24 Milliarden Passwörter im Darkweb

16. Juni 2022, 12:34
  • security
  • studie
  • digital shadows
image

"Im Moment scheint das Problem der kompromittierten Anmeldedaten ausser Kontrolle zu geraten."

Laut aktuellen Zahlen des Cyber-Intelligence-Dienstleisters Digital Shadows ist die Zahl der gestohlenen Login-Daten, die im Darkweb veröffentlicht beziehungsweise zum Verkauf angeboten werden, rapide gestiegen und erreicht erschreckende Ausmasse. Gegenwärtig handle es sich um insgesamt mehr als 24 Milliarden Benutzer-Passwort-Kombinationen, so Digital Shadows, das sind 65% mehr als 2020. 6,7 Milliarden der aufgedeckten Logindaten seien einmalig, das heisst sie und wurden erstmals und einmalig auf einem Marktplatz im Dark Web zum Verkauf angeboten. Dies entspreche 4 exponierten Accounts pro Internet-User weltweit.
Solche Passwort-Listen können Cyberkriminelle einerseits dazu befähigen, direkt in die entsprechenden Nutzerkonten einzudringen. Dies reicht von Konten bei Streaming-Diensten, Onlinehändlern oder sozialen Medien bis hin zu Online-Banking-Konten und Zugängen in Unternehmensnetze. Andererseits können sie auch in Softwaretools gespiesen werden, die verwendet werden, um unbekannte Passwörter zu knacken. Diese können dann unbekannte Passwörter, falls sie Ähnlichkeiten mit bereits benutzten Passwörtern aufweisen, sehr viel schneller herausfinden als mit einer reinen Brute-Force-Methode.
Ein Hauptgrund dafür, dass so viele Passwörter im Darkweb landen können, ist laut Digital Shadows die mangelnde "Passwort-Hygiene" der User. So verwenden viele Internet-User weiterhin leicht zu erratende Passwörter und simple Zahlenfolgen. Fast jedes 200ste Passwort (0,46%) lautet "123456". Beliebt seien ausserdem Kombinationen von Buchstaben, die auf der Computertastatur nahe beieinander liegen, zum Beispiel "qwertz" oder "1q2w3e"). Von den 50 am häufigsten genutzten Passwörtern können Hacker 49 in weniger als einer Sekunde knacken, sagt Digital Shadows. Einige der dazu benötigten Tools seien für lediglich 50 US-Dollar im Dark Web erhältlich.
Auch durch das Einfügen von Sonderzeichen wie @ oder # lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein Passwort mit 10 Zeichen davon ein Sonderzeichen, kostet Cyberkriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit als ohne Sonderzeichen. Bei zwei Sonderzeichen benötigen Hacker aber immerhin bereits 2 Tage und 4 Stunden mehr.
"Die Branche bewegt sich zwar mit grossen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch ausser Kontrolle zu geraten", kommentiert Chris Morgan, Senior Cyber Threat Intelligence Analyst bei Digital Shadows. "Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können."


Loading

Mehr zum Thema

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022