Sicher bei jedem Login – rund um die Uhr.

Table of Contents

Kostenloses Active-Directory-Audit-Tool

Jetzt ausprobieren

Kontinuierliche Scans nach kompromittierten Passwörter mit Specops Password Policy

Table of Contents

Schützen Sie sich kontinuierlich vor der ständigen Bedrohung durch die Wiederverwendung von Passwörtern mit dieser täglichen Überprüfung anhand unserer täglich aktualisierten Datenbank für kompromittierte Passwörter

Heute stellen wir eine neue Funktion für Specops Password Policy vor: kontinuierliche Scans für den Specops Breached Password Protection Service. Diese Funktion findet täglich kompromittierte Passwörter, anstatt nur bei Passwortänderung oder -zurücksetzung.

Die Breached Password Protection-Datenbank wird mit Passwörtern aktualisiert, die von unserem Honeypot-Netzwerksystem gesammelt wurden, sowie mit neu entdeckten Passwortlecks. Zusammen mit den täglichen Aktualisierungen der Breached Password Protection-Datenbank bietet Specops Password Policy nun eine der umfassendsten Lösungen zur Überwachung kompromittierter Passwörter auf dem Markt.

(Springen Sie zur Funktionsweise)

Die ständige Passwortbedrohung geht über Angreifer hinaus

Passwörter sind nach wie vor eines der anfälligsten Elemente im Netzwerk einer Organisation. Microsoft stellte im Jahr 2022 fest, dass jede Sekunde 1.287 Passwortangriffe stattfinden (mehr als 111 Millionen pro Tag). Die Wiederverwendung eines bekannten kompromittierten Passworts bei einem Angriff (ein „Password Breach Replay“-Angriff, wie Microsoft es nennt) stieg im Jahr 2022 auf 5,8 Milliarden pro Monat.

Quelle: Microsoft, 2023

Die ständige Bedrohung durch Passwortangriffe stellt ein großes Risiko für Unternehmen dar. Das Element, das dieses Risiko antreibt, sind jedoch die Benutzer eines Unternehmens selbst. Die ständige Wiederverwendung von Passwörtern durch Benutzer in ihrem beruflichen und privaten Leben ist der Grund, warum Angreifer weiterhin mit bekannten kompromittierten Passwörtern erfolgreich sind, um sich einen ersten Zugang zu einem Netzwerk zu verschaffen.

Wir wissen das, weil es immer wieder in der Angriffsanalyse und den Verhaltensdaten auftaucht:

  • 86 % des ersten Zugriffs auf Angriffe wurde durch gestohlene Anmeldeinformationen erlangt (Verizon, 2023)
  • Bei 44 Millionen Microsoft-Benutzern wurde in einer Analyse über einen Zeitraum von 3 Monaten festgestellt, dass sie Passwörter wiederverwenden (Microsoft, 2019)
  • Mehr als 60 % der Wissensarbeiter verwenden dasselbe Passwort oder eine Variation davon wieder (LastPass, 2022)

Dieses Verhalten der Endbenutzer ist jedoch nicht zu verurteilen – die Explosion von Webdiensten und Software as a Service hat das individuelle Passwortverwaltungsproblem außer Kontrolle geraten lassen.

Quelle: BetterCloud, 2023

Die Anzahl der Arbeitsidentitäten, die eine Person verwaltet, ist nur ein Teil der Belastung, die zur Wiederverwendung von Passwörtern führt. Auch die persönliche Identitätsverwaltung hat zugenommen. Im Jahr 2023 stellte Bitwarden fest, dass 68 % der Internetnutzer angeben, Passwörter für 10 oder mehr Websites zu verwalten, wobei 84 % die Wiederverwendung von Passwörtern zugaben. Für 34 % ist diese Belastung größer als 25 Websites oder Apps. (Quelle)

Bei so vielen Identitäten und Anmeldungen, die verwaltet werden müssen, werden Endbenutzer immer in schlechtes Passwortverhalten wie die Wiederverwendung von Passwörtern verfallen.

Was dies für Ihr Netzwerk bedeutet

Die erhöhte Identitätsbelastung der Endbenutzer in ihrem beruflichen und privaten Leben bedeutet ein erhöhtes Risiko für Ihr Netzwerk.

Während viele Branchenumfragen (wie die oben erwähnte Bitwarden-Umfrage) die durchschnittliche Anzahl der Passwörter, die eine Person verwalten muss, mit 20-30 angeben, stellte LastPass fest, dass diese Zahl viel höher ist, wenn man sich nicht auf Selbsteinschätzungen verlässt.

