Flexible Security for Your Peace of Mind

[Neue Analyse] Golf holt Gold: Diese olympischen Sportarten erscheinen in über 40.000 kompromittierten Passwörtern

In diesem Beitrag stellt Ihnen das Specops Research Team aktuelle Daten zur Nutzung von sportlichen Hobbys als Grundlage für Passwörter vor. Inspiriert von den Olympischen Spielen 2024 in Paris haben wir uns kompromittierte Passwörter angeschaut, die Sportarten des globalen Sportereignisses als Basisbegriff enthalten. Dies folgt auf die Analyse der Angriffsfläche der Online-Infrastruktur der Olympischen Spiele in Paris durch die Muttergesellschaft von Specops, Outpost24.

Zeitlgleich zu dieser Analyse wurden über 122 Millionen kompromittierte Passwörter in den Specops Breached Password Protection Service aufgenommen.

Insgesamt hat unser Forschungsteam 157.048 Passwörter gefunden, die in den letzten 12 Monaten durch Malware gestohlen wurden und Sportarten als Basisbegriff nutzen. Dies sind alles echte Passwörter, die von Nutzern in realen Unternehmen verwendet werden, und sie alle stellen eine potenzielle Möglichkeit für einen Hacker dar, sich unbefugten Zugang zu einem unternehmenseigenen Netzwerk zu verschaffen.

Darren James, Senior Product Manager bei Specops Software, kommentierte die Ergebnisse wie folgt: “Man glaubt vielleicht nicht, dass viele Leute ihre Lieblingssportart als Passwort benutzen , aber diese Ergebnisse beweisen das Gegenteil. Die meisten Anwender wissen, dass sie ihre Geburtstage, die Namen ihrer Kinder oder sogar die Namen ihrer Haustiere nicht als Passwörter verwenden sollten – denn diese Informationen sind für Hacker leicht zu finden. Dennoch greifen sie gerne zu etwas Vertrautem und Einprägsamem – Aber die Verwendung eines Hobbys, Lieblingsfilms oder Lieblingsmusikers als Passwort birgt ebenfalls Risiken.”

Golf und Fußball sind die am häufigsten kompromittierten Basisbegriffe aus dem Sportbereich

Insgesamt haben wir 157.048 gestohlene Passwörter zu den 32 Sportarten gefunden, die bei den diesjährigen Olympischen Spielen ausgetragen werden. Golf war mit Abstand das am häufigsten gestohlene Passwort, mit insgesamt 40.294 Einträgen. Das waren fast doppelt so viele wie bei der zweithäufigsten Sportart, Fußball, mit insgesamt 20.550. Alle Passwörter in dieser Untersuchung sind entsprechend kompromittiert, so dass für Unternehmen, in dem solche Passwörter verwendet werden, die Gefahr eines erfolgreichen Cyberangriffes besteht, wenn Hacker in der Lage sind, Passwörter mit einem entsprechenden Nutzer und dessen Arbeitsplatz in Verbindung zu bringen.

Hinzu kommt, dass durch die Wiederverwendung von Passwörtern eine hohe Wahrscheinlichkeit besteht, dass die kompromittierten Passwörter in verschiedenen Anwendungsbereichen verwendet werden. Wahrscheinlich werden viele von ihnen auch als Active Directory-Passwörter verwendet, was ein ernstzunehmendes Risiko darstellt. Alle in dieser Untersuchung gefundenen kompromittierten Passwörter fließen in die Specops-Datenbank mit über 4 Milliarden kompromittierten Passwörtern ein, auf die wir die Active Directories unserer Kunden überprüfen.

