Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
[Neue Analyse] Wie sicher sind FTP-Ports? Diese Passwörter verwenden Hacker
Das Forschungsteam von Specops hat Passwörter analysiert, die in den letzten 30 Tagen in jüngsten Angriffen auf FTP-Ports in realen Netzwerken verwendet wurden. Unser Team hat die am häufigsten in Brute-Force-Angriffen verwendeten Passwörter sowie die Häufigkeiten der Passwortlänge und der Komplexität analysiert. Die von den Angreifern in der Praxis verfolgte Taktik zu kennen, kann dabei helfen, die Passwortrichtlinien Ihres Unternehmens festzulegen und es vor Bruce-Force-Angriffen zu schützen.
Gleichzeitig mit dieser Analyse haben wir auch über 133 Millionen kompromittierte Passwörter zu unserem Specops Breached Passwort Service hinzugefügt. Diese Passwörter stammen aus einer Kombination von Daten aus unserem Honeypot-Netzwerk und aus Bedrohungsanalysen.
Warum greifen Hacker mit Brute-Force-Angriffen den FTP-Port an?
Hacker greifen den FTP TPC-Port 21 oft mit Brute-Force Angriffen an, da FTP-Server eine Schwachstelle in der Netzwerksicherheit sein können, vor allem dann, wenn sie nicht richtig konfiguriert oder durch schwache Anmeldedaten geschützt sind. Viele ältere oder schlecht gepflegte Server verwenden weiter eine Basisauthentifizierung, bei der Benutzernamen und Passwörter in Klartext übertragen werden. Das führt dazu, dass sie leicht abgefangen oder automatisch Erraten werden können. Das macht sie zum Hauptziel für automatisierte Wörterbücher oder Brute-Force-Tools, die in wenigen Minuten tausende an gängigen Anmeldeinformationen ausprobieren können.
Brute-Force-Angriffe probieren wiederholt verschiedene Benutzernamen- und Passwortkombinationen, solange bis sie Zugriff zum Server erhalten. Bei schwachen Anmeldedaten, oder in Fällen, wenn der Benutzer die Standardanmeldedaten nicht geändert hat, kann diese Methode äußerst effizient sein. Sobald sie Zugriff auf den Server haben, können Angreifer sensible Dateien stehlen, schädliche Inhalte hochladen oder den kompromittierten Server als Ausgangsbasis für weitere Angriffe verwenden. Da es sich bei FTP um ein veraltetes Protokoll mit begrenzter integrierter Sicherheit handelt, ist der Server ein Hauptziel, sofern er nicht mit starken Passwörtern und Zugriffskontrollen geschützt sowie idealerweise durch SFTP oder FTPS ersetzt oder gesichert wird.
Passwortangriffe auf FTP- und RDP-Ports im Vergleich
Wir haben vor kurzem Passwortangriffe auf den RDP (Remote Desktop Protocol) Port 3389 untersucht. RDP bietet eine interaktive, verschlüsselte Sitzung für vollen Desktopzugriff. Auch wenn er Brute-Force-Angriffen zum Opfer fallen kann, so verlangsamen Handshake und Verschlüsselungsebenen automatisierte Anmeldeversuche. Effiziente Mechanismen zur Kontosperrung oder Multi-Faktor-Authentifizierung können das schnelle Erraten eines Passworts weiter verhindern.
Wenn Angreifer FTP angreifen, sind ihr Ziel üblicherweise Dateien (entweder das Stehlen von Daten oder Einschleusen von bösartiger Schadsoftware) und sie werden sich auf Password-Spraying oder die Ausnutzung anonymer Anmeldungen konzentrieren. Angreifer haben also verschiedene Methoden für RDP-Angriffe. Ihr Ziel ist es jedoch einen Fuß im Netzwerk zu haben: Sobald man sich „auf dem Desktop” befindet, kann man sich seitlich bewegen, Hintertüren installieren oder zusätzliche Anmeldedaten abfangen. Infolgedessen wird bei RDP-Angriffen oft der Missbrauch von Anmeldedaten mit der Nutzung bekannter Schwachstellen (wie BlueKeep) oder üblichen Malware-Droppern kombiniert, anstatt einfach nur Passwörter zu erraten.
