Romantische Passwörter, die Cyberkriminelle lieben

Jedes Jahr liefert der „Specops Breached Password Report“ spannende Einblicke darin, wie Passwörter erstellt werden und wie Angreifer diese Muster ausnutzen. Nutzer greifen beim Erstellen von Passwörtern immer noch auf bekannte Wörter, Namen, Orte oder kulturelle Referenzen zurück. Ein überraschender Trend zeigt, dass sich diese Vertrautheit auch auf Valentinstag und romantische Passwörter erstreckt.

Letztes Jahr haben wir uns Liebes-Passwörter genauer angesehen, um zu verstehen, wie Menschen romantische Sprache in ihren Zugangsdaten verwenden. Eine aktuelle Analyse der aktualisierten Datenbank kompromittierter Passwörter von Specops zeigt, dass Passwörter mit Liebesthemen weiterhin weit verbreitet sind. Das Wort „love“ taucht 4.713.018 Mal auf, während „ilya“ 233.702 Mal vorkommt. Emotional getriebene Passwortentscheidungen sind also in kompromittierten Datensätzen noch immer häufig.

Unsere Daten zeigen, dass Popkultur-Romantik die Passwortwahl beeinflusst. Begriffe aus klassischer Literatur wie Sturmhöhe oder Titel von Liebesserien wie Heated Rivalry tauchen häufig auf. Viele Nutzer wählen ihre Passwörter offenbar nach geliebten Charakteren, Themen oder Fandom-Referenzen.

Top 5 Popkultur-Romantik-Passwörter aus kompromittierten Datensätzen

1. ilya – 233,702
2. shane – 105,429 
3. hockey – 67,658 
4. boston – 34,886 
5. catherine – 25,143 

Namen wie Hollander, Rozanov und Heathcliff, die als romantische Figuren bekannt sind, kommen ebenfalls häufig vor. Das zeigt, dass charakterbasierte Passwörter oft weniger einzigartig sind, als viele denken. Auch häufig genutzte Begriffe wie „beauty“, „beautiful“ oder „roses“ verdeutlichen, dass Nutzer auf vorhersehbare Liebesthemen zurückgreifen.

Top romantische und Valentinstag-nahe Begriffe

1. beauty – 62190
2. beautiful – 52649
3. roses – 47232
4. flowers – 28899
5. romance – 19765
6. valentine – 14666

Warum vorhersehbare Passwörter ein Problem sind

Vorhersehbare Passwörter sind leicht zu knacken, zum Beispiel durch Offline-Angriffe. Wer romantische Passwörter mit Liebesbegriffen, Namen, Popkultur oder saisonalen Events erstellt, reduziert die Anzahl der Versuche, die ein Angreifer braucht.

Kriminelle nutzen vorbereitete Wortlisten, die gängige Passwortgewohnheiten abbilden. Diese Listen werden aus kompromittierten Datensätzen, geleakten Passwortdaten und Open-Source-Informationen aus Social Media aktualisiert. Ein Passwort, das einmal in einem Datenleck auftaucht, gilt als dauerhaft kompromittiert. Angreifer speichern und verwenden diese Passwörter oft immer wieder.

Credential stuffing: Beim Credential Stuffing werden geleakte Benutzername-Passwort-Paare genutzt, um sich auf anderen Websites einzuloggen. Wenn ein Passwort mehrfach verwendet wurde, kann ein einziges Leck den Zugriff auf mehrere Konten ermöglichen.

Diese Methode ist effektiv, weil Angreifer die Passwörter nicht knacken müssen. Sie verwenden einfach funktionierende Zugangsdaten. Ein erfolgreicher Login kann Zugriff auf Mailboxen, interne Phishing-Angriffe, Eskalation von Berechtigungen, laterale Bewegungen oder Ransomware ermöglichen.

Deshalb ist es entscheidend, eine Datenbank kompromittierter Passwörter zu nutzen, die die Zeit begrenzt, in der Angreifer diese Zugangsdaten missbrauchen können. Starke Multi-Faktor-Authentifizierung hilft ebenfalls, das Risiko zu reduzieren, beseitigt es aber nicht. Methoden wie MFA-Bombing können Schutzmechanismen umgehen.

