Die Sicherheitsforscher von Digital Shadows fanden über 24 Milliarden kompromittierte Zugangsdaten im Dark Web.
Im Rahmen einer aktuellen Studie analysierten die Sicherheitsforscher von Digital Shadows Benutzernamen und Passwortkombinationen. Sie stießen dabei auf über 24,6 Milliarden Zugangsdatenpaare, die Cyberkriminelle auf Darknet-Marketplaces handeln. Ihre Ergebnisse fassten sie im Report “Account Takeover in 2022 – The 24-Billion Password Problem” zusammen.
Einen Bericht über Zugangsdaten, die es Cyberkriminellen erheblich erleichtern, in persönliche Systeme einzudringen, gab Digital Shadows aktuell bekannt. Ihre Studie quantifiziert nach eigenen Angaben das „Ausmaß der weltweiten Passwortkompromittierung“. Demgemäß stehen Cyberkriminellen auf Darknet-Markets 24.649.096.027 Login- und Passwortkombinationen zur Verfügung. Seit 2020 ist die Menge der gehackten Zugangsdaten um 65 Prozent gestiegen, so das Threat-Intelligence-Unternehmen.
Schwache Passwörter fördern Konten-Übernahmen
Als besonders besorgniserregend schätzt Digital Shadows hierbei ein, dass ihre Forschung trotz vieler Warnungen, die davon abraten, belegt, dass Menschen immer noch leicht zu erratende Passwörter nutzen. Demgemäß wären die 50 häufigsten Passwörter einfach das Wort „Passwort“ oder eine Kombination aus leicht zu merkenden Zahlen. Etwa 0,46 Prozent aller Passwörter, ca. eines von 200, ist 123456.
Digital Shadows: Top 50 der häufigsten Passwörter leicht zu erraten
Häufig verwenden User auch Tastaturkombinationen wie „qwerty“ oder „1q2w3e“. Von den 50 am häufigsten verwendeten Passwörtern können 49 in weniger als einer Sekunde mit benutzerfreundlichen Tools „geknackt“ werden. Diese sind üblicherweise in kriminellen Foren verfügbar. Die Programme stehen oft kostenlos oder zu minimalen Kosten zur Verfügung, so die Forscher. Einige Kombinationen bewerben Cyberkriminelle mehr als einmal in Foren. Jedoch selbst nach dem Entfernen von Duplikaten hat Digital Shadows immer noch festgestellt, dass 6,7 Milliarden eindeutige Anmeldeinformationen existieren. Dies entspricht einer Steigerung von etwa 1,7 Milliarden oder 34 Prozent in zwei Jahren.
Digital Shadows informiert ferner darüber, dass allein durch das Hinzufügen eines „Sonderzeichens“ (wie @ # oder _) zu einem einfachen 10-Zeichen-Passwort allerdings die Zeit, die ein Offline-Angriff zum Knacken des Passworts benötigen würde um etwa 90 Minuten verlängert. Das Hinzufügen von zwei Sonderzeichen ergebe dann schon eine Offline-Cracking-Zeit von ungefähr 2 Tagen und 4 Stunden. „Dies macht es viel unwahrscheinlicher, dass eine Person Opfer eines Angriffs mit Kriminellen wird, anstatt Konten anzugreifen, die leichter zu knacken sind“.
Mittels Credential Stuffing zur Kontoübernahme
Sobald ein Hacker eine Passwortdatenbank verletzt und die Daten entwendet, kann er mit dem sogenannten Credential Stuffing fortfahren. Dabei probiert er Benutzernamen und Passwörter auf vielen anderen Websites aus, um zu sehen, ob User dieselben Anmeldedaten verwenden. Dabei ermöglichen kompromittierte Passwörter und Benutzernamen Bedrohungsakteuren, alle Arten von Account Takeover (ATO)-Angriffen durchzuführen.
Innerhalb des Datensatzes von Anmeldeinformationen im Dark Web hatten ungefähr 6,7 Milliarden der Angebote eine eindeutige Kombination aus Benutzername und Passwort. Dies weist hin, dass die Kombination nicht über Datenbanken hinweg dupliziert wurde. Das sind zudem 1,7 Milliarden mehr, als die Forscher noch im Jahr 2020 herausgefunden haben. Gemäß Digital Shadows zeige der Bericht, dass die Märkte, die diese Anmeldeinformationen verkaufen, robust und anspruchsvoll sind. Dabei sind mehrere Abonnementdienste entstanden, die kriminelle Premium-Dienste anbieten.
Gibt es eine Zukunft ohne Passwörter?
Die Studien-Ergebnisse bewertet Chris Morgan, Senior Cyber Threat Intelligence Analyst bei Digital Shadows, als besorgniserregend:
„Wir werden uns in eine Zukunft ohne Passwörter bewegen, aber im Moment ist das Problem der gehackten Zugangsdaten außer Kontrolle. Kriminelle haben eine endlose Liste von gehackten Anmeldeinformationen, die sie ausprobieren können. Aber zu diesem Problem kommen schwache Passwörter hinzu, was bedeutet, dass viele Konten mit automatisierten Tools in nur wenigen Sekunden erraten werden können. Allein in den letzten 18 Monaten haben wir bei Digital Shadows unsere Kunden auf 6,7 Millionen offengelegte Zugangsdaten aufmerksam gemacht. Dazu gehören der Benutzername und die Passwörter ihrer Mitarbeiter, Kunden, Server und IoT-Geräte. Viele dieser Fälle hätten durch die Verwendung stärkerer Kennwörter und die Nichtfreigabe von Anmeldeinformationen für verschiedene Konten entschärft werden können.“
Empfehlungen von Digital Shadows zum Schutz von Anmeldeinformationen
- Passwortmanager verwenden. Ein Passwortmanager ist eine App auf einem Telefon, Tablet oder Computer, der Passwörter speichert, damit sie komplexer werden können und sich die Person nicht daran erinnern muss.
- Nutzen von Multi-Faktor-Authentifizierung (MFA), wo Kontoanbieter sie anbieten. Dies kann die Identität bestätigen und Passwörter durch PINs, Gesichtserkennung, Fingerabdrücke oder das Einstecken eines USB-Schlüssels ersetzen
- Authentifizierungs-App verwenden. Diese generieren alle 30 Sekunden einen neuen zufälligen sechsstelligen Code, den ein Benutzer auf der Website eingeben muss, die er zu authentifizieren versucht. Wer die Accounts benutzen will, braucht die Gewalt über gleich mehrere Geräte. Das reduziert die Gefahr eines simplen Hacks erheblich.