(KASPERSKY) – Eine Studie von Kaspersky-Experten zeigt, dass fast die Hälfte der Passwörter von Cyberkriminellen in weniger als einer Minute erraten werden können. Die Schlussfolgerungen des Berichts, der 193 Millionen Passwörter durchforstet, die im Dark Web verfügbar sind und von Infostealern, mit roher Gewalt oder über intelligente Algorithmen gehackt wurden, sind erbaulich.
Den Forschungsergebnissen von Kaspersky-Experten zufolge können 45 % der analysierten Passwörter (87 Millionen) innerhalb einer Minute von Cyberkriminellen erraten werden. Die Forscher identifizierten auch die am häufigsten verwendeten Zeichenkombinationen bei der Erstellung von Passwörtern. Nur 23 % der Kombinationen (44 Millionen) erwiesen sich als schwer genug zu entschlüsseln, um die Versuche der Betrüger zu vereiteln, was mehr als ein Jahr dauerte.
Die Telemetriedaten von Kaspersky zeigen, dass im Jahr 2023 mehr als 32 Millionen versuchte Passwortdiebstahl-Angriffe auf Einzelpersonen abzielten. Diese Zahlen unterstreichen die entscheidende Bedeutung einer guten digitalen Hygiene und der Umsetzung einer proaktiven Passwortstrategie.
Bis Juni 2024 analysierte Kaspersky 193 Millionen öffentlich zugängliche Passwörter in verschiedenen Dark-Web-Ressourcen. Die Ergebnisse deuten darauf hin, dass die meisten untersuchten Passwörter nicht sicher genug sind und durch intelligente Algorithmen leicht kompromittiert werden können.
Die Geschwindigkeit der Passwortkompromittierung gliedert sich wie folgt:
- – 45 % (87 Millionen) in weniger als einer Minute.
- – 14 % (27 Millionen) zwischen 1 Minute und 1 Stunde.
- – 8 % (15 Millionen) zwischen 1 Stunde und 1 Tag.
- – 6 % (12 Millionen) zwischen 1 Tag und 1 Monat.
- – 4 % (8 Millionen) zwischen 1 Monat und 1 Jahr.
Experten identifizierten nur 23 % (44 Millionen) der Passwörter als persistent, was bedeutet, dass es mehr als ein Jahr dauern würde, bis sie kompromittiert würden.
Der Großteil der untersuchten Passwörter (57 %) enthält ein Wörterbuchwort, was die Stärke eines Passworts deutlich verringert. Unter den am häufigsten verwendeten Vokabelsequenzen lassen sich mehrere Gruppen unterscheiden:
- – Eigennamen: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“.
- – Beliebte Wörter: „forever“, „love“, „google“, „hacker“, „gamer“.
- – Standardkennwörter: „Passwort“, „qwerty12345“, „Admin“, „12345“, „Team“.
Die Analyse zeigte, dass nur 19 % der Passwörter Zeichen einer starken und schwer zu knackenden Kombination enthalten, wie etwa ein Wort, das nicht im Wörterbuch enthalten ist, Klein- und Großbuchstaben sowie Zahlen und Symbole und keine Wörter aus dem Standardwörterbuch. Gleichzeitig ergab die Studie, dass 39 % dieser Passwörter mithilfe intelligenter Algorithmen in weniger als einer Stunde erraten werden können.
Der vielleicht besorgniserregendste Punkt ist, dass Angreifer weder umfassende Kenntnisse noch teure Ausrüstung benötigen, um Passwörter zu knacken. Ein standardmäßiger Hochleistungs-Laptop-Prozessor ist in der Lage, mit roher Gewalt in nur 7 Minuten die richtige Kombination für ein Passwort aus 8 Kleinbuchstaben oder Zahlen zu finden. Aktuelle Grafikkarten können die Aufgabe sogar in 17 Sekunden erledigen. Darüber hinaus entschlüsseln intelligente Algorithmen zum Erraten von Passwörtern problemlos Zeichenersetzungen wie „e“ durch „3“, „1“ durch „!“ ” oder „a“ mit „@“ sowie beliebte Sequenzen wie „qwerty“, „12345“, „asdfg“.
„Menschen erstellen unbewusst „menschliche“ Passwörter, die Wörterbuchwörter in ihrer Muttersprache, Namen, Zahlen usw. enthalten, alles Elemente, die sich unser ohnehin schon beschäftigtes Gehirn leicht merken kann. Selbst scheinbar starke Kombinationen sind selten völlig zufällig und können daher von Algorithmen erraten werden. Unter diesen Bedingungen besteht die zuverlässigste Lösung darin, mithilfe von Passwortmanagern völlig zufällige Passwörter zu generieren. Diese Anwendungen können große Datenmengen sicher speichern und bieten so einen umfassenden und robusten Schutz der Benutzerdaten.“ kommentiert Yuliya Novikova, Leiterin des Digital Footprint Intelligence-Teams bei Kaspersky.
Weitere Informationen zur Studie auf SecureList und im Kaspersky-Blog.
Über die Studie
Die Studie wurde auf der Grundlage von 193 Millionen Passwörtern durchgeführt, die in verschiedenen öffentlichen Dark Web-Ressourcen gefunden wurden. Im Rahmen ihrer Untersuchung verwendeten die Kaspersky-Forscher die folgenden Algorithmen, um Passwörter zu erraten:
- – Rohe Gewalt – Brute Force ist eine Methode zum Erraten eines Passworts, bei der systematisch alle möglichen Zeichenkombinationen ausprobiert werden, bis die richtige gefunden wird.
- – Zxcvbn – Dies ist ein erweiterter Bewertungsalgorithmus, der auf GitHub verfügbar ist. Für ein bestehendes Passwort ermittelt der Algorithmus dessen Muster. Als Nächstes zählt der Algorithmus die Anzahl der Suchiterationen, die für jedes Element im Schema erforderlich sind. Wenn das Passwort also ein Wort enthält, erfordert seine Suche eine Anzahl von Iterationen, die der Länge des Wörterbuchs entspricht. Indem wir die Suchzeit für jedes Element im Muster kennen, können wir die Stärke des Passworts berechnen.
- – Intelligenter Ratealgorithmus – Dies ist ein Lernalgorithmus. Basierend auf allen Benutzerpasswörtern kann die Häufigkeit verschiedener Zeichenkombinationen berechnet werden. Anschließend können Tests aus den häufigsten Varianten und deren Kombination mit den seltensten generiert werden.
Globale Nachrichten weiterleiten
){kind=link}