[Neue Analyse] 1,7 Milliarden kompromittierte Passwörter: „Starke“ Passwörter bei Infostealer-Angriffen geleakt
Table of Contents
Glauben Sie, Ihr „starkes“ Passwort sei sicher, nur weil es lang ist und Sonderzeichen enthält? Neue Forschungsergebnisse von Specops zeigen, dass selbst Passwörter, die gängige Unternehmensrichtlinien erfüllen, immer wieder in die Hände von Angreifern gelangen.
Zwischen Februar und März 2026 analysierten Specops-Forscher mehr als 1,7 Milliarden Zugangsdaten aus aktuellen Infostealer-Leaks. Zusätzlich untersuchten sie einen über 100 GB großen Datensatz mit Infostealer-Logs, darunter 100 Millionen Einträge aus der Sammlung des Akteurs Alien_Txtbase.
Wir konzentrierten uns auf Passwörter, die die üblichen Anforderungen an starke Passwörter erfüllen, um zu zeigen, dass die bloße Einhaltung von Richtlinien keinen Schutz vor Infostealern bietet. Der Datensatz besteht überwiegend aus ULP-Einträgen (URL:Login:Passwort). Diese stehen für Zugangsdaten, die aus gespeicherten Passwörtern in Browsern, aus Desktopanwendungen sowie aus lokalen Dateien auf kompromittierten Systemen gestohlen wurden.
Passwörter, die Unternehmensrichtlinien entsprechen, werden weiterhin direkt von kompromittierten Geräten entwendet. Dabei spielt es keine Rolle, ob sie von Passwortmanagern generiert oder von Nutzern selbst erstellt wurden. Solche Zugangsdaten tauchen regelmäßig in Infostealer-Dumps auf und werden anschließend auf Dark-Web-Marktplätzen und in Telegram-Shops im wachsenden Markt für Initial Access gehandelt.
Über 430 Millionen neue kompromittierte Passwörter
Das aktuelle Update von Breached Password Protection fügt über 430 Millionen kompromittierte Passwörter zur Liste hinzu, die von Specops Password Policy genutzt wird.
Zudem wurden mehr als 4.4 Millionen Datensätze dem Specops Password Auditor, hinzugefügt. Dieses kostenlose, schreibgeschützte Tool überprüft Active Directory (AD) auf kompromittierte Zugangsdaten sowie andere passwortbezogene Schwachstellen. Führen Sie noch heute einen Scan durch um einen anpassbaren Bericht über kompromittierte Passwörter, identische Zugangsdaten und inaktive Konten zu erhalten.
Alle neu entdeckten Zugangsdaten werden sofort in Specops Breached Password Protection, aufgenommen, das seine Datenbank kontinuierlich mit Threat-Intelligence-Quellen und Honeypots von Specops und unserer Muttergesellschaft Outpost24 aktualisiert.
19 % der kompromittierten Passwörter waren „stark“
Die Stichprobe zeigt eine Mischung aus menschlich generierten Passwörtern und automatisch von Passwortmanagern erzeugten Zeichenfolgen. Etwa 19 % der Datensätze waren länger als 8 Zeichen und enthielten gemischte alphanumerische und Sonderzeichen. Trotz ihrer Stärke wurden alle folgenden Passwörter im jüngsten Leak gefunden.
Konforme, aber dennoch kompromittierte Passwörter
| Beispielhafte kompromittierte Passwörter | Typ/Beobachtung |
|---|---|
| 4rUyXctf.G!Ek4 | Wahrscheinlich von Passwortmanagern generiert |
| ue6WESJOm5rfs1Jpre1v@Y#H | Hohe Entropie / stark |
| PhD@shababclub | Menschlich generiert / branchenspezifisch |
| ThГ©oParet92 | Enthält Sonderzeichen / Copyright-Symbole |
| Timeisoftheessence❤&💡 | Enthält Emojis |
| 2-nBhF9U6Vdv*6s | Entspricht den meisten Richtlinien für starke Passwörter |
Überraschende Passworttrends
Ein auffälliger Datensatz, ThГ©oParet92, zeigt die Verwendung von Symbolen wie dem Copyright-Zeichen. Solche Symbole erhöhen zwar die Entropie und erschweren manche Cracking-Versuche, bieten aber keinen Schutz, sobald das Passwort von Malware exfiltriert wird.
