Beliebteste Passwörter der Hacker: admin, root und 123456

Die Auswertung der zehn am häufigsten verwendeten Passwörter zeigt, dass Angreifer nach wie vor auf bekannte Standardkennwörter und einfache Zahlenkombinationen setzen. Angeführt wird die Liste vom Passwort „admin“, dicht gefolgt von „root“, „123456“ und „password“. Diese Erkenntnisse deuten darauf hin, dass viele Systeme scheinbar weiterhin mit schwachen oder Standardpasswörtern betrieben werden – ein leichtes Ziel für automatisierte Brute-Force-Angriffe.

Neben der reinen Passwortwahl untersuchte Specops auch die verwendeten Zeichenkombinationen und die Länge der Passwörter. Dabei zeigte sich, dass 87,4 Prozent aller verwendeten Passwörter zwischen 6 und 10 Zeichen lang waren. Nur 1,6 Prozent der beobachteten Passwörter nutzten alle vier möglichen Zeichentypen: Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen.

FTP bleibt Schwachstelle

FTP-Server sind für Angreifer ein lohnendes Ziel – insbesondere dann, wenn sie veraltet, falsch konfiguriert oder mit schwachen Zugangsdaten gesichert sind. Anders als bei RDP-Angriffen, bei denen Verschlüsselung und Authentifizierungsmaßnahmen Angriffe erschweren, greifen Cyberkriminelle bei FTP eher zu simplen Methoden wie Passwort-Spraying oder dem Ausnutzen anonymer Logins.

Die Ergebnisse der Studie unterstreichen die Bedeutung robuster Passwortrichtlinien. Bereits das Erzwingen von Passwörtern mit einer entsprechenden Mindestlänge und verschiedenen Zeichentypen könnte rund 99 Prozent der beobachteten Brute-Force-Versuche verhindern. Noch besser: der Umstieg auf sichere Protokolle wie SFTP oder FTPS sowie die Implementierung moderner Zugangsschutzmechanismen.

Schutzdatenbank für kompromittierte Passwörter

Parallel zur Studie wurde die interne Datenbank des Specops Breached Password Protection-Auditors um mehrere Millionen kompromittierte Passwörter erweitert. Diese stammen aus aktuellen Angriffen, der Honeypot-Infrastruktur sowie externen Threat-Intelligence-Quellen und stehen Unternehmen zur Erkennung gefährdeter Accounts zur Verfügung.

Die Analyse basiert auf realen Angriffsdaten der letzten 30 Tage. Die Daten wurden über ein globales Netzwerk aus Honeypots gesammelt und durch Bedrohungsinformationen aus verschiedenen Threat-Intelligence-Quellen ergänzt.