Flexible Security for Your Peace of Mind

[Neue Analyse] Sind die Passwörter für Ihre VPNs sicher?

In diesem Beitrag stellt das Specops Research Team aktuelle Daten zur Verwendung von VPN-Passwörtern vor, die durch Infostealer-Malware kompromittiert wurden. Insgesamt hat unser Threat Intelligence Team im vergangenen Jahr 2.151.523 VPN-Passwörter gefunden, die durch Malware gestohlen wurden. Dabei handelt es sich um echte Passwörter, die von Nutzern für den Zugang zu VPNs verwendet werden und Angreifern die Möglichkeit bieten, sich unberechtigten Zugang zu VPNs zu verschaffen.

Gleichzeitig mit dieser Analyse wurden mehr als 193 Millionen kompromittierte Passwörter in den Specops Breached Password Protection Service aufgenommen.

Darren James, Senior Product Manager bei Specops Software, kommentierte die Ergebnisse wie folgt: „Unternehmen verlangen von ihren Mitarbeitern, dass sie sich über VPNs in das Unternehmensnetzwerk einwählen, hauptsächlich aus Gründen der Sicherheit und des Datenschutzes. VPNs verschlüsseln Daten, die zwischen dem Endgerät des Mitarbeiters und dem Unternehmensnetzwerk übertragen werden, und helfen, sensible Informationen vor dem Abfangen durch Unbefugte zu schützen, insbesondere wenn Mitarbeiter ungesicherte oder öffentliche WLANs nutzen.

„Mit VPNs können IT-Abteilungen den Zugriff auf Ressourcen im Unternehmensnetzwerk kontrollieren und verwalten. Dazu gehören die Einhaltung von Sicherheitsrichtlinien, die Kontrolle der Bandbreite und die Überwachung des Netzwerkverkehrs. Darüber hinaus unterstützen sie die Einhaltung dieser Vorschriften, indem sie die Datenübertragung absichern und Zugriffskontrollen und Prüfprotokolle bereitstellen.

„Wenn jedoch VPN-Passwörter kompromittiert werden, können all diese Vorteile zunichte gemacht werden bzw. Angreifern einen Weg in Ihr Unternehmen bieten. Nutzer verwenden häufig ihre Active Directory-Zugangsdaten, um sich in geschäftliche VPNs einzuloggen, und möglicherweise auch ihre Active Directory-Passwörter, um sich in private VPNs einzuloggen“.

Die am häufigsten kompromittierten VPN-Anbieter und Passwörter

Die Anbieter mit den meisten kompromittierten Passwörtern

Obwohl VPNs die Sicherheit durch die Verschlüsselung von Daten und die Bereitstellung einer sicheren Verbindung zum Netzwerk deutlich erhöhen, bergen sie auch Schwachstellen, insbesondere im Hinblick auf die Sicherheit von Passwörtern. Wenn VPN-Server so konfiguriert sind, dass sie eine unbegrenzte Anzahl von Anmeldeversuchen zulassen, können sie beispielsweise anfällig für Brute-Force-Angriffe sein, bei denen Angreifer mit mithilfe automatisierter Tools eine große Anzahl von Passwortkombinationen ausprobieren, um sich unberechtigten Zugang zu verschaffen.

Wie die folgende Tabelle zeigt, sind die drei am häufigsten angegriffenen VPN-Anbieter (ProtonVPN, ExpressVPN und NordVPN) drei der beliebtesten und sichersten VPNs auf dem Markt. Trotz der gut dokumentierten Sicherheit des VPN-Produkts selbst wurden die Zugangsdaten von mehr als einer Million Proton VPN-Nutzern durch Malware kompromittiert. Für Cyberkriminelle ist es wesentlich einfacher, an die Zugangsdaten der Endnutzer zu gelangen, als die VPNs selbst zu infiltrieren.

Benutzer können dazu verleitet werden, ihre VPN-Zugangsdaten auf gefälschten Websites einzugeben. Phishing-Angriffe können raffiniert sein und legitime VPN-Anmeldeseiten imitieren, um Benutzernamen und Kennwörter zu stehlen. Schadprogramme wie Keylogger und Infostealer können Tastatureingaben, einschließlich VPN-Passwörter, aufzeichnen, wenn sie auf dem Gerät eines Benutzers installiert sind. Dies kann geschehen, wenn das Gerät bereits kompromittiert ist, bevor es eine Verbindung zum VPN herstellt, oder wenn der VPN-Anbieter die Verwendung von Anti-Malware-Tools nicht vorschreibt oder erzwingt.