Im Jahr 2021 stellte LastPass fest, dass die durchschnittliche Anzahl der Passwörter, die ein Mitarbeiter im Auge behalten muss, 191 beträgt. Das ist eine 7-fache Steigerung gegenüber den Selbsteinschätzungen, die LastPass darauf zurückführt, dass die Leute nicht erkennen, wie viele Konten sie verwalten müssen.

Wenn wir uns nur die Arbeitsidentitätsbelastung ansehen, können wir schnell erkennen, was dies für das Passwortwiederverwendungsrisiko einer Organisation bedeutet.

Ein selbstberichteter Durchschnitt von 10 Anmeldungen pro Mitarbeiter bedeutet potenziell 5.000 Passwortkompromittierungsmöglichkeiten für eine Organisation mit 500 Benutzern. Für eine Organisation mit 1.000 Benutzern sind das 500.000 potenzielle Angriffspunkte.

LastPass, 2021

LastPass stellte in der Realität fest, dass die geschätzte Gesamtzahl der Passwörter in einem durchschnittlichen Unternehmen mit 250 Mitarbeitern mehr als 47.000 Passwörter beträgt.

Dieses erhöhte Risiko durch das Benutzerverhalten in Verbindung mit den vermehrten Angriffen auf Passwörter durch böswillige Akteure bedeutet, dass Organisationen einen erhöhten Schutz benötigen.

Für Organisationen, die „niemals ablaufen“ verwenden, ist das Passwortwiederverwendungsrisiko noch höher.

For organizations who have embraced a “never expire” approach for Active Directory passwords, this risk is even more increased. Most compromised password checks on the market, including Azure AD (Entra ID) Password Protection, rely on the password change or reset event. Without that event, the risk posed by user password reuse is unchecked.  

Continuous Scan Password Policy icon
Continuously block 5 billion+ compromised passwords in your Active Directory
See how

Wie lösen Organisationen das Problem der Passwortwiederverwendung?

Das Risiko der Passwortwiederverwendung für Ihr Unternehmen ist klar. Aber wie lösen Organisationen das Problem? Es gibt einige Optionen, aber die meisten, die heute eingesetzt werden, haben Lücken.

Schulen Sie Benutzer in besserem Passwortverhalten

Cybersecurity-Schulungen zur Korrektur des Benutzerverhaltens sind eine Option, die Organisationen einsetzen, um zu versuchen, schlechtes Passwortverhalten zu beheben. Wenn die Benutzer das Problem sind, beheben Sie die Benutzer, richtig?

Leider löst dies selten das Problem, wie LastPass in seiner Forschung von 2022 herausfand: 

Da 65 % der Befragten angaben, eine Art von Cybersecurity-Ausbildung erhalten zu haben, empfand die Mehrheit (79 %) ihre Ausbildung als effektiv, ob formell oder informell. Aber von denen, die eine Cybersecurity-Ausbildung erhalten hatten, hörten nur 31 % auf, Passwörter wiederzuverwenden. (LastPass, 2022)

Beseitigen Sie Passwörter

The risk of password use is clear which makes the idea of removing them entirely enticing. However, removing passwords completely is not a realistic option for most organizations 

Bitwarden fand heraus, dass der Hauptgrund, warum Organisationen nicht auf passwortlose Authentifizierung umgestiegen sind, darin besteht, dass die verwendeten Anwendungen nicht für die passwortlose Authentifizierung ausgelegt sind (fast die Hälfte der befragten IT-Entscheider gab diesen Grund an)

Fügen Sie einfach MFA hinzu

Während das vollständige Entfernen von Passwörtern für die meisten Organisationen heute nicht möglich ist, ist das Hinzufügen von MFA zu mehr Anwendungsfällen möglich. Zweite Faktoren sind jedoch nicht unverwundbar.

One such method for compromising a second factor, MFA prompt bombing (also known as MFA fatigue attack), made headlines when Uber fell victim to this attack in 2022. 

Microsoft stellte fest, dass MFA Fatigue Attacks im Durchschnitt über 31.000 Mal pro Monat in einer kürzlich durchgeführten 15-monatigen Studie auftraten. Sie stellten auch fest, dass die Angriffe im Jahresvergleich für diese Angriffsmethode zunahmen, wobei im August 2022 ein Anstieg von 26 % gegenüber August 2021 zu verzeichnen war.

