Flexible Security for Your Peace of Mind

Beliebte Webdienste, die auch beruflich genutzt werden, bieten keinen Schutz vor schwachen Passwörtern

Die Verhinderung von schwachen und kompromittierten Passwörtern innerhalb einer Unternehmensumgebung ist eine beherrschbare Aufgabe. Aber was ist mit anderen Diensten, bei denen Mitarbeiter geschäftskritische Daten austauschen, um ihre Arbeit zu erledigen? Das Research-Team von Specops Software untersuchte die Anforderungen an Passwörter von fünf beliebten Webdiensten. Ziel war es herauszufinden, ob kompromittierte Passwörter Cyberkriminellen die Tür öffnen könnten, die außerhalb des Netzwerks nach Unternehmensdaten suchen. Mit anderen Worten: Wenn ein Cyberkrimineller nicht in der Lage ist, direkt auf die Daten eines Unternehmens zuzugreifen, könnte er durch die Hintertür auf einen vom Unternehmen genutzten Dienst zugreifen, um zu erfahren, wo das Unternehmen verwundbar ist. Die Ergebnisse weisen auf eine große Schwachstelle in der Cybersicherheit hin: Mitarbeiter könnten schwache oder bereits kompromittierte Passwörter für diese Dienste verwenden, die häufig keine oder nur eine geringe Authentifizierung aufweisen.

Das Specops-Team untersuchte fünf beliebte Dienste aus verschiedenen Branchen wie E-Commerce, Projektmanagement, E-Mail-Marketing und Kundensupport. Die Analyse verglich die Passwortanforderungen der Dienste mit einer Teilmenge von 1 Milliarde bekannter und damit kompromittierter Passwörter, die in der Specops Breached Password Protection Liste enthaltenen sind.

Shopify kann kompromittierte Passwörter nicht verhindern

Der E-Commerce-Riese Shopify wird von mehr als 3,9 Millionen Websites weltweit genutzt. Shopify bietet zwar eine Zwei-Faktor-Authentifizierung (2FA) an, diese ist jedoch keine Voraussetzung für die Erstellung eines Kontos. Shopify führt keine Prüfung auf kompromittierte Passwörter durch.

Shopify’s Passwort-Anforderungen:

  • Ihr Passwort muss aus mindestens 5 Zeichen bestehen und darf nicht mit einem Leerzeichen beginnen oder enden.

Bei der Überprüfung der Liste mit mehr als 1 Milliarde bekannter kompromittierter Passwörter fanden die Specops-Forscher heraus, dass 99,7 % der Passwörter die Anforderungen von Shopify erfüllen. Beispiele für Passwörter, die diese Anforderungen erfüllen und von denen bekannt ist, dass sie kompromittiert wurden, sind:

  • lunabelle
  • luckygurl
  • loveok
  • lovehate16
  • login666

Shopify verhindert nicht die Verwendung des Wortes Shopify in Passwörtern des Dienstes, was dazu führte, dass 18 Passwörter gefunden wurden, die den Namen enthalten, wie shopifyseoexpert, shopify, shshopify, myshopify und shopify123.

Zendesk verhindert weniger als 2 % der kompromittierten Kennwörter

Zendesk, ein SaaS-Unternehmen, das Kundenkommunikations- und -supportdienste anbietet, bietet 2FA bei der Erstellung eines neuen Kontos mit dem Dienst an, aber es ist keine Voraussetzung dafür. Zendesk führt ebenfalls keine Prüfung auf kompromittierte Passwörter durch, was dazu führt, dass das Wort “Passwort” als Passwort akzeptiert wird.

Kennwortanforderungen von Zendesk:

  • Muss mindestens 5 Zeichen lang sein
  • Muss aus weniger als 128 Zeichen bestehen
  • Muss sich von der E-Mail Adresse unterscheiden

Die Specops-Untersuchung ergab, dass von den 1 Milliarde analysierten kompromittierten Passwörtern 99,03 % die Zendesk-Passwortanforderungen erfüllen, die mindestens 5 Zeichen erfordern und dass das Format des Passworts nicht das einer E-Mail-Adresse @. imitieren darf.
Zendesk verhindert nicht die Verwendung des Firmennamens im Kennwort, was dazu führte, dass fünf kompromittierte Kennwörter gefunden wurden, die das Wort Zendesk enthalten:

  • zendesk
  • zendesk502277
  • zendesk1
  • zendesk123
  • zendesk12

Trello blockiert weniger als 13 % der bekannten kompromittierten Passwörter

Der Kanban-ähnliche Projektmanagementdienst Trello bietet zwar 2FA an, doch ist dies keine Voraussetzung für die Erstellung eines Kontos. Trello führt keine Prüfung auf kompromittierte Passwörter durch.

Trello’s Passwort-Anforderungen:

  • Das Passwort muss mindestens 8 Zeichen enthalten

Von den 1 Milliarde überprüften Passwörtern erfüllen 82,9 % die von Trello geforderte Länge von 8 Zeichen. Trello verhindert nicht die Verwendung des Wortes Trello bei der Passworterstellung, was zu 1454 Passwörtern im analysierten Datensatz führte. Einige Beispiele sind:

  • maestrello
  • estrellosa
  • pipistrello2
  • petrellosa
  • trellos23

Stack Overflow verhindert 46 % der kompromittierten Passwörter

Stack Overflow, ein öffentliches Forum, in dem Entwickler lernen und Wissen austauschen, setzt bei seinen Passwortrichtlinien auf mehr Komplexität und blockiert fast die Hälfte der analysierten 1 Milliarde kompromittierter Passwörter. Stack Overflow scheint weder 2FA anzubieten, noch eine Prüfung auf kompromittierte Passwörter durchzuführen.

Die Passwort-Anforderungen von Stack Overflow:

  • Passwörter müssen mindestens acht Zeichen enthalten, darunter mindestens 1 Buchstabe und 1 Zahl

Einige Beispiele von Passwörtern, die als kompromittierte Passwörter bekannt sind und dennoch die Stack-Overflow-Anforderungen erfüllen, sind:

  • rexter123
  • renzo422
  • renegade86
  • renata90
  • erinnern95

Stack Overflow blockiert die Verwendung des Firmennamens in Passwörtern nicht, was dazu führt, dass kompromittierte Passwörter wie stackoverflow1993, stackoverflow1 und stackoverflow1111 erlaubt sind.

Mailchimp blockiert 98 % der bekannten kompromittierten Kennwörter

Der E-Mail-Marketingdienst Mailchimp ist der leistungsfähigste der untersuchten Dienste, die gerne auch im beruflichen Kontext verwendet werden. Dies ist der Durchsetzung einer komplexen Kennwortrichtlinie zu verdanken, obwohl dies dazu führen kann, dass dieses Maß an Komplexität andere schlechte Kennwortverhaltensweisen wie die Wiederverwendung von Kennwörtern und das Aufschreiben von Kennwörtern verursachen kann. Mailchimp verlangt keine 2FA, führt keine Prüfung auf kompromittierte Passwörter durch und blockiert nicht die Verwendung des Wortes mailchimp in Passwörtern.

Die Kennwortanforderungen von Mailchimp:

  • Ein Kleinbuchstabe
  • Ein Großbuchstabe
  • Eine Zahl
  • Ein Sonderzeichen
  • Mindestens 8 Zeichen

Während Mailchimp 98,7 % der bekannten kompromittierten Kennwörter allein aufgrund der Kennwortanforderungen erfolgreich blockieren würde, bedeutet die Tatsache, dass der Dienst nicht nach kompromittierten Kennwörtern sucht, dass das Kennwort Password1!, welches in der Breached Password Protection Liste enthalten ist, erlaubt ist.

Was die IT heute bewirken kann

Obwohl Webdienste, die auch beruflich verwendet werden, nicht unbedingt unter der Kontrolle der IT-Abteilung stehen, sind ihr die Hände nicht völlig gebunden. IT-Abteilungen sollten darauf hinarbeiten, den Gesamtaufwand für Passwörter zu verringern, indem sie Tools wie einen Passwortmanager für Unternehmen oder eine Single-Sign-On-Lösung einsetzen. Die Mitarbeiter sollten ermutigt werden, wann immer möglich 2FA zu verwenden. Für die Unternehmensumgebung muss die IT-Abteilung die Verwendung bekannter kompromittierter Passwörter in Active Directory blockieren, längere Passphrasen vorschreiben und den Ablauf von Passwörtern als Mittel gegen das Problem der Wiederverwendung von Passwörtern einsetzen.

Passwörter sind leicht angreifbar, da die Benutzer oft schwache Passwörter verwenden, die leicht zu erraten oder bereits kompromittiert sind. Diese Passwörter sind angreifbar, weil sie auf verschiedenen privaten und beruflichen Plattformen wiederverwendet werden und weil sie bei ihrer Erstellung typischen Mustern und Themen folgen. Das macht es wahrscheinlicher, dass sie auf Listen mit kompromittierten Passwörtern landen, die dann wiederholt für Passwortangriffe verwendet werden.

Komplexe Passwörter führen zu Passwörtern, die sich Menschen nur schwer merken können und die für Cyberkriminelle leicht zu missbrauchen sind. Solange Passwörter wiederverwendet werden, kann man sie nur sicherer machen, indem man alle bekannten kompromittierten Passwörter verbietet und MFA aktiviert, wann immer dies möglich ist. Erfahren Sie mehr über das Problem der Wiederverwendung von Passwörtern im Weak Password Report 2022.

(Zuletzt aktualisiert am 31/08/2022)

Zurück zum Blog