Das bedeutet, dass Sicherheitslösungen RDP auf unübliche Anmeldemuster überwachen und bekannte CVEs schließen müssen, während FTP-Abwehrmaßnahmen eher auf starke Passwortrichtllinien, Portbeschränkungen und den Austausch von FTP durch sicherere Alternativen wie SFTP oder FTPS setzen.
Welche Passwörter werden in FTP-Port-Angriffen verwendet?
Im Rahmen unserer Analyse haben wir Passwörter analysiert, die unser Honeypot-System in den letzten 30 Tagen erfasst hat. Wir haben uns die am häufigsten in Angriffen verwendeten Passwörter angesehen und ihre Länge und Komplexität im Detail untersucht, um Empfehlungen zu Passwortrichtlinien geben zu können.
Top 10-Passwörter bei Angriffen auf den TCP-Port 21
Wie wir in der Tabelle unten sehen, steht „admin” an 1. Stelle der Liste. Hacker wissen, dass dies ein übliches Standardpasswort ist, das Hersteller oder Systemadministratoren häufig bei der ersten Einrichtung verwenden, was dazu führt, dass das Passwort einfach erhältlich und zu erraten ist. Diese weitverbreitete Nutzung trägt zusammen mit der Tendenz der Benutzer, Standardpasswörter nicht zu ändern, zu seiner häufigen Nutzung bei. Wie andere Specops-Forschungen gezeigt haben, werden unzählige Endbenutzer ein neues oder temporäres Passwort nicht ändern, wenn sie die Wahl haben.
Interessant ist auch, dass an zweiter Stelle der Liste „root” steht. Der Begriff „root“ ist aufgrund seiner Assoziation mit dem Standard-Administratorkonto und der Tatsache, dass man sich den Begriff einfach merken kann, ein häufig gewähltes Passwort in Linux und Unix-ähnlichen Systemen. Er ist ein Standard-Benutzernamen in diesen Systemen, insbesondere für SSH, und somit ein wahrscheinliches Ziel für Angreifer, die übliche Passwörter ausprobieren.
Andere Passwörter auf dieser Liste sind übliche schwache Passwörter wie „passwort” oder Tastaturläufe wie „123456” und „qwerty”. Die Tatsache, dass Angreifer weiter diese einfachen, einfach zu erratenden Passwörter ausprobieren, zeigt uns, dass unzählige Endbenutzer sie weiterhin wählen – und dass Unternehmen schwache Passwörter nicht blockieren.
| Passwort | Von Angreifern in den letzten 30 Tagen so häufig genutzt |
|---|---|
| admin | 907 |
| root | 896 |
| 123456 | 854 |
| password | 847 |
| admin123 | 842 |
| 123123 | 834 |
| 12345678 | 814 |
| qwerty | 812 |
| abc123 | 809 |
| 1234 | 808 |
Komplexität der Zeichen bei FTP-Port-Angriffen
Wir haben uns die Zusammensetzung der Passwörter näher angesehen, die bei Angriffen auf FTP-Ports genutzt werden, um zu verstehen, wie sicher FTP-Port Passwörter sind. In der untenstehenden Tabelle sehen Sie mögliche Kombinationen der vier verschiedenen Zeichenarten, die man als Endnutzer auf der Tastatur auswählen kann:
- Zahlen
- Kleinbuchstaben
- Großbuchstaben
- Sonderzeichen
Wie man in der Tabelle sehen kann, sind viele von den Hackern verwendete Passwörter sehr einfach – 54 % der Passwörter, die wir in Angriffen beobachten konnten, bestanden nur aus Ziffern oder nur aus Kleinbuchstaben. Nur 1,6 % enthielten alle Zeichentypen. Eine Passwortrichtlinie, die jeden Zeichentyp erzwingen würde, würde Ihr Unternehmen daher vor fast 99 % der Passwörter schützen, die Hacker verwenden.
