Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Die Top 10 Social Media Plattformen als Basisbegriffe für Passwörter und die Gefahren der Wiederverwendung von Passwörtern [Neue Daten]
Heute veröffentlicht das Specops-Security Research Team die aktuellen Analysergebnisse über die Wiederverwendung von Passwörtern auf Social Media Plattformen. Die Veröffentlichung dieser Ergebnisse fällt zeitlich mit der neuesten Ergänzung des Specops Breached Password Protection Service zusammen.
Mit dieser Datenbank, die über 3 Milliarden kompromittierte Kennwörter enthält, helfen wir Organisationen dabei die Verwendung dieser kompromittierten Passwörter in Ihrem Active Directory zu blockieren.
Das Team analysierte eine Teilmenge von 800 Millionen Passwörtern, um zu ermitteln wie oft beliebte Social-Media-Seiten als Basisbegriffe genutzt werden. An der Spitze der Liste steht QQ, eine chinesische App, die im Jahr 2022 weltweit auf Platz 10 der Beliebtheitsskala lag und in den analysierten Datensätzen von 800 Millionen über 3 Millionen Mal auftauchte. Die meistgenutzte englischsprachige Seite in den Daten war LinkedIn, die über 114.000-mal auftauchte.
“Wir wissen seit langem, dass die Wiederverwendung von Passwörtern ein Problem darstellt”, sagt Darren James, Produktspezialist bei Specops Software. “Die aktuellen Ergebnisse unterstreichen nur, wie sehr die Grenzen zwischen Privatem und Beruflichem verschwimmen, wenn es darum geht, wie Ihre Nutzer ihre Passwörter erstellen.”
Top 10 Social Media Apps, die in kompromittierten Passwörtern gefunden wurden
- Snapchat (inkl. Abkürzungen wie Snap or Snapchat)
- Instagram (oder Abkürzungen wie Insta or Instagram)
- YouTube
- Skype
LinkedIn auf Platz 3 wird diejenigen nicht überraschen, die mit dem LinkedIn-Hack von 2012 vertraut sind, dessen Daten auch in den berüchtigten Collection Leaks gefunden wurden. Auch der bekannte Dropbox-Breach lässt sich auf die Wiederverwendung eines Passworts aus dem LinkedIn-Hack zurückführen und zeigt, wie gefährlich die wiederholte Nutzung von Passwörtern ist.
Angesichts der Tatsache, dass laut Google 65 % der Menschen zugeben, dass sie dasselbe Passwort für mehrere Konten verwenden, wären viele IT-Abteilungen gut beraten, in ihren Umgebungen nach solchen Passwörtern zu suchen.
“Es gibt immer noch viele Unternehmen, die nicht über einen starken Passwortschutz, der auch das Scannen von kompromittierten Passwörtern einschließt, verfügen. Schauen Sie sich nur den Bericht über die Passwortpraktiken des US-Innenministeriums an”, fügte James hinzu und bezog sich dabei auf den Anfang des Monats veröffentlichten DOI-Audit-Bericht. “Die Erhöhung der Passwortsicherheit ist immer noch eine der wirkungsvollsten Maßnahmen, die eine IT-Abteilung ergreifen kann, um ihre Netzwerke zu schützen.”
Der Bericht, “P@s$w0rds at the U.S. Department of the Interior: Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk”, zeigt viele Passwort-Schwachstellen im DOI auf, darunter auch die häufige Wiederverwendung von Passwörtern:
- 20% aller aktiven Konten hatten Passwörter, die für mehrere verschiedene Konten verwendet wurden
- Die Hälfte der 10 am häufigsten verwendeten Passwörter enthielt eine Kombination aus dem Wort “Passwort” und der Zeichenfolge “1234”.
- 1 Domänenadministratorkonto (höchste Privilegien) mit einem wiederverwendeten Passwort, das seit über 150 Tagen nicht mehr geändert worden war
Ob es sich um die Wiederverwendung von Kennwörtern zwischen privaten und beruflichen Konten oder um die Wiederverwendung von Kennwörtern zwischen beruflichen Konten handelt – dieses Benutzerverhalten stellt ein Risiko für Ihr Unternehmen dar.
Wie Sie diese wiederverwendeten Passwörter in Ihrem Netzwerk finden und blockieren können
Das heute vorgestellte Update des “Breached Password Protection Services” beinhaltet die Aufnahme von über 29,5 Millionen kompromittierten Passwörtern in die von Specops Password Auditor verwendete Liste.
Sie können mit einem Scan von Specops Password Auditor herausfinden, wie viele Ihrer Passwörter entweder kompromittiert oder identisch sind. Specops Password Auditor speichert keine Active Directory-Daten und nimmt auch keine Änderungen am Active Directory vor.
Verringern Sie das Risiko der Wiederverwendung von Passwörtern, indem Sie diese Passwörter blockieren
Mit Specops Password Policy und Breached Password Protection können Unternehmen die Verwendung von Passwörtern wie diesen und über 3 Milliarden weiteren bekannten kompromittierten Passwörtern verhindern. Zu diesen kompromittierten Passwörtern gehören auch solche, die aktuell in realen Angriffen verwendet werden oder die auf bekannten Listen mit gefährdeten Passwörtern stehen, was die Einhaltung von Branchenvorschriften und Empfehlungen wie BSI, NIST oder NCSC erleichtert.
Die Datenerfassungssysteme unseres Forschungsteams zur Überwachung von Angriffen aktualisieren den Dienst täglich und stellen sicher, dass Ihre Netzwerke vor realen Passwortangriffen geschützt sind, die in diesem Augenblick stattfinden. Unser Breached Password Protection Service blockiert diese verbotenen Kennwörter in Active Directory mit anpassbaren Endbenutzermeldungen. Wird ein Kennwort vom Specops Password Policy blockiert, dann erhält der Endnutzer eine individuelle Benachrichtigung die den Grund für die Passwortänderung erläutert. Diese Benachrichtigungen und das dynamische Feedback bei der Passwortänderung, welches dem Nutzer die Passwortrichtlinien anschaulich darstellt und anzeigt, warum sein Passwort möglicherweise abgewiesen wurde, trägt dazu bei dass weniger Anrufe beim Service Desk eingehen.
Überzeugen Sie sich selbst von Specops Password Policy mit einer Demo oder einer kostenlosen Testversion.
(Zuletzt aktualisiert am 18/01/2023)