[Neue Analyse] Schützen längere Passwörter besser vor Cyberangriffen?

Die Breached Password Protection Datenbank von Specops umfasst mittlerweile mehr als 4 Milliarden kompromittierte Passwörter.

Unsere Specops-Sicherheitsexperten haben neue Erkenntnisse über die Länge von Passwörtern und wie diese durch Angreifer überlistet werden können. Diese Erkenntnisse passen zu der jüngsten Erweiterung des Specops Breached Password Protection Service um 10,2 Millionen Passwörter, womit die Zahl der kompromittierten Passwörter auf über 4 Milliarden gestiegen ist.

Nach Angaben von Verizon werden 86 % der Erstzugriffe von Angreifern durch gestohlene Anmeldedaten erlangt. Eine Möglichkeit, die Passwörter in einem Unternehmen zu stärken, besteht darin, sie länger zu machen, was bedeutet, dass sie schwerer zu erraten und durch Brute-Force- und hybride Wörterbuchattacken zu entschlüsseln sind. Längere Passwörter schützen jedoch nicht vor anderen Gefahren, wie Phishing und der Wiederverwendung von Passwörtern.

“Längere Passwörter sind besser”, sagt Darren James, Senior Product Manager bei Specops Software. “Und ich glaube nicht, dass das für die meisten IT-Teams eine Neuigkeit ist. Es ist jedoch wichtig zu verstehen, dass die Ausstattung der Benutzer mit starken, langen Passwörtern kein idiotensicherer Weg ist, um kompromittierte Anmeldedaten zu vermeiden. Angreifer können immer noch Workarounds finden – und ein riskantes Benutzerverhalten kann eine gute Kennwortrichtlinie zunichte machen.”

Methodik

Wir wollten wissen, wie lang die am häufigsten kompromittierten Passwörter sind und wie viele Passwörter, die länger sind, kompromittiert wurden. Um das herauszufinden, analysierten unsere Specops-Sicherheitsexperten die Längen von über 800 Millionen kompromittierten Passwörtern (eine Teilmenge unserer größeren Breached-Password-Protection-Liste mit über 4 Milliarden einzigartigen kompromittierten Passwörtern). Für die Zwecke dieser Untersuchung betrachteten wir ein Passwort mit mehr als 12 Zeichen als lang.

Länge der kompromittierten Kennwörter: Die Ergebnisse

In absteigender Reihenfolge sind dies die acht häufigsten Längen kompromittierter Kennwörter. Wie erwartet stehen 8 Zeichen (212,5 Millionen der kompromittierten Kennwörter bestanden aus genau 8 Zeichen) an der Spitze – wahrscheinlich, weil dies die Standardkennwortlänge in Active Directory ist. Sie können auch sehen, dass mit zunehmender Zeichenlänge die Gesamtzahl der kompromittierten Kennwörter abnimmt. Das bedeutet jedoch nicht, dass es sich um niedrige Stückzahlen handelt.

1. 8
2. 10
3. 9
4. 11
5. 12
6. 13
7. 14
8. 15

Die nachstehende Tabelle zeigt, wie viele kompromittierte Kennwörter mit mehr als der angegebenen Länge gefunden wurden. Wenn wir 12 und mehr als “längeres Passwort” zählen, wurden 121,5 Millionen kompromittierte Passwörter gefunden, die lang sind. Wie Sie sehen können, nimmt die Zahl der kompromittierten Kennwörter mit zunehmender Zeichenlänge ab, aber es gibt immer noch 31,1 Millionen kompromittierte Kennwörter mit mehr als 16 Zeichen Länge.

Dies zeigt, dass längere Kennwörter pauschal betrachtet keinen zuverlässigen Schutz vor Angriffen bieten. Auch wenn die Gesamtzahl im Vergleich zu 8-Zeichen-Kennwörtern geringer ist, stellen diese Zahlen immer noch mehrere Millionen Gelegenheiten für Angreifer dar, in Unternehmen einzudringen, die längere Kennwörter verwenden.

Extrem gefährdete Kennwörter

Nachfolgend finden Sie die drei am häufigsten kompromittierten Kennwörter für jede der von uns analysierten Zeichenlängen von 8 bis 15. Es gibt einige interessante Details zu entdecken, insbesondere an den beiden Enden der Tabelle. Es ist keine Überraschung, dass “Passwort” das am häufigsten kompromittierte 8-Zeichen-Passwort ist.

Der Ausdruck “new hire” (neuer Mitarbeiter) taucht in den am zweit- und dritthäufigsten kompromittierten 15-Zeichen-Passwörtern auf, was darauf hindeutet, dass IT-Administratoren vorhersehbare, wiederholbare Passwortmuster vermeiden sollten, wenn sie neue Benutzer anlegen. Dies könnte auch darauf hindeuten, dass diese neuen Benutzer nicht gezwungen waren, ihr Passwort zu ändern, und schon seit einiger Zeit die von der IT-Abteilung vorgegebenen Standardpasswörter verwendet haben.