Wir beobachten auch eine zunehmende Nutzung von Emojis, wie Timeisoftheessence❤&💡. Emojis können zwar „Überraschungsentropie“ in Cracking-Wettbewerben erzeugen, sind aber ein zweischneidiges Schwert. Viele Legacy-Systeme können sie nicht verarbeiten und Infostealer erfassen sie dennoch leicht, indem sie die tatsächliche Benutzereingabe spiegeln.
„Administratoren können sicherstellen, dass ihr AD voller starker, NIST-konformer Passwörter ist. Die eigentliche Frage ist, wie man erkennt, ob diese Passwörter anderswo wiederverwendet werden oder bereits gestohlen wurden. Wenn ein Benutzer ein Passwort in einen Browser eingibt, kann Malware es stehlen. Deshalb muss die Überprüfung kompromittierter Zugangsdaten Teil der Sicherheitsstrategie sein.“
Darren James, Senior Product Manager, Specops
Warum schwache Passwörter ein Problem sind
Problematische Passwörter, wie in unserer Analyse identifiziert, gefährden Organisationen auf vielfältige Weise:
Compliance- und Governance-Risiken
Passwörter, die formal den Richtlinien entsprechen, können trotzdem in Leak-Datensätzen auftauchen. Ein Beispiel ist 2-nBhF9U6Vdv*6s, das viele Unternehmensrichtlinien erfüllt, aber dennoch im Leak gefunden wurde. Werden solche Passwörter wiederverwendet oder durch Angriffe wie Credential Stuffing kompromittiert, drohen regulatorische Konsequenzen nach GDPR, HIPAA oder PCI DSS.
Gefahr automatisierter Passwort-Cracking-Angriffe
Angreifer nutzen automatisierte Tools, um große Mengen an Passwortkombinationen zu testen. Passwörter, die menschlichen Mustern folgen, wie Großbuchstabe am Anfang, Kleinbuchstaben in der Mitte und Zahlen oder Sonderzeichen am Ende, lassen sich mit modernen Cracking-Tools oft schnell erraten. Ein Beispiel ist Shunaka25!, das diesen Mustern folgt und daher von Cracking-Wörterbüchern priorisiert wird.
Erhöhtes Risiko der Passwort-Wiederverwendung
Werden Passwörter über mehrere Dienste hinweg wiederverwendet, kann ein einzelner Leak Zugang zu mehreren Systemen ermöglichen. Taucht beispielsweise PhD@shababclub in Infostealer-Logs auf, können Angreifer versuchen, diese Zugangsdaten in Credential-Stuffing-Angriffen auf Unternehmensdienste erneut zu nutzen.
So stärken Sie die Passwortsicherheit
Kontinuierlich schwache und kompromittierte Passwörter verhindern
Warten Sie nicht auf ein jährliches Audit. Kompromittierte Passwörter müssen sofort beim Erstellen blockiert werden, damit Benutzer keine bereits geleakten Zugangsdaten wählen können. Da täglich neue Leaks auftreten, sollte das AD kontinuierlich auf neue Infostealer-Logs oder Dark-Web-Dumps überwacht werden.
Mit Specops Password Policy und Breached Password Protection können Organisationen die Nutzung schwacher Passwörter verhindern und über 5,8 Milliarden bekannte kompromittierte Passwörter blockieren. Passwörter werden nicht nur bei der Erstellung überprüft, sondern während ihres gesamten Lebenszyklus im AD kontinuierlich gescannt. Ein aktueller Leak-Passwort-Index erleichtert die Einhaltung von Standards wie NIST oder NCSC.
Intelligentere Passwort-Richtlinien durchsetzen
Standardrichtlinien führen oft zu vorhersehbaren menschlichen Mustern, wie dem Hinzufügen eines „!“ am Ende. Für echte Identitätssicherheit müssen diese Muster bereits bei der Erstellung verhindert werden, beispielsweise durch lange, hochentropische Passphrasen.
Specops Password Policy geht über einfache Zeichenanforderungen hinaus. Durch eigene Wörterbücher lassen sich branchenspezifische Begriffe, saisonale Muster und gängige Zeichenersetzungen blockieren. Dadurch werden Benutzer gezwungen, wirklich einzigartige und sichere Zugangsdaten zu erstellen und passphrase-basierte Richtlinien einzuhalten.
Möchten Sie sehen, wie diese Lösung in Ihrer Organisation funktioniert? Haben Sie Fragen dazu, wie sie an Ihre spezifischen Anforderungen angepasst werden kann? Kontaktieren Sie uns oder testen Sie die Demo kostenlos.
Zuletzt aktualisiert am 17/03/2026