Top 10 VPN-AnbieterAnzahl an kompromittierten Passwörtern
protonvpn.com1,306,229
expressvpn.com94,772
nordvpn.com89,289
cyberghostvpn.com83,648
droidvpn.com77,429
vpnelf.com27,58
vyprvpn.com25,533
openvpn.com24,670
safervpn.com21,561
purevpn.com21,114

Die am häufigsten kompromittierten VPN Passwörter

Die folgende Tabelle zeigt die am häufigsten kompromittierten VPN-Passwörter. Gängige Tastenfolgen wie „12345“ und „qwerty“ sind ebenso vertreten wie schwache Passwörter wie „Admin“ und „password“. Wir sehen auch „P@ssw0rd“ als einen schwachen Versuch, die Komplexitätsanforderungen zu erfüllen (z. B. muss es einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten). Interessant ist auch, dass „protonvpn“ und „dyadroid1“ in der Liste auftauchen, da diese Anbieter bereits zu den Top 5 der Anbieter mit den meisten kompromittierten Passwörtern gehören. Einige Nutzer haben offensichtlich einfach den Produktnamen als Passwort eingegeben.

Wie Sie an diesen Beispielen sehen können, besteht die Gefahr, dass Anwender schwache oder leicht zu erratende Passwörter wählen, wenn ein Unternehmen keine strengen Passwortrichtlinien vorgibt. Auch die Wiederverwendung von Passwörtern stellt ein ernsthaftes Risiko dar. Häufig verwenden Anwender ihre Passwörter auch in mehreren Dienste gleichzeitig. Wenn ein Passwort für einen Dienst kompromittiert wird, sind alle anderen Konten, die dasselbe Passwort verwenden, ebenfalls gefährdet, einschließlich möglicher VPN-Zugänge.

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Die Tatsache, dass das häufigste Passwort in diesem Datensatz von über zwei Millionen Einträgen nur 5.290 Mal gefunden wurde (bzw. das oft sehr häufige „password“ nur 554 Mal), erscheint recht gering. Dies könnte darauf hindeuten, dass die Nutzer im Allgemeinen einzigartige oder sogar starke Passwörter für ihre VPN-Zugangsdaten verwendet haben. Dies hat jedoch nicht verhindert, dass diese Passwörter kompromittiert wurden.

Kompromittiertes PasswortAnzahl der Funde
1234565,290
1234567894,969
123456784,803
12342,665
123451,792
12345678901,398
admin1,064
0868689849622
password554
qwertyuiop475
1234567460
123123123457
1346a1967429
123123394
kally256394
Suzhou@123388
hosein2181384
qwerty123368
sshstore368
o7r7p082izpshdzzx0cxsldenve3bcrf365
112233348
11111111344
123324
protonvpn314
P@ssw0rd306
1111294
02b1176JT284
qwerty282
asdfghjkl269
dyadroid1268

Die gängigsten e-Mail-Domains

Wir haben auch die häufigsten E-Mail- Domains erfasst, die mit den gestohlenen VPN-Passwörtern in Verbindung gebracht wurden. Die ersten vier sind nicht überraschend, da sie bei Privatpersonen sehr beliebt sind. Proton VPN hatte die meisten gestohlenen Passwörter, aber es ist bemerkenswert, dass ihre eigene E-Mail-Domain in der Liste auftaucht.

E-Mail-DomainAnzahl der Einträge in der Stichprobe
gmail.com606,605
hotmail.com50,859
yahoo.com26,820
outlook.com14,048
protonmail.com9,066
icloud.com6,118
qq.com3,563
live.com3,450
hotmail.fr2,914
proton.me2,765

Was bedeutet das für den Einsatz von VPNs in Unternehmen?

Aufgrund der zugehörigen E-Mail-Domänen ist es wahrscheinlich, dass viele der kompromittierten Passwörter in unserem Datensatz Zugangsdaten von Privatpersonen waren. Das größte Risiko für Unternehmen besteht bei diesen Passwörtern darin, dass die Benutzer diese Passwörter für ihre Arbeit wiederverwenden. Noch riskanter ist es jedoch, wenn ein Unternehmens-VPN direkt kompromittiert wird, da Active Directory-Passwörter oft absichtlich als VPN-Passwort verwendet werden, um die VPN-Verbindung zu einem Unternehmensnetzwerk so schnell wie möglich zu authentifizieren.

Nachfolgend haben wir eine Reihe von kompromittierten Passwörtern hervorgehoben, die mit größerer Wahrscheinlichkeit mit geschäftlichen VPNs in Verbindung stehen (nach Ausschluss von E-Mail-Domänen, die üblicherweise von Privatpersonen verwendet werden). Obwohl es sich um weit verbreitete schwache Passwörter wie „admin“ handelt, würden einige dieser Passwörter auch die Anforderungen an Länge und Komplexität für Active Directory-Passwörter in vielen Unternehmen erfüllen. Wenn Sie über einen Passwortfilter oder eine Blacklist verfügen, könnte es sich lohnen, diese Passwörter hinzuzufügen.

Kompromittierte berufliche Passwörter für VPN-Zugänge

  • admin
  • 123456
  • Abcd@123#
  • admin123
  • P@sswort
  • abc123456+
  • Aa12345678
  • 88366733
  • Milan0
  • Porta2016
  • Lordthankyou2
  • Vv88888888
  • A10203040a
  • V3ls1s1234
  • zzx3239852
  • uzair12345
  • qst1234

Finden Sie weitere kompromittierte Passwörter in Ihrem Netzwerk

Mit dem heutigen Update des Breached Password Protection Service wurde die von Specops Password Auditor verwendete Liste um mehr als 52 Millionen kompromittierte Passwörter erweitert. Mit unserem kostenlosen Auditing-Tool können Sie durch einen schnellen Scan Ihres Active Directory herausfinden, wie viele dieser kompromittierten Passwörter von Ihren Endbenutzern verwendet werden: Specops Password Auditor.

Das Read-Only Tool speichert keine Active Directory Daten und nimmt keine Änderungen am Active Directory vor. Nach Abschluss des Audits erhalten Sie direkt eine Reihe von exportierbaren Berichten, die Ihnen helfen, passwortbezogene Schwachstellen aufzudecken.

Die Gefahr durch kompromittierte VPN-Passwörter

Die größte Gefahr besteht darin, dass sich der Angreifer unberechtigten Zugang zum Unternehmensnetzwerk verschafft. Dieser Zugang ermöglicht es dem Angreifer, sich als legitimer Benutzer auszugeben und möglicherweise den gleichen Zugang zu sensiblen Daten und kritischen Systemen zu erhalten wie der tatsächliche Benutzer. Sobald der Angreifer in das Netzwerk eingedrungen ist, kann er vertrauliche Daten wie persönliche Informationen, Finanzdaten, vertrauliche Daten und vieles mehr stehlen. Diese Daten können dann für weitere böswillige Zwecke wie Identitätsdiebstahl, Finanzbetrug oder den Verkauf der Daten im Dark Web verwendet werden.

Mit den kompromittierten VPN-Zugangsdaten kann ein Angreifer auch weitere Malware in das Netzwerk einschleusen. Diese Malware kann dann dafür sorgen, dass Backdoors eingerichtet, Dienste gestört oder Sicherheitssysteme weiter kompromittiert werden. Ransomware, Manipulation der Infrastruktur oder das Löschen kritischer Daten können den Betriebsablauf stören und zu erheblichen Ausfallzeiten und finanziellen Verlusten führen.

Wiederverwendete Passwörter in Ihrem Active Directory

Leider ist die Wiederverwendung von Passwörtern ein weit verbreitetes Phänomen. Laut einer Google-Umfrage gaben 52 % der erwachsenen US-Bürger zu, dass sie zumindest für einige ihrer Online-Konten dasselbe Passwort verwenden, und jeder Achte verwendet das gleiche Passwort für alle seine Online-Konten.

Sollte dies bei einem Active Directory und VPN-Passwort der Fall sein, und dieses Passwort kompromittiert werden, können die Folgen deutlich schwerwiegender sein. Angenommen, ein Angreifer verschafft sich Zugang zu einem Active Directory-Konto, so hat er potenziell Zugriff auf alle Systeme und Ressourcen, für die der Benutzer Berechtigungen besitzt, und nicht nur auf das VPN. Dazu können E-Mail-Konten, Dateispeicher, Datenbanken und Verwaltungssysteme gehören.

Wenn das kompromittierte Konto über administrative Rechte verfügt, kann der Angreifer Sicherheitseinstellungen ändern, neue Konten erstellen, Daten ändern oder löschen und bösartige Software im Netzwerk installieren. Diese Zugriffsebene ermöglicht weitaus größere Schäden und Datendiebstahl. Die Behebung einer Sicherheitslücke im Zusammenhang mit kompromittierten Active Directory-Zugangsdaten ist oft entsprechend komplex und kostspielig. Eine umfassende Sicherheitsüberprüfung, das Zurücksetzen von Passwörtern im gesamten Netzwerk und möglicherweise ein Neuaufbau der kompromittierten Systeme können erforderlich sein, um sicherzustellen, dass alle Spuren des Angreifers beseitigt werden.

So spüren Sie kompromittierte Active Directory-Zugangsdaten auf

Für Unternehmen ist es selbstverständlich, dass alle Active Directory Passwörter sicher sein müssen. Es ist jedoch wichtig, sich daran zu erinnern, dass die zwei Millionen VPN-Passwörter in dieser Analyse durch Malware gestohlen wurden. Zusammen mit der Tatsache, dass Passwörter wiederverwendet werden, ist es daher umso wichtiger, dass Sie Ihr Active Directory ständig auf die Bedrohung durch kompromittierte Passwörter überprüfen.

Specops Password Policy mit Breached Password Protection schützt Ihre Active Directory-Kennwörter vor über 4 Milliarden bereits kompromittierten Kennwörtern, einschließlich Daten aus bekannten Leaks, unserem eigenen Honeypot-System, das Kennwörter sammelt, die in echten Kennwort-Spray-Angriffen verwendet werden, sowie Daten wie die oben genannten, die durch Analysten unserer Muttergesellschaft Outpost24 in Infostealer-Malware gefunden wurden. Mit unserer kontinuierlichen Scan-Funktion werden alle Active Directory-Passwörter einmal täglich mit der Breached Password Protection-API auf Kompromittierung überprüft.

Wollen Sie mehr darüber erfahren, wie Specops Password Policy Sie bei der Stärkung Ihrer Passwortsicherheit unterstützen kann? Wir beraten Sie gerne!

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 22/10/2024)

Zurück zum Blog