Flexible Security for Your Peace of Mind

Compliance greift zu kurz: Neue Studie zeigt, dass bis zu 83 % der bekannten kompromittierten Passwörter den gesetzlichen Anforderungen genügen würden

(Zuletzt aktualisiert am 24/05/2022)

Unternehmen aller Art richten sich nach gesetzlichen Empfehlungen und Standards, um herauszufinden, wie sie am besten eine sichere Kennwortrichtlinie für ihre Netzwerke erstellen. Neue Forschungsergebnisse zeigen jedoch, dass die Empfehlungen bezüglich der Komplexität und des Aufbaus von Passwörtern nicht ausreichend sind. Heute stellt das Forschungsteam von Specops Software die Ergebnisse seiner Analyse über die Anzahl der kompromittierten Passwörter vor, die in geleakten Passwortdatensätzen gefunden wurden, die technisch generell den gesetzlichen Standards entsprechen würden. Diese Analyse fällt mit der jüngsten Erweiterung des Specops Breached Password Protection Service um über 24 Millionen kompromittierte Passwörter zusammen.

“Was uns diese Daten wirklich sagen, ist, dass es einen sehr guten Grund gibt, warum einige regulatorische Empfehlungen nun eine Überprüfung kompromittierter Passwörter beinhalten”, sagte Darren James, Produktspezialist bei Specops Software. “Komplexität und andere Regeln mögen helfen, aber das beste Passwort der Welt hilft nicht, Ihr Netzwerk zu schützen, wenn es auf einer Liste mit kompromittierten Passwörtern eines Hackers steht.”

Nach den Untersuchungen unseres Teams, das mehr als 800 Millionen bekannte kompromittierte Passwörter analysierte, würden bis zu 83 % der Passwörter, die in Datenbanken mit kompromittierten Passwörtern auftauchen, generell den gesetzlichen Passwortstandards entsprechen. Das Team verglich die Konstruktionsregeln von 8 verschiedenen Standards mit einem Datensatz von 800 Millionen kompromittierten Passwörtern.

Die folgenden regulatorischen Standards wurden untersucht:

  • NIST
  • HITRUST für HIPAA
  • PCI
  • ICO für GDPR
  • Cyber Essentials für NCSC

Viele dieser Standards enthalten die Empfehlung oder Anforderung, auch eine Liste bekannter kompromittierter Kennwörter zu verwenden, um die Verwendung von kompromittierten Kennwörtern zu verhindern – und das aus gutem Grund. Das folgende Diagramm zeigt, welcher Prozentsatz des Datensatzes bekannter kompromittierter Kennwörter die Empfehlungen der Regulierungsbehörden erfüllen würde.

Fast NCSC (Cyber Essentials) konforme kompromittierte Passwörter

Das NCSC (National Cyber Security Centre) ist eine Einrichtung der britischen Regierung, die den öffentlichen und privaten Sektor berät und unterstützt, um Bedrohungen der Computersicherheit zu vermeiden. Das vom NCSC genehmigte Akkreditierungssystem Cyber Essentials legt eine standardisierte Grundlage für Cybersicherheitsrichtlinien, -kontrollen und -technologien fest. Cyber Essentials ist verpflichtend für Regierungsverträge, die den Umgang mit persönlichen Daten oder die Bereitstellung bestimmter Produkte und Dienstleistungen beinhalten.

Zu den Anforderungen der Cyber Essentials für Passwörter gehören:

  • eine Mindestlänge des Passworts von 8 Zeichen
  • keine maximale Passwortlänge festlegen
  • sofortige Änderung von Passwörtern, wenn der Verdacht besteht, dass sie kompromittiert worden sind

Als unser Team den Datensatz mit kompromittierten Passwörtern auf Passwörter mit mindestens 8 Zeichen analysierte, stellte es fest, dass 82,98 % der Passwörter diese Anforderung erfüllten.

