id":"https:\/\/www.captcha.eu\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage"},"image":{"@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage"},"thumbnailUrl":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg","datePublished":"2026-03-13T09:38:55+00:00","dateModified":"2026-03-13T10:03:14+00:00","description":"Informieren Sie sich \u00fcber die Risiken von Angriffen zum Zur\u00fccksetzen von Passw\u00f6rtern und wie sie die Sicherheit von Benutzerkonten gef\u00e4hrden k\u00f6nnen.","breadcrumb":{"@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/"]}]},{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#primaryimage","url":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg","contentUrl":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg","width":1920,"height":1080,"caption":"captcha.eu"},{"@type":"BreadcrumbList","@id":"https:\/\/www.captcha.eu\/what-is-password-reset-poisoning\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.captcha.eu\/"},{"@type":"ListItem","position":2,"name":"What Is Password Reset Poisoning?"}]},{"@type":"WebSite","@id":"https:\/\/www.captcha.eu\/#website","url":"https:\/\/www.captcha.eu\/","name":"ist captcha.eu","description":"Der DSGVO-konforme Nachrichtenschutz | captcha.eu","publisher":{"@id":"https:\/\/www.captcha.eu\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.captcha.eu\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de-DE"},{"@type":"Organization","@id":"https:\/\/www.captcha.eu\/#organization","name":"ist captcha.eu","url":"https:\/\/www.captcha.eu\/","logo":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.captcha.eu\/#\/schema\/logo\/image\/","url":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2024\/02\/Captcha_mono-C_Logo.svg","contentUrl":"https:\/\/www.captcha.eu\/wp-content\/uploads\/2024\/02\/Captcha_mono-C_Logo.svg","width":24,"height":28,"caption":"captcha.eu"},"image":{"@id":"https:\/\/www.captcha.eu\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/x.com\/captcha_eu"]},{"@type":"Person","@id":"https:\/\/www.captcha.eu\/#\/schema\/person\/f1e4886cdd0c5bbbb44279dd0d95445a","name":"Captcha","image":{"@type":"ImageObject","inLanguage":"de-DE","@id":"https:\/\/www.captcha.eu\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/48b669a092d552f5f30202f8da848c93fa4c54f8c2b3167568ed5cbccbe4994a?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/48b669a092d552f5f30202f8da848c93fa4c54f8c2b3167568ed5cbccbe4994a?s=96&d=mm&r=g","caption":"Captcha"},"sameAs":["https:\/\/www.captcha.eu"],"url":"https:\/\/www.captcha.eu\/de\/author\/admin\/"}]}},"pbg_featured_image_src":{"full":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg",1920,1080,false],"thumbnail":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-150x150.jpg",150,150,true],"medium":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-300x169.jpg",300,169,true],"medium_large":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-768x432.jpg",768,432,true],"large":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-1024x576.jpg",1024,576,true],"1536x1536":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-1536x864.jpg",1536,864,true],"2048x2048":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24.jpg",1920,1080,false],"trp-custom-language-flag":["https:\/\/www.captcha.eu\/wp-content\/uploads\/2026\/03\/Design-ohne-Titel-24-18x10.jpg",18,10,true]},"pbg_author_info":{"display_name":"Captcha","author_link":"https:\/\/www.captcha.eu\/de\/author\/admin\/","author_img":"<img alt='Captcha' src='https:\/\/secure.gravatar.com\/avatar\/48b669a092d552f5f30202f8da848c93fa4c54f8c2b3167568ed5cbccbe4994a?s=128&#038;d=mm&#038;r=g' srcset='https:\/\/secure.gravatar.com\/avatar\/48b669a092d552f5f30202f8da848c93fa4c54f8c2b3167568ed5cbccbe4994a?s=256&#038;d=mm&#038;r=g 2x' class='avatar avatar-128 photo' height='128' width='128' loading='lazy' decoding='async'\/>"},"pbg_comment_info":"2 comment","pbg_excerpt":"Password reset poisoning is a hidden account recovery risk that can expose reset tokens and lead to account takeover. Learn how the attack works, why it matters for businesses, and how to prevent password reset abuse.","_links":{"self":[{"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/posts\/3242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/comments?post=3242"}],"version-history":[{"count":3,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/posts\/3242\/revisions"}],"predecessor-version":[{"id":3248,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/posts\/3242\/revisions\/3248"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/media\/3243"}],"wp:attachment":[{"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/media?parent=3242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/categories?post=3242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.captcha.eu\/de\/wp-json\/wp\/v2\/tags?post=3242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}