Die meisten MFA Fatigue Attacks erfordern, dass der böswillige Akteur zuerst Zugriff auf den ersten Authentifizierungsfaktor, das Passwort, hat. Die Verteidigung des Passworts vor Kompromittierung eliminiert die Möglichkeit von MFA Prompt Bombing.

Kein einzelner Authentifizierungsfaktor ist immun gegen Angriffe. Das Hinzufügen von MFA beseitigt nicht die Notwendigkeit, das Passwort zu schützen, und der Schutz des Passworts beseitigt nicht die Notwendigkeit, MFA hinzuzufügen. Der Schutz sowohl des Passworts als auch aller sekundären Faktoren in einem mehrschichtigen Ansatz ist der pragmatischere und sicherere Ansatz.

Überprüfen Sie nur bei Änderung oder Zurücksetzung auf Kompromittierung

Die meisten Lösungen auf dem Markt, einschließlich Azure AD (Entra ID) Password Protection, überprüfen die Verwendung kompromittierter Passwörter nur bei einer Änderung oder einem Zurücksetzungsereignis.

With IT departments wanting to increase password age limits and decrease the frequency of forced password resets (or getting rid of expiry altogether), this infrequent check for the use of compromised passwords leaves an increasing gap. 

IBM berichtet, dass es Unternehmen im Jahr 2023 durchschnittlich 204 Tage dauert, um eine Sicherheitsverletzung zu entdecken (Quelle), und 73 Tage, um sie einzudämmen.

Angesichts dieser Erkennungslücke reicht es nicht aus, Passwörter nur alle paar Monate bei Änderung oder Zurücksetzung zu überprüfen.

Was stattdessen zu tun ist

Die Antwort auf die Frage, was gegen die ständige Bedrohung durch die Wiederverwendung von Passwörtern zu tun ist, ist die kontinuierliche Überprüfung von Active Directory-Passwörtern anhand einer häufig aktualisierten Datenbank für kompromittierte Passwörter.

Wie die kontinuierliche Überprüfung mit Specops Breached Password Protection funktioniert

Die kontinuierliche Scanfunktion überprüft einmal täglich alle Active Directory-Passwörter anhand der Breached Password Protection API auf Kompromittierung. Die API wird täglich mit neu entdeckten kompromittierten Passwörtern aus unserem Passwort-Honeypot-System sowie mit neu entdeckten Passwortlecks aktualisiert, wenn diese auftreten.

Wie der kontinuierliche Scan für den Breached Password Protection Flow funktioniert
Konfigurieren kontinuierlicher Scans in Specops Password Policy. Erfordert eine neue Lizenz für bestehende Kunden.

Administratoren können die Ergebnisse des letzten kontinuierlichen Scans in den Domänenverwaltungstools überprüfen.

Die Ergebnisse des letzten kontinuierlichen Scans auf Breached Password Protection finden Sie auf der neuen Berichtsseite für periodische Scans in den Domänenverwaltungstools. Verfügbar in Specops Password Policy 7.11 und höher.

Tägliche Scans in Verbindung mit intelligenteren und umfassenderen Daten zu kompromittierten Passwörtern

Specops Password Policy mit Breached Password Protection kann Ihrem Unternehmen jetzt noch mehr Schutz vor der ständigen Bedrohung durch Angriffe bieten.

Der Breached Password Protection Service:

  • Protects against the use of more than 5 billion unique known compromised passwords 
  • Includes password data from both known leaks, our own honeypot system that collects passwords being used in real password spray attacks, and stolen credentials obtained by malware (powered by the threat intelligence unit at Specops Software’s parent company, Outpost24). 
  • Täglich mit neu entdeckten Passwörtern aktualisiert
Kontinuierliche Überwachung des Schutzes vor kompromittierten Passwörtern

Die tägliche Aktualisierung der Breached Password Protection API in Verbindung mit kontinuierlichen Scans auf die Verwendung dieser Passwörter in Ihrem Netzwerk ergibt eine wesentlich umfassendere Verteidigung gegen die Bedrohung durch Passwortangriffe und das Risiko der Passwortwiederverwendung.

Probieren Sie es noch heute aus

Interested in seeing how this might work for your organization? Have questions on how you could adapt this for your needs? Contact us. 

Zuletzt aktualisiert am 23/03/2026

Back to Blog

Kostenloses Active-Directory-Audit-Tool

Authentication and password security is more important than ever. Our password audit tool scans your Active Directory and identifies password-related vulnerabilities. The collected information generates multiple interactive reports containing user and password policy information.

Jetzt ausprobieren