24 Milliarden Passwörter im Darkweb

16. Juni 2022, 12:34
  • security
  • studie
  • digital shadows
image

"Im Moment scheint das Problem der kompromittierten Anmeldedaten ausser Kontrolle zu geraten."

Laut aktuellen Zahlen des Cyber-Intelligence-Dienstleisters Digital Shadows ist die Zahl der gestohlenen Login-Daten, die im Darkweb veröffentlicht beziehungsweise zum Verkauf angeboten werden, rapide gestiegen und erreicht erschreckende Ausmasse. Gegenwärtig handle es sich um insgesamt mehr als 24 Milliarden Benutzer-Passwort-Kombinationen, so Digital Shadows, das sind 65% mehr als 2020. 6,7 Milliarden der aufgedeckten Logindaten seien einmalig, das heisst sie und wurden erstmals und einmalig auf einem Marktplatz im Dark Web zum Verkauf angeboten. Dies entspreche 4 exponierten Accounts pro Internet-User weltweit.
Solche Passwort-Listen können Cyberkriminelle einerseits dazu befähigen, direkt in die entsprechenden Nutzerkonten einzudringen. Dies reicht von Konten bei Streaming-Diensten, Onlinehändlern oder sozialen Medien bis hin zu Online-Banking-Konten und Zugängen in Unternehmensnetze. Andererseits können sie auch in Softwaretools gespiesen werden, die verwendet werden, um unbekannte Passwörter zu knacken. Diese können dann unbekannte Passwörter, falls sie Ähnlichkeiten mit bereits benutzten Passwörtern aufweisen, sehr viel schneller herausfinden als mit einer reinen Brute-Force-Methode.
Ein Hauptgrund dafür, dass so viele Passwörter im Darkweb landen können, ist laut Digital Shadows die mangelnde "Passwort-Hygiene" der User. So verwenden viele Internet-User weiterhin leicht zu erratende Passwörter und simple Zahlenfolgen. Fast jedes 200ste Passwort (0,46%) lautet "123456". Beliebt seien ausserdem Kombinationen von Buchstaben, die auf der Computertastatur nahe beieinander liegen, zum Beispiel "qwertz" oder "1q2w3e"). Von den 50 am häufigsten genutzten Passwörtern können Hacker 49 in weniger als einer Sekunde knacken, sagt Digital Shadows. Einige der dazu benötigten Tools seien für lediglich 50 US-Dollar im Dark Web erhältlich.
Auch durch das Einfügen von Sonderzeichen wie @ oder # lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein Passwort mit 10 Zeichen davon ein Sonderzeichen, kostet Cyberkriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit als ohne Sonderzeichen. Bei zwei Sonderzeichen benötigen Hacker aber immerhin bereits 2 Tage und 4 Stunden mehr.
"Die Branche bewegt sich zwar mit grossen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch ausser Kontrolle zu geraten", kommentiert Chris Morgan, Senior Cyber Threat Intelligence Analyst bei Digital Shadows. "Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können."


Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022