| Zeichensatz | %-Satz der bei Angriffen auf FTP-Ports genutzten Passwörter | Beispiele |
|---|---|---|
| Nur Zahlen | 29% | 123456 |
| Kleinbuchstaben + Zahlen | 28.5% | root2015 |
| Nur Kleinbuchstaben | 24.9% | useruser |
| Kleinbuchstaben + Zahlen + Sonderzeichen | 8.5% | www-data1, p@55w0rd |
| Kleinbuchstaben + Sonderzeichen | 5.6% | user! |
| Großbuchstaben + Kleinbuchstaben + Zahlen + Sonderzeichen | 1.6% | P@ssw0rd!! |
| Großbuchstaben + Kleinbuchstaben + Zahlen | 0.9% | Admin2015 |
| Großbuchstaben + Kleinbuchstaben | 0.6% | AdminAdmin |
| Großbuchstaben + Kleinbuchstaben + Sonderzeichen | 0.2% | Admin! |
| Nur Sonderzeichen | 0.1% | !@#$%^ |
Häufigste Passwortlängen bei FTP-Port-Angriffen
Die jüngsten NIST-Richtlinien empfehlen, die Länge von Passörtern vor ihrer Komplexität zu priorisieren. Dies liegt zum Teil daran, dass Endbenutzer sich einfacher an lange Passphrases erinnern können als an ein kürzeres Passwort, das sehr komplex ist. Lange Passwörter (mehr als 15 Zeichen) mit einer gewissen Komplexität sind sehr widerstandsfähig gegen Brute-Force-Angriffe. Die Umsetzung dieser Art von Passwortrichtlinie würde bedeuten, dass auch Ihre Active Directory-Passwörter gut gegen Brute-Force-Angriffe gewappnet sind. Wie wir unten sehen, hatten 87,4 % der Passwörter, die Hacker gegen FTP-Ports verwendet haben, zwischen 6 und 10 Zeichen.
| Passwortlänge | %-Satz der bei FTP-Angriffen genutzten Passwörter |
|---|---|
| 6 | 25.53% |
| 8 | 16.46% |
| 9 | 12.96% |
| 7 | 12.06% |
| 4 | 9.82% |
| 5 | 6.61% |
| 10 | 3.95% |
| Alle anderen Längen | 12.61% |
Finden Sie schwache und kompromittierte Passwörter heute in Ihrem Netzwerk
Das diesmonatige Update für den Breached Password Protection Service beinhaltet die Aufnahme von knapp unter 5 Millionen kompromittierten Passwörtern, die der Liste des Specops Password Auditors hinzugefügt wurden. Sie können herausfinden, wie viele Ihrer Active Directory-Nutzer kompromittierte Passwörter verwenden, indem Sie einen Read-Only-Scan mit Specops Password Auditor durchführen. Daraufhin erhalten Sie einen kostenlosen anpassbaren Bericht über passwortbezogene Schwachstellen, einschließlich schwacher Passwortrichtlinien, geknackter Passwörter und veralteter/inaktiver Konten. Laden Sie Ihr kostenloses Auditing-Tool hier herunter.
Mit starken Passwortrichtlinien FTP-Server sichern
Eine der effizientesten Möglichkeiten, einen FTP-Server vor Brute-Force-Angriffen zu sichern, ist starke Passwortrichtlinien durchzusetzen. Da FTP-Server sich üblicherweise auf die Authentifizierung von Benutzernamen und Passwort (die oft unverschlüsselt übertragen werden) verlassen und schwache oder Standardanmeldedaten verwenden, werden sie zu einem einfachen Ziel für Angreifer.
