Direkter Diebstahl statt „Knacken“ Das Problem liegt im Infostealer-Angriff selbst. Dabei wird das Passwort nicht durch Erraten oder Rechenkraft (Brute-Force) ermittelt, sondern direkt vom infizierten Gerät des Nutzers kopiert – etwa aus dem Browser-Speicher oder während der Eingabe. In diesem Fall ist es völlig unerheblich, wie komplex die Zeichenfolge ist; der Angreifer erhält das fertige Passwort im Klartext.
Trends: Emojis und Sonderzeichen als Scheinsicherheit Die Analyse zeigt kuriose Versuche, die Sicherheit zu erhöhen:
- Emojis: Symbole wie ❤️ oder 💡 werden zwar seltener erraten, von Schadsoftware aber ebenso leicht erfasst wie normale Buchstaben.
- Sonderzeichen: Komplexe Symbole (z. B. das Copyright-Zeichen) erhöhen zwar die theoretische Stärke, bieten aber gegen Malware-Exfiltration keinerlei Schutz.
Konsequenzen für Unternehmen Allein im jüngsten Update wurden 430 Millionen neue kompromittierte Passwörter identifiziert. Für die IT-Sicherheit bedeutet das ein Umdenken:
- Dauerhafte Überprüfung: Es reicht nicht, Passwörter nur bei der Erstellung zu prüfen. Das Active Directory muss kontinuierlich gegen aktuelle Leak-Datenbanken abgeglichen werden.
- Blockieren bekannter Leaks: Passwörter, die bereits in Foren oder im Dark Web kursieren, müssen sofort gesperrt werden.
- Muster verhindern: Statt simple Regeln (wie „ein Großbuchstabe, ein Ausrufezeichen“) vorzugeben, sollten lange, zufällige Passphrasen erzwungen werden, die keine vorhersehbaren menschlichen Muster enthalten.
Der Bericht verdeutlicht: Echte Identitätssicherheit erfordert mehr als eine starre Richtlinie – sie verlangt nach einer dynamischen Überwachung des gesamten Passwort-Lebenszyklus.
https://specopssoft.com/de/blog/starke-passwoerter-bei-infostealer-attacken-geleakt/
