Laut aktuellen Zahlen des Cyber-Intelligence-Dienstleisters Digital Shadows ist die Zahl der gestohlenen Login-Daten, die im Darkweb veröffentlicht beziehungsweise zum Verkauf angeboten werden, rapide gestiegen und erreicht erschreckende Ausmasse. Gegenwärtig handle es sich um insgesamt mehr als 24 Milliarden Benutzer-Passwort-Kombinationen, so Digital Shadows, das sind 65% mehr als 2020. 6,7 Milliarden der aufgedeckten Logindaten seien einmalig, das heisst sie und wurden erstmals und einmalig auf einem Marktplatz im Dark Web zum Verkauf angeboten. Dies entspreche 4 exponierten Accounts pro Internet-User weltweit.

Solche Passwort-Listen können Cyberkriminelle einerseits dazu befähigen, direkt in die entsprechenden Nutzerkonten einzudringen. Dies reicht von Konten bei Streaming-Diensten, Onlinehändlern oder sozialen Medien bis hin zu Online-Banking-Konten und Zugängen in Unternehmensnetze. Andererseits können sie auch in Softwaretools gespiesen werden, die verwendet werden, um unbekannte Passwörter zu knacken. Diese können dann unbekannte Passwörter, falls sie Ähnlichkeiten mit bereits benutzten Passwörtern aufweisen, sehr viel schneller herausfinden als mit einer reinen Brute-Force-Methode.

Ein Hauptgrund dafür, dass so viele Passwörter im Darkweb landen können, ist laut Digital Shadows die mangelnde "Passwort-Hygiene" der User. So verwenden viele Internet-User weiterhin leicht zu erratende Passwörter und simple Zahlenfolgen. Fast jedes 200ste Passwort (0,46%) lautet "123456". Beliebt seien ausserdem Kombinationen von Buchstaben, die auf der Computertastatur nahe beieinander liegen, zum Beispiel "qwertz" oder "1q2w3e"). Von den 50 am häufigsten genutzten Passwörtern können Hacker 49 in weniger als einer Sekunde knacken, sagt Digital Shadows. Einige der dazu benötigten Tools seien für lediglich 50 US-Dollar im Dark Web erhältlich.

Auch durch das Einfügen von Sonderzeichen wie @ oder # lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein Passwort mit 10 Zeichen davon ein Sonderzeichen, kostet Cyberkriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit als ohne Sonderzeichen. Bei zwei Sonderzeichen benötigen Hacker aber immerhin bereits 2 Tage und 4 Stunden mehr.

"Die Branche bewegt sich zwar mit grossen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch ausser Kontrolle zu geraten", kommentiert Chris Morgan, Senior Cyber Threat Intelligence Analyst bei Digital Shadows. "Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können."