Einige Beispiele für die fast 83 % sonst konformen Passwörter:

  • malcom01
  • maidmarian
  • magvai87magvai87
  • maggie1987
  • madrilena

Fast ICO/GDPR-konforme kompromittierte Passwörter

Die Allgemeine Datenschutzverordnung (DSGVO) verpflichtet Organisationen, für den Schutz der Daten und der Privatsphäre von EU-Bürgern zu sorgen. Die Verordnung enthält keine spezifischen Hinweise zu Passwörtern, aber das Information Commissioner’s Office (ICO), das für die Durchsetzung der Verordnung zuständig ist, gibt einige unverbindliche Hinweise, darunter:

  • Länge der Passwörter: Die Mindestlänge sollte 10 Zeichen betragen, und es sollte kein Maximum geben.
  • Komplexität der Passwörter: Die Verwendung von Sonderzeichen sollte nicht vorgeschrieben werden.
  • Passwort-Sperrliste: Sperren Sie die Verwendung häufiger verwendeter und schwacher Passwörter. Überprüfen Sie Passwörter anhand einer Passwortliste mit den am häufigsten verwendeten Passwörtern, geleakten Passwörtern aus Sicherheitsverletzungen und erratbaren Wörtern, die mit dem Unternehmen in Verbindung stehen. Aktualisieren Sie die Liste der geleakten Passwörter regelmäßig und erklären Sie den Benutzern, warum ihre Passwörter abgelehnt wurden.

Als unser Team den Datensatz mit kompromittierten Kennwörtern auf Kennwörter hin analysierte, die diese Empfehlungen erfüllen, stellte es fest, dass 43,48 % der kompromittierten Kennwörter dem Standard für die Kennwortlänge entsprechen würden.

Einige Beispiele für die 43 % der kompromittierten Kennwörter, die den Empfehlungen entsprechen:

  • ihatekittens
  • ihatebrent
  • ihateapples
  • igor5062489
  • igor454645

Fast HITRUST/HIPAA-konforme kompromittierte Passwörter

Der Health Information Trust (HITRUST) wurde 2007 gegründet, um die Lücke in den oft als vage empfundenen Anforderungen des HIPAA zu schließen. Er bietet einen Rahmen für die Einhaltung von Standards wie der ISO/IEC 27000-Serie und des HIPAA. Einige der von HITRUST bereitgestellten Richtlinien für Passwörter sind:

  • Mindestens 8 Zeichen
  • Mindestens 1 Groß- oder Kleinbuchstabe oder Zahl oder Symbol
  • Nicht zu viele aufeinanderfolgende identische Zeichen

Unser Team definierte “nicht zu viele aufeinanderfolgende identische Zeichen” als 4 oder mehr und stellte fest, dass 56,87 % des kompromittierten Passwortdatensatzes die oben genannten Richtlinien erfüllten.

Einige Beispiele für die ansonsten konformen, zu fast 57 % kompromittierten Kennwörter:

  • freiheit1321
  • freddie43
  • fortview0122015
  • forrest55
  • töricht16

Fast PCI-konforme kompromittierte Passwörter

Die großen Kreditkartenunternehmen – Visa, Mastercard und American Express – haben im Jahr 2006 Richtlinien für den Payment Card Industry Data Security Standard (PCI DSS) aufgestellt, um Kreditkartendaten vor Diebstahl zu schützen. PCI v3 hat 12 Anforderungen; Anforderung 8 betrifft die Identifizierung und Authentifizierung des Zugriffs auf Systemkomponenten und enthält die folgenden Kennwortempfehlungen:

  • Mindestens 7 Zeichen
  • Mindestens 1 Zahl und ein Alpha-Zeichen

Unser Team analysierte den Datensatz mit kompromittierten Kennwörtern auf Passwörter, die den oben genannten Kriterien entsprachen, und stellte fest, dass 59,14 % der Kennwörter in diesem Datensatz diesen Anforderungen entsprachen.

Einige Beispiele für die 59 % ansonsten konformen Kennwörter:

  • 22pink22
  • 21hund657
  • o1livia
  • beatrice.99
  • klippen5

Fast NIST-konforme kompromittierte Passwörter

NIST, das National Institute of Standards and Technology, legt die Informationssicherheitsstandards für Bundesbehörden (oder Organisationen, die mit diesen Behörden Geschäfte machen wollen) in den Vereinigten Staaten fest. In der NIST-Sonderveröffentlichung 800-63B Digital Identity Guidelines (Richtlinien zur digitalen Identität) stellt das NIST bewährte Verfahren für die Authentifizierung und die Verwaltung des Lebenszyklus von Passwörtern vor. In dieser Veröffentlichung skizziert NIST mehrere Best Practices zur Erhöhung der Passwortsicherheit, darunter:

  1. Mindestlänge des Passworts von 8 Zeichen
  2. Verhinderung der Verwendung von sich wiederholenden oder inkrementellen Passwörtern
  3. Verbot der Verwendung kontextspezifischer Wörter als Passwörter
  4. Überprüfung von Passwörtern mit Listen kompromittierter Passwörter

