Darknet: 24 Milliarden Benutzername-Passwort-Kombinationen erhältlich

Rund 24 Milliarden Benutzernamen sowie die dazugehörigen Passwörter werden auf cyberkriminellen Marktplätzen zum Verkauf angeboten. Das geht aus einer aktuellen Studie von Digital Shadows hervor.

Dass Logindaten gestohlen und anschließend im Darknet verkauft werden, ist mittlerweile gängige Cybercrime-Praxis. Das erschreckende Ausmaß des Handels mit gestohlenen Benutzername-Passwort-Kombinationen auf cyberkriminellen Plattformen hat Digital Shadows, ein Anbieter von Lösungen zum digitalen Risikomanagement und Threat Intelligence, nun in seiner Studie „Account Takeover in 2022“ aufgedeckt.

Bei ihren Recherchen zählten die ExpertInnen rund 24 Milliarden Benutzername-Passwort-Kombinationen. Das entspricht einer Zunahme von 65 Prozent gegenüber der letzten Erhebung im Jahr 2020. Laut Weltbevölkerungsuhr der Deutschen Stiftung Weltbevölkerung leben aktuell (Stand 25. August 2021) rund 7,89 Milliarden Menschen auf der Welt. Folglich werden derzeit durchschnittlich fast vier Zugangskombinationen für jeden Menschen auf der Erde im Darknet zum Verkauf angeboten.

User verwenden weiter einfache Passwörter

Das Erschreckendste dabei: User verwenden weiterhin leicht zu knackende Passwörter. Im Zuge ihrer Recherchen deckten die ExpertInnen von Digital Shadows beispielsweise auf, dass etwa 0,46 Prozent aller Passwörter – immerhin fast jedes 200te Passwort – auf die Zahlenkombination „123456“ lautet. Auch das Wort „Passwort“ oder einfache Tastenkombinationen wie „qwerty“/“qwertz“ werden nach wie vor häufig verwendet.

Der Studie zufolge können 49 der 50 am häufigsten verwendeten Passwörter in weniger als einer Sekunde geknackt werden – mit Tools, die in cyberkriminellen Foren häufig kostenlos zur Verfügung gestellt werden und die zudem einfach zu bedienen sind.

Handlungsempfehlungen

Bereits simple Maßnahmen können helfen. Durch das Hinzufügen eines Sonderzeichens wie „@“, „#“ oder „_“ zu einem einfachen 10-Zeichen-Passwort steigt die Zeit, die ein Offline-Angriff zum Knacken des Passworts benötigen würde, um etwa 90 Minuten. Fügen Sie gleich zwei Sonderzeichen hinzu, so liegt die Offline-Cracking-Zeit bereits bei etwa 2 Tagen und 4 Stunden. Die Wahrscheinlichkeit, dass die HackerInnen sich ein einfacheres Ziel suchen, steigt folglich enorm. Damit die neuen, stärkeren Passwörter nicht in Vergessenheit geraten, sind Passwort-Manager empfehlenswert.

Neben sichereren Passwörtern ist auch die Verwendung von Zwei- oder Multi-Faktor-Authentifizierungen sinnvoll. Am besten in Kombination mit einer Authentifizierungs-App wie beispielsweise Google Authenticator, Microsoft Authenticator oder FreeOTP.