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!
Sportart aus dem der Basisbegriff stammtAnzahl der kompromittierten Passwörter
Golf40.294
Fußball20.550
Hockey9.647
Basketball8.062
Tennis7.739
Rugby6.193
Boxen2.945
Surfen2.056
Badminton1.783
Schwimmen1.594

Und hier sind einige Beispiele für kompromittierte Kennwörter zum Thema Golf. Wie Sie sehen, haben die Benutzer in vielen Fällen eine kleine Anzahl von Zahlen oder Großbuchstaben hinzugefügt, um die Mindestanforderungen der Passwortrichtlinien zu erfüllen, und folgen dem vorhersehbaren Muster eines einzelnen Großbuchstabens, eines allgemeinen Basisbegriffs (in diesem Fall Golf) und dann einer Zahl oder eines Sonderzeichens. Selbst wenn diese Kennwörter nicht via Infostealer gestohlen worden wären, wären sie sehr leicht zu knacken. Wenn Sie eine Blockliste haben, sollten Sie diese Kennwörter in die Liste aufnehmen.

  • golf1332
  • 1Amgolfer
  • Ilovegolf4
  • Golf123
  • Ggolfing55
  • golfinho1
  • golf3434
  • golfer559
  • golfonline99
  • Golfer1234
  • Golferboy1
  • golflove1
  • Golfpro1
  • 123golfgolf

So spüren Sie weitere kompromittierte Passwörter in Ihrem Netzwerk auf

Mit dem heutigen Update des Breached Password Protection Service wurde auch die von Specops Password Auditor verwendete Liste um mehr als 30 Millionen kompromittierte Passwörter erweitert. Finden Sie heraus, wie viele dieser kompromittierten Passwörter von Ihren Nutzern verwendet werden, indem Sie Ihr Active Directory mit unserem kostenlosen Auditing-Tool überprüfen.

Specops Password Auditor speichert keine Daten aus Active Directory und führt auch keine Änderungen daran durch. Nach dem Audit erhalten Sie einen leicht verständlichen, exportierbaren Bericht, der Schwachstellen im Bereich der Passwortsicherheit auflistet, die als Einstiegspunkte für Angreifer genutzt werden könnten.

Unterstützen Sie Ihre Benutzer bei der Vergabe sicherer Passwörter

Schwache und leicht zu erratende Passwörter, die auf Begriffen wie der Lieblingssportart einer Person beruhen, sind sehr anfällig für Brute-Force- und Hybrid Dictionary-Angriffe. Da Angreifer beim Erraten von Passwörtern auf gängige Basisbegriffe zurückgreifen. Wenn Hacker es auf eine bestimmte Person abgesehen haben, können sie auch über soziale Medien herausfinden, welche Kennwörter möglicherweise in Frage kommen. In dem oben genannten Fall könnte das die Tatsache sein, dass jemand ein begeisterter Golfer ist. In unserem Guide finden Sie Hinweise, wie Sie Endanwendern bei der Erstellung starker Passwörter und Passphrasen zur Seite stehen können.

Kontinuierliche Suche nach schwachen und kompromittierten Passwörtern

Natürlich achten Unternehmen darauf, dass die beruflichen Passwörter ihrer Benutzer sicher sind. Jedoch müssen wir darauf hinweisen, dass die in dieser Studie untersuchten Passwörter durch Malware wie z.B. Infostealer gestohlen wurden. Dadurch können selbst starke Passwörter gestohlen und “offline” erraten werden. Daher ist es wichtig, dass Sie Ihr Active Directory laufend auf die Gefahr kompromittierter Passwörter überprüfen können.

Specops Password Policy mit Breached Password Protection schützt Ihre Endbenutzer vor der Verwendung von mehr als 4 Milliarden bekannten kompromittierten Passwörtern, einschließlich der Daten von bereits gemeldeten Lecks, Bedrohungsinformationen aus eben solcher Infostealer-Malware und unserem eigenen Honeypot-System, welches Passwörter sammelt, die in echten Passwort-Spray-Angriffen verwendet werden. Unsere kontinuierliche Scan-Funktion überprüft einmal täglich alle Active Directory-Passwörter mit der Breached Password Protection API auf Kompromittierung.

Möchten Sie mehr darüber erfahren, wie Specops Password Policy für mehr Passwortsicherheit in Ihrer Organisation sorgen kann? Wir beraten Sie gerne!

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 22/10/2024)

Zurück zum Blog