Password spraying: Beim Password Spraying werden wenige gängige Passwörter auf viele Konten getestet. So werden Sperrmechanismen umgangen und Angriffe schwerer entdeckt. Saisonale Events und kulturelle Trends erhöhen die Effektivität. Angreifer wissen, dass Nutzer Begriffe wie „love“, „valentine“ oder „roses“ einbauen, und passen ihre Wortlisten regelmäßig an, um sie auf ganze Verzeichnisse zu testen.

Password Spraying funktioniert, weil viele romantisch inspirierte Passwörter die Komplexitätsanforderungen erfüllen. Ein Passwort kann komplex aussehen, folgt aber vorhersehbaren Mustern. „Valentine12@“ erfüllt die Active Directory-Komplexität, lässt sich aber leicht knacken.

So reduzieren Sie das Risiko kompromittierter Passwörter

Sicherheitsteams können nicht nur auf Awareness-Trainings setzen. Nutzer werden weiterhin vertraute Wörter, Namen und kulturelle Referenzen verwenden, weil sie leicht zu merken sind. Effektiver ist, technische Kontrollen durchzusetzen, die in Active Directory verhindern, dass kompromittierte oder vorhersehbare Passwörter verwendet werden.

Kontinuierliche Prüfung kompromittierter Passwörter: Ein Passwort, das heute sicher erscheint, kann morgen bereits kompromittiert sein. Angreifer aktualisieren ihre Listen ständig, daher sollten Organisationen die Prüfung kompromittierter Passwörter als kontinuierliche Sicherheitsmaßnahme behandeln. Die Breached Password Protection von Specops Password Policy scannt Active Directory fortlaufend gegen über 5,5 Milliarden kompromittierte Passwörter. So wird sichergestellt, dass Nutzer keine Zugangsdaten verwenden, die Angreifer bereits kennen.

Stärkere Passwortanforderungen durchsetzen, über die nativen Active-Directory-Kontrollen hinaus: Native Active-Directory-Passwortrichtlinien setzen nur grundlegende Komplexität durch. Specops Password Policy ermöglicht es Organisationen, granularere Richtlinien umzusetzen. Dazu gehören eigene Wörterbücher, gesperrte Passwörter und strengere Regeln, die über die nativen Active-Directory-Kontrollen hinausgehen. So können Sicherheitsteams die Erstellung vorhersehbarer Passwörter deutlich reduzieren.

Identitätssicherheit stärken ohne Nutzerfrustration: Wenn Passwortanforderungen zu streng sind, suchen Nutzer oft nach Workarounds. Dazu gehört das mehrfache Verwenden von Passwörtern oder das unsichere Speichern von Zugangsdaten. Sicherheitskontrollen sollten daher automatisiert umgesetzt werden, um die Nutzer zu entlasten und das Helpdesk nicht unnötig zu beanspruchen. Specops Password Policy zentralisiert die Verwaltung von Passwortrichtlinien und automatisiert deren Durchsetzung. So können Organisationen die Passworthygiene nachhaltig verbessern, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Mit Specops uReset können Anwender ihre Passwörter selbst zurücksetzen und Konten eigenständig entsperren. Das reduziert die Abhängigkeit vom Helpdesk, erhöht die Sicherheit der Zugangsdaten und sorgt gleichzeitig dafür, dass die Produktivität hoch bleibt.

Multi-Faktor-Authentifizierung ergänzen: In Zero-Trust-Umgebungen sollten Passwortkontrollen stets mit adaptiver Multi-Faktor-Authentifizierung (MFA) und einer Geräteüberprüfung kombiniert werden. Specops Secure Access stärkt die Authentifizierung direkt beim Login und stellt sicher, dass nur autorisierte Geräte Zugriff erhalten. Die Zero-Trust-Lösung Specops Device Trust überprüft kontinuierlich sowohl den Nutzer als auch das Gerät bei jedem Zugriffspunkt. Sie kontrolliert die Gerätehaltung während der gesamten Sitzung und erzwingt den Zugriff basierend auf der Bindung zwischen Nutzer und Gerät. So werden Account-Übernahmen effektiv verhindert, selbst wenn Angreifer gültige Zugangsdaten besitzen.

Erfahren Sie, wie Specops Organisationen dabei unterstützt, das Risiko gestohlener oder vorhersehbarer Passwörter zu minimieren, die Authentifizierung zu stärken und Zero Trust Access durch kontinuierliche Geräteüberprüfung sicher umzusetzen. Kontaktieren Sie noch heute einen unserer Experten, um mehr zu erfahren.