Die Mehrzahl der bei diesen Angriffen auf FTP-Ports verwendeten Passwörter lassen sich als „schwach“ beschreiben. Sie sind entweder kurz, nicht komplex oder es handelt sich um temporäre Passwörter wie „admin” oder „root”. Ein bewährtes Drittanbieter-Tool kann Endnutzer daran hindern, schwache Active-Directory-Passwörter zu wählen (die dann häufig auch als FTP-Passwörter wiederverwendet werden). Die Durchsetzung starker Passwortrichtlinien, bei denen die Nutzer zur Erstellung von Passphrasen mit über 15 Zeichen (mit mindestens einer gewissen Komplexität) ermutigt werden, bietet einen sicheren Schutz gegen die allermeisten in unserer Analyse gefundenen Passwörter.
Checkliste Best Practices für FTP-Passwörter
- Die Aktivierung einer Push-Spam resistenten Multi-Faktor-Authentifizierung (MFA) bietet ein zusätzliches Maß an Sicherheit – selbst dann, wenn das Passwort kompromittiert wurde. Specops Secure Access kann zum Beispiel Verbindungen mit einem zweiten Faktor stärken, um den sicheren Zugang zu verbessern
- Schwache und kompromittierte Passwörter in Ihrem Active Directory von vornherein blockieren
- Administratoren sollten für alle Konten lange Passphrases fordern, die Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen kombinieren – denn Endbenutzer können sich einfacher an Passphrases erinnern
- Deaktivierung von Standard- und anonymen Anmeldungen
- Begrenzung der Anmeldeversuche, um Brute-Force-Tools zu blockieren
- Durchsetzen regelmäßiger Passwortaktualisierungen
- Entfernung oder Deaktivierung ungenutzter FTP-Konten
Sichern Sie Ihr Unternehmen vor FTP-Passwortangriffen
Der Specops Password Auditor bietet eine gute Ausgangsbasis für die Bewertung Ihrer aktuellen Passwortrisiken, ist aber letztlich nur eine Momentaufnahme. Mit der Specops Password Policy und Breached Password Protection können sich Organisationen fortlaufend vor über 3 Milliarden weiteren bekannten eindeutigen kompromittierten Passwörtern schützen (insgesamt 4 Milliarden). Hierunter fallen auch kompromittierte Passwörter, die als „stark“ gelten und von Malware gestohlen wurden.
Die Angriffserkennungssysteme unseres Forschungsteams halten den Service täglich auf dem neuesten Stand und stellen sicher, dass Netzwerke vor tagesaktuell stattfindenden Passwortangriffen geschützt sind. Der Schutz umfasst zudem Passwörter, die auf Listen von kompromittierten Passwortlisten im Dark Web und anderswo gefunden wurden. Breached Password Protection scannt fortlaufend Ihr Active Directory nach kompromittierten Passwörtern und ermöglicht es Ihnen, Ihren Endnutzern anpassbare Benachrichtigungen zu schicken, wodurch Helpdesk-Anrufe reduziert werden.
Sind Sie neugierig darauf zu erfahren, wie sich dies konkret für Ihre Organisation umsetzen lässt? Möchten Sie wissen, wie Sie unser Angebot auf Ihre spezifischen Bedürfnisse anpassen können? Kontaktieren Sie uns oder überzeugen Sie sich selbst mit einer Demo oder kostenlosen Testversion.
(Zuletzt aktualisiert am 13/05/2025)
Related Articles
-
[Neue Analyse] Die häufigsten Passwörter bei Angriffen auf RDP-Ports
Erhalten Sie eine einzigartige Analyse von über einer Milliarde durch Malware gestohlener Zugangsdaten und erfahren Sie, wie Sie das Passwortrisiko mindern können.
Read More -
Angriffsvektor IT-Helpdesk: Wenn der Support zur Waffe oder zum Opfer wird
Cyberkriminelle nutzen immer raffiniertere Mittel, um Zugang zu Ihren Firmennetzwerken zu erlangen. Entwicklungen auf dem Feld der KI stellen dabei eine Bedrohung für Schutzmaßnahmen am IT-Helpdesk dar.
Read More -
An die Passwort-Sicherheit gedacht – Disaster Recovery und Business Continuity Management
Hat Ihr Disaster Recovery Plan auch an das Zurücksetzen der Login-Daten gedacht und wie man das für die gesamte Belegschaft sicher umsetzt?
Read More