Sollten wir trotzdem längere Passwörter vergeben?

Kurz gesagt: Ja. Unsere Daten zeigen, dass im Durchschnitt 85 % der kompromittierten Kennwörter weniger als 12 Zeichen lang sind. Wie die folgende Tabelle zeigt, ist es auch viel schwieriger, ein längeres Kennwort zu knacken, wenn dessen Hash in die falschen Hände gerät. Wie aus der zweiten Tabelle hervorgeht, sollten Unternehmen sich durch die Verlängerung von Passwörtern allein jedoch nicht in falscher Sicherheit wiegen, da dies nur ein Teil des Strebens nach mehr Sicherheit bei Passwörtern ist.

Es ist wichtig, daran zu denken, dass lange Kennwörter immer noch durch Phishing und andere Formen des Social Engineering kompromittiert werden können. Das größere Risiko ist jedoch, dass Angreifer eine Datenbank mit Passwörtern von einer weniger sicheren Website oder SaaS-Anwendung in die Hände bekommen. Nehmen wir an, ein Hacker verschafft sich Zugang zu einem Online-Shop und gelangt in den Besitz einer ganzen Datenbank mit Kennwörtern. Selbst wenn die Passwörter gehashed sind, hat der Angreifer alle Zeit der Welt, sie zu knacken und herauszufinden, wer diese Personen sind und wo sie arbeiten. Wenn eines dieser Passwörter am Arbeitsplatz wiederverwendet wurde, ist dies ein einfacher Weg in das Unternehmen des Mitarbeiters.

Aus diesem Grund kann die Wiederverwendung von Kennwörtern eine große Schwachstelle in einer ansonsten soliden Kennwortrichtlinie sein. Ein Unternehmen kann Endbenutzer dazu zwingen, längere, sichere Passwörter am Arbeitsplatz zu verwenden, aber nichts hält die Leute davon ab, diese Passwörter in persönlichen Anwendungen und Geräten mit unzureichender Absicherung oder in unsicheren Netzwerken wiederzuverwenden.

Dank der explosionsartigen Zunahme von SaaS muss sich der durchschnittliche Mitarbeiter Passwörter für mehr als 25 Websites oder Anwendungen merken. Die Daten von LastPass zeigen, dass mehr als 60 % der Angestellten dieselben Passwörter oder leichte Variationen verwenden – Bitwarden schätzt, dass dieser Anteil mit 84 % noch höher ist. Unternehmen, die sich für die “Never Expire“-Methode entschieden haben, sind sogar noch stärker gefährdet, dass Passwörter ohne ihr Wissen kompromittiert werden.

Das bedeutet, dass Unternehmen zusätzlich zu einer starken Passwortrichtlinie eine weitere Sicherheitsebene benötigen – sie müssen überprüfen können, ob eines ihrer bestehenden Passwörter kompromittiert wurde. Die meisten Lösungen, einschließlich Azure AD (Entra ID), tun dies jedoch nur bei einer Passwortänderung oder einem Reset-Event, was bedeuten kann, dass man lange warten muss, bis eine Kompromittierung entdeckt wird.

Wie lässt sich das Risiko durch die Wiederverwendung von Passwörtern und kompromittierten Anmeldedaten mindern?

Starten Sie mit einem kurzen read-only-Check Ihres Active Directory mit unserem kostenlosen Specops Password Auditor und vergleichen Sie es mit einer kompakten Liste von über 950 Millionen kompromittierten Passwörtern – einschließlich der in diesem Artikel besprochenen und der heute hinzugekommenen 4,4 Millionen.

Ein Audit ist ein erster wichtiger Schritt, um Ihre passwortrelevanten Schwachstellen zu ermitteln, aber nachhaltiger Schutz entsteht erst durch automatische und fortlaufende Prüfung und Beseitigung. Specops Password Policy und Breached Password Protection überprüft Ihr Active Directory mithilfe einer Liste von mehr als 4 Milliarden kompromittierten Passwörtern – darunter auch solche, die derzeit bei Angriffen auf Honeypot-Konten verwendet werden. Die Datenerfassungssysteme unseres Expertenteams zur Beobachtung von Angriffen aktualisieren die API täglich und stellen so sicher, dass Sie stets vor neu entdeckten kompromittierten Passwörtern geschützt sind. Um nicht nur auf Passwort-Änderungs- und -Reset-Events warten zu müssen, prüft Specops Password Policy täglich Ihre Active Directory Passwörter.

Überzeugen Sie sich selbst mit einer Demo oder einer kostenlosen Testversion.