Zum Inhalt springen
NeoGuard

Password Spray

Ein automatisierter Angriff, bei dem wenige sehr häufige Passwörter gegen viele E-Mail-Adressen oder Benutzernamen getestet werden, um Konten mit schwachen Passwörtern zu finden, ohne pro Konto in Login-Sperren zu laufen.

Password Spray (auch Password Spraying) ist ein automatisierter Angriff, bei dem Angreifer einige wenige, sehr häufige Passwörter gegen eine grosse Liste von E-Mail-Adressen oder Benutzernamen testen. Im Gegensatz zu klassischen Brute-Force-Angriffen, die viele Passwörter gegen ein einzelnes Konto probieren, dreht Password Spray die Logik um: ein Passwort, viele Konten. Das umgeht die meisten Lockout-Mechanismen, die nach einer bestimmten Anzahl Fehlversuche pro Konto auslösen.

So funktioniert’s

  1. Angreifer beschaffen sich eine Liste gültiger Benutzernamen oder E-Mail-Adressen (häufig aus früheren Datenpannen, OSINT-Recherche oder Mailadressen-Konventionen wie [email protected])
  2. Sie wählen ein paar sehr häufige oder kontextpassende Passwörter (Welcome1, Sommer2026!, Firma2025! oder Standard-Passwörter aus Onboarding-Prozessen für neue Mitarbeitende)
  3. Pro Konto wird nur ein oder zwei Passwörter getestet (low-and-slow), oft verteilt über mehrere Stunden oder Tage
  4. Treffer werden für Kontoübernahme, Lateral Movement oder weitere Angriffe genutzt

Warum Password Spray funktioniert

Die Erfolgsquote pro Spray-Angriff liegt typischerweise bei 1 bis 5 Prozent. In grossen Organisationen genügt das, um mehrere Konten zu kompromittieren. Der Angriff zielt nicht auf bestimmte Personen, sondern auf statistisch vorhersehbare Passwortwahl. Saisonale Muster (Frühling2026!), Firmennamen (MeineFirmaAG2025) und Standard-Passwörter aus Onboarding-Prozessen sind besonders anfällig.

Beispiel: Midnight Blizzard 2024

Ein dokumentiertes Beispiel ist Midnight Blizzard, der staatlich unterstützte Akteur, der sich Anfang 2024 mit einem Password-Spray gegen einen alten Test-Account ohne MFA Zugang zu Microsoft-Konten verschaffte, darunter E-Mails der Geschäftsleitung und des Sicherheitsteams. Microsoft beschrieb die Methode als low-and-slow mit gezielter Account-Auswahl, um unter den Erkennungsschwellen zu bleiben.

Schutz

  • Einzigartige, zufällige Passwörter pro Konto. Ein Passwort-Manager generiert Passwörter, die kein Spray-Angriff treffen kann, weil sie nicht in der Verteilung gängiger menschlicher Passwortwahl liegen.
  • 2FA auf allen wichtigen Konten. Selbst wenn ein Passwort getroffen wird, blockiert ein zweiter Faktor den Login. Hardware-Keys oder TOTP-Apps sind robuster als SMS-Codes.
  • Lockout- und Anomalie-Erkennung. Auf der Anbieterseite reduzieren intelligente Login-Limits, die nicht nur pro Konto, sondern auch pro Quell-IP und pro Zeitfenster greifen, die Wirksamkeit von Password Spray.
  • Conditional Access und Risk-based Auth. Identity-Provider wie Entra ID, Okta oder Google Workspace können verdächtige Login-Versuche aus ungewöhnlichen Ländern oder Geräten zusätzlich absichern.

Password Spray vs. Credential Stuffing

  • Credential Stuffing: Echte Benutzername/Passwort-Paare aus einer Datenpanne werden gegen viele Dienste getestet. Erfolgreich, wenn du Passwörter wiederverwendest.
  • Password Spray: Wenige häufige Passwörter werden gegen viele Konten getestet. Erfolgreich, wenn dein Passwort vorhersehbar ist.

Beide Angriffe werden vom selben Werkzeug ausgehebelt: ein einzigartiges, zufälliges Passwort pro Dienst.

Verwandte Begriffe

Credential StuffingPasswort-Manager2FA (Zwei-Faktor-Authentifizierung)Phishing