Highlights
• 123456, 123456789 und 12345678
waren die am häufigsten kompromittierten Passwörter
LummaC2
führte den Diebstahl von Zugangsdaten an, mit über 60 Millionen gestohlenen Credentials
Passwörter mit acht Zeichen
waren am häufigsten betroffen, insgesamt 1,1 Milliarden kompromittierte Passwörter
Über die Daten
Die Daten in diesem Bericht stammen vom Threat-Intelligence-Team von Outpost24, dem Mutterunternehmen von Specops Software. Insgesamt wurden über sechs Milliarden gestohlene Passwörter zwischen Januar und Dezember 2025 erfasst und analysiert.
Die Datensätze basieren auf Protokollen von Infostealer-Malware, Aggregationsquellen für Zugangsdaten und Darknet-Marktplätzen. Obwohl die Daten Aktivitäten aus 2025 widerspiegeln, zeigen die erkannten Muster nachhaltiges Verhalten der Angreifer, nicht nur kurzfristige oder saisonale Abweichungen.
Darren James
Senior Product Manager, Specops Software
Warum gestohlene Zugangsdaten jede Organisation betreffen
„Trotz jahrelanger Sensibilisierungsschulungen und zunehmend komplexerer Passwort-Richtlinien stoßen Angreifer immer noch auf die gleichen schwachen und vorhersehbaren Zugangsdaten in Systemen. Das ist nicht nur ein Mengenproblem – es zeigt, dass statische Passwortkontrollen nicht widerspiegeln, wie Passwörter heute tatsächlich gestohlen, wiederverwendet und genutzt werden. Die Stärke eines Passworts hängt vor allem von seiner Länge ab, oft durch Passphrasen erreicht, und davon, dass kontinuierlich auf kompromittierte Passwörter geprüft wird, nicht nur von der Komplexität.“
Verstecken sich schwache Passwörter in Ihrem Active Directory?
Führen Sie ein kostenloses Audit durch, um Ihre Passwortrisiken zu erkennen.
Specops Password Auditor ist ein kostenloses, read-only Tool, das in wenigen Minuten mehrere Passwort-Risiken identifiziert. Es scannt Ihr Active Directory gegen über eine Milliarde bekannter kompromittierter Passwörter und analysiert gleichzeitig Domain- und detaillierte Passwort-Richtlinien.
- Sofortige Übersicht über Risiken von Zugangsdaten
- Leicht verständlicher Bericht
- Keine Installation erforderlich
Report herunterladen
Bitte füllen Sie alle Felder aus, um eine Mail mit dem Downloadlink des Reports zu erhalten.
Häufig gestellte Fragen
Was macht ein Passwort schwach?
Es gibt eine Reihe von Faktoren, die ein Passwort schwach machen: kurz, gängig, vorhersehbar (verwendet Tastaturmuster oder leetspeak), das über mehrere Konten hinweg verwendet wird, oder eine Systemvorgaben. Jedes Passwort, das kompromittiert ist oder auf einer Passwortliste erscheint, gilt ebenfalls als schwach.
Erkennt Active Directory schwache oder verletzte Kennwörter?
Active Directory prüft nicht standardmäßig auf schwache oder verletzte Kennwörter. Mit einer gewissen Konfiguration können Administratoren die Active Directory-Kennwörter mit der Have I been Pwned-Kennwortliste abgleichen.
Was macht ein Passwort stark?
Ein sicheres Passwort ist lang, einzigartig und schwer zu erraten. Auch ein starkes Passwort kann angreifbar sein, wenn es weitergegeben oder gestohlen wird. Die Passwörter sollten regelmäßig mit einer Liste bekannter Passwörter abgeglichen und bei Anzeichen einer Gefährdung geändert werden.
Wie können sichere Passwörter in Active Directory durchgesetzt werden?
Mit einem Tool eines Drittanbieters wie Specops Password Policy können Systemadministratoren die Länge von Passwörtern, Passphrasen und die Komplexität durchsetzen und gleichzeitig häufige Zeichentypen am Anfang/Ende von Passwörtern sowie aufeinanderfolgend wiederholte Zeichen blockieren. Admins können auch Compliance-Anforderungen durchsetzen, indem sie die Verwendung bekannter oder kompromittierter Passwörter blockieren.
Vorherige Jahresreports zu den am häufigsten gestohlenen Passwörtern: