IT-Admins verwenden leider auch unsichere Kennwörter
Aktuelle Daten von Outpost24 zeigen, dass IT-Administratoren bei der Verwendung von Passwörtern genauso vorhersehbar sind wie die Endbenutzer. Eine Analyse von etwas mehr als 1,8 Millionen Passwörtern zeigt, dass „admin“ mit über 40.000 Einträgen das beliebteste Passwort ist, wobei weitere Ergebnisse auf eine anhaltende Verwendung von Standardpasswörtern hindeuten.
Diese Daten über Administrator-Credentials stammen aus der Cyber Threat Intelligence-Lösung Threat Compass von Outpost24, die belastbare Informationen über gestohlene Benutzer-Credentials liefert. Threat Compass erkennt kompromittierte Anmeldedaten, die z.B. durch Malware gestohlen wurden, und benachrichtigt die Sicherheitsteams, um die Gefahr so schnell wie möglich zu entschärfen.
Was sind Standardkennwörter / Default Kennwörter?
Ein Standardkennwort ist das vordefinierte Kennwort für ein Gerät, ein System oder eine Anwendung, das in der Regel mit dem Standardkonto verknüpft ist und für die Ersteinrichtung verwendet werden soll. Standardkennwörter sind in der Regel bekannt (z. B. admin, password, 12345) oder können leicht durch Nachschlagen in der Produktdokumentation oder durch eine einfache Online-Suche gefunden werden. Standardpasswörter werden als Sicherheitslücke betrachtet, da sie eine der einfachsten Einstiegsmöglichkeiten für Angreifer darstellen.
In den letzten Jahren haben neue Gesetze die Verwendung von Standardkennwörtern verboten, darunter das Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur (PSTII) der britischen Regierung und das kalifornische Gesetz über Standardkennwörter (Senate Bill 327).
Doch trotz ihres schlechten Rufs werden sie nach wie vor verwendet. Die Daten aus unserer Analyse stammen zwar von Credential Stealer-Software, einer Art Malware, die auf Anwendungen abzielt, die Benutzernamen, Kennwörter und andere Authentifizierungsdaten speichern können, doch die meisten Kennwörter in unserer Liste hätten auch mit einem einfachen Erraten des Kennworts geknackt werden können.
Die 20 besten Administratorkennwörter: Standard, statisch und schlichtweg gefährlich
Um unsere Kennwortliste auf die Administrator-Kennwörter einzugrenzen, haben wir die im Threat Compass-Backend gespeicherten statistischen Daten nach Seiten durchsucht, die als Admin-Portale identifiziert wurden. Wir fanden insgesamt 1,8 Millionen Passwörter, die im Jahr 2023 (Januar bis September) ermittelt wurden.
Die 20 häufigsten Administrator-Passwörter, die von der Threat-Intelligence-Lösung von Outpost24, Threat Compass, ermittelt wurden:
- admin
- 123456
- 12345678
- 1234
- Password
- 123
- 12345
- admin123
- 123456789
- adminisp
- demo
- root
- 123123
- admin@123
- 123456aA@
- 01031974
- Admin@123
- 111111
- admin1234
- admin1
Unsere Top-20-Ergebnisse beschränken sich zwar auf bekannte und vorhersehbare Passwörter, doch die Tatsache, dass sie mit Admin-Portalen in Verbindung gebracht wurden, zeigt uns, dass Angreifer gut gerüstet sind, um privilegierte Benutzer ins Visier zu nehmen. Sehen wir uns an, wie Malware auf IT-Experten abzielen kann und welche Kennwörter anfällig sind.
Wie Malware (Stealers) zum Diebstahl von Passwörtern funktionieren
Malware gibt es in vielen verschiedenen Formen und Ausprägungen. Durch eine Vielzahl unterschiedlicher Social-Engineering-Taktiken bringen Kriminelle die Schadsoftware auf ein Zielsystem. Während Phishing-Kampagnen die bekannteste Methode sind, hat der jüngste Aufstieg organisierter Cyberkrimineller, insbesondere der Traffers-Teams, zu einer spezialisierten Malware-Verbreitung geführt.
Traffers verbreiten Malware über YouTube-Videos oder Google-Anzeigen zu betrügerischen Inhalten. Administratoren werden möglicherweise mit Werbung für IT-Administrator-Tools angesprochen, die sie auf eine andere Website umleitet. Auf diesen betrügerischen Websites wird die Malware dann mit legitimer Software gebündelt, um nicht entdeckt zu werden.
Sobald die Malware installiert ist, hält sie sich unauffällig im Hintergrund und sammelt persönliche Informationen über den Benutzer, wie z. B. die Logins auf dem Computer des Benutzers, die Folgendes umfassen können
- Webbrowser und Session-Cookies, zum Beispiel von Google Chrome.
- FTP-Clients, zum Beispiel WinSCP.
- Mail-Client-Konten, zum Beispiel Microsoft Outlook.
- Wallet-Dateien, z. B. Bitcoin.
Je nach Anwendung kann es einfach sein, den Verschlüsselungsmechanismus zu überwinden, um die Klartextpasswörter für die Anwendungen des Benutzers aufzudecken. In Google Chrome zum Beispiel stellt die Malware im Namen des Opfers eine Anfrage an das Verschlüsselungstool des Browsers, um die auf dem Computer gespeicherten Informationen zu entschlüsseln.
Von dort aus gelangt das Passwort auf einen Marktplatz, wo es an den Meistbietenden verkauft wird, der es dann für Account-Takeover- oder Credential-Stuffing-Angriffe verwenden kann.
Sicherheitsempfehlungen von Outpost24
Für die Sicherheit von Passwörtern und damit von Unternehmensdaten gibt es zwei wichtige Punkte. Zum einen die Sicherung von Passwörtern durch standardisierte Best Practices und zum anderen die Vermeidung von Malware-Infektionen.
Best Practices für bessere Passwortsicherheit
Beginnen wir mit dem Offensichtlichen. Verwenden Sie keine Standardkennwörter, und erstellen Sie für jedes Konto ein eindeutiges, langes und vertrauliches Kennwort. Setzen Sie diese Sicherheitsmaßnahmen in Ihrem gesamten Netzwerk durch. Suchen Sie mit Tools wie Specops Password Auditor nach Anzeichen für einen unsicheren Umgang mit Passwörtern. Dieses Read-Only-Tool scannt Ihre Active-Directory-Umgebung auf passwortrelevante Schwachstellen, einschließlich der Konten, die identische, leere, abgelaufene und kompromittierte Passwörter verwenden. Identische Active-Directory-Passwörter können ein Zeichen dafür sein, dass Sie verbreitete Passwörter nicht sperren oder dass Administratoren die gleichen Passwörter für mehrere Konten verwenden. Weitere Schwachstellen im Zusammenhang mit Administratorkennwörtern, nach denen das Tool suchen kann, sind veraltete Administratorkonten, delegierbare Administratorkonten und mehr.
Bewährte Maßnahmen zum Schutz vor Malware-Infektionen
Dieser Punkt ist ein wenig komplizierter. Zunächst einmal müssen Sie über die aktuellen Trends in der Welt der Cyberkriminellen auf dem Laufenden bleiben. Dieses Ökosystem entwickelt sich ständig weiter, und eine Threat-Intelligence-Lösung kann Ihnen helfen, die neuesten Bedrohungen zu erkennen und die erforderlichen Sicherheitsmaßnahmen zu ergreifen, um geschützt zu bleiben.
Für einen praktischen Ansatz gegen heutige Bedrohungen, wie Traffers, empfehlen wir:
- Verwendung einer aktuellen Anti-Malware-Lösung, z. B. Endpoint Detection and Response und Antivirus.
- Deaktivieren Sie das Speichern von Kennwörtern in Browsern und das automatische Ausfüllen von Formularen, da die in Webbrowsern gespeicherten Anmeldeinformationen leicht von Malware abgerufen werden können.
- Überprüfen Sie, ob Sie nach dem Klicken auf eine Anzeige oder einen Link auf die gewünschte Website weitergeleitet wurden.
- Achten Sie genau auf Domain-Typo-Squatting, divergierende Inhalte und andere Warnsignale auf einer Website.
- Vermeiden von “ gecrackter “ Software auf Firmen- und Privatgeräten.
- Und zuletzt die Minderung des Risikos eines direkten Angriffs mit kompromittierten Credentials indem Sie via dem Threat-Compass_Credentials Modul das Dark-Web auf kompromittierte Zugangsdaten und Passwörter überwachen.