Unser Team analysierte den 800 Millionen kompromittierte Passwörter umfassenden Datensatz auf Passwörter, die die Mindestlänge von 8 Zeichen erfüllten und keine sich wiederholenden oder inkrementellen Zeichen enthielten, und stellte fest, dass 78,27 % des bekannten kompromittierten Passwortdatensatzes diese beiden Empfehlungen erfüllten. Bei der Prüfung auf sich wiederholende/inkrementelle Zeichen wurde unter anderem nach Zeichenwiederholungen von mindestens 3 (aaa, bbb, ccc) und Sequenzen von 123, 234 usw. gesucht. In einer realen Umgebung würden kontextspezifische Prüfungen, wie die Vermeidung von Benutzernamen und geschäftsbezogenen Wörtern, diesen Wert noch weiter senken.

Einige Beispiele für die 78 % generell konformen Kennwörter:

  • Kennwort1
  • qwertyuiop
  • 1q2w3e4r5t
  • iloveyou
  • myspace1

Was ist zu tun?

Passwörter, die ansonsten den Empfehlungen der Aufsichtsbehörden entsprechen und auf den Listen kompromittierter Passwörter gefunden werden, sollten nicht ignoriert werden. “Unabhängig davon, ob Sie verpflichtet sind, einen regulatorischen Standard zu befolgen, der eine Prüfung kompromittierter Passwörter beinhaltet – diese Daten machen deutlich, dass Sie ohnehin eine solche Prüfung durchführen sollten”, so Darren James weiter.

Specops Breached Password Protection kann bei der Abwehr von Passwortangriffen helfen, indem es die Verwendung von über 2 Milliarden bekannter kompromittierter Passwörter im Active Directory blockiert.

Finden Sie heraus, wie viele Ihrer Active Directory-Benutzer kompromittierte Passwörter wie diese verwenden, indem Sie einen kostenlosen Read-Only-Scan mit Specops Password Auditor durchführen. Erfahren Sie hier mehr und laden Sie den Specops Password Auditor kostenlos herunter.

Mit der Specops Password Policy und Breached Password Protection können Unternehmen über 2 Milliarden kompromittierte Passwörter in Active Directory blockieren. Zu diesen kompromittierten Passwörtern gehören auch solche, die bereits in realen Angriffen verwendet werden oder die auf bekannten Listen mit gefährdeten Passwörtern stehen, was die Einhaltung von Branchenvorschriften wie NIST oder NCSC erleichtert. Die Datenerfassungssysteme unseres Forschungsteams zur Überwachung von Angriffen aktualisieren den Dienst täglich und stellen sicher, dass Netzwerke vor realen Passwortangriffen geschützt sind, die in diesem Moment stattfinden. Der Breached Password Protection Service blockiert diese gesperrten Passwörter in Active Directory mit anpassbaren Endbenutzermeldungen, die dazu beitragen, Anrufe beim Service Desk zu reduzieren.

Über Specops Software

Specops Software, ein Unternehmen der Outpost24-Gruppe, ist der führende Anbieter von Passwortmanagement- und Authentifizierungslösungen. Specops Software schützt Ihre Geschäftsdaten, indem es schwache Passwörter blockiert und die Benutzerauthentifizierung sichert. Mit einem vollständigen Lösungsportfolio, das nativ in Active Directory integriert ist, stellt Specops sicher, dass sensible Daten vor Ort und unter Ihrer Kontrolle gespeichert werden. Jeden Tag nutzen Tausende von Unternehmen Specops Software, um ihre Geschäftsdaten zu schützen.

Die Outpost24-Gruppe leistet Pionierarbeit im Bereich Cyber-Risk-Management mit kontinuierlichem Schwachstellenmanagement, Anwendungssicherheitstests, Threat Intelligence und Zugriffsmanagement – in einer einzigen Lösung. Über 2.500 Kunden in mehr als 40 Ländern vertrauen auf die integrierte Lösung von Outpost24, um Schwachstellen zu identifizieren, externe Bedrohungen zu überwachen und die Angriffsfläche schnell und zuverlässig zu reduzieren. Die Lösung wird über unsere Cloud-Plattform mit leistungsstarker Automatisierung bereitgestellt, und von unseren Cyber-Sicherheitsexperten betreut. Outpost24 ermöglicht es Unternehmen, ihre Geschäftsergebnisse zu verbessern, indem diese sich auf die wirklich wichtigen Cyber-Risiken konzentrieren können. Besuchen Sie outpost24.com für weitere Informationen.

Medienkontakt

Die Kontaktdaten für die Medien sind auf dieser Seite zu finden.

Zurück zum Blog