Der Quelltext beschreibt zwei typische Wege, wie erste Zugangsdaten an neue Beschäftigte übermittelt werden: digital im Klartext per E-Mail oder SMS oder mündlich, etwa persönlich oder am Telefon. Die erste Variante ist schnell und bequem, öffnet aber einen offensichtlichen Angriffsvektor. Werden solche Nachrichten abgefangen, weitergeleitet oder auf einem ungesicherten Gerät gelesen, können Angreifer unmittelbar auf Unternehmenskonten und -systeme zugreifen.

Die mündliche Weitergabe verringert zwar das Risiko digitaler Abfangversuche, bringt laut dem Quelltext aber eigene operative Probleme mit sich. IT-Teams und neue Mitarbeiter müssen ihre Verfügbarkeit abstimmen. Zusätzlich wird der Prozess fehleranfälliger, wenn Vorgesetzte oder Dritte Zugangsdaten stellvertretend weitergeben. Mit jeder zusätzlichen beteiligten Person steigt das Risiko, dass ein Passwort falsch behandelt oder offengelegt wird.

Ein weiteres Problem: Viele dieser Zugangsdaten sind zwar nur für den ersten Tag gedacht, bleiben in der Praxis aber länger aktiv. Beschäftigte übersehen die Änderung nach der ersten Anmeldung, Onboarding-Abläufe erzwingen den Wechsel nicht konsequent, oder temporäre Kennwörter bleiben unbemerkt bestehen. Der Quelltext weist darauf hin, dass solche Startpasswörter selten für dauerhafte Sicherheit ausgelegt sind. Sie sind oft einfacher, vorhersehbarer oder in großer Zahl erzeugt worden, um den Prozess zu beschleunigen.

Wie riskant unveränderte Standard- oder temporäre Zugangsdaten sein können, zeigen die im Quelltext genannten Beispiele. Im November 2023 griff die mit dem Iran verbundene hacktivistische Gruppe Cyber Av3ngers die Municipal Water Authority of Aliquippa im US-Bundesstaat Pennsylvania an. Die Angreifer nutzten speicherprogrammierbare Steuerungen, die durch die Standardzugangsdaten „1111“ geschützt waren, und konnten so die Kontrolle über eine entfernte Verstärkerstation übernehmen, die zwei Townships versorgte. Laut Quelltext bestand keine Gefahr für die Wasserversorgung. CISA warnte jedoch andere Einrichtungen und riet dazu, Standardzugangsdaten in ähnlichen Systemen zu ändern und PLCs vom offenen Internet zu trennen.

Der zweite Fall betrifft McHire, die KI-gestützte Einstellungsplattform von McDonald’s. Forschern zufolge ließ sich die von Paradox.ai betriebene Plattform 2025 über ein schwaches älteres Administratorkonto erreichen, bei dem Berichten zufolge sowohl Benutzername als auch Passwort „123456“ lauteten. Mit diesen Standardzugangsdaten konnten die Forscher auf eine Test-„Restaurant“-Umgebung innerhalb von McHire zugreifen. Von dort aus konnten sie Chat-Interaktionen einsehen, die mit mehr als 64 Millionen Bewerbungen verknüpft waren. Paradox.ai reagierte nach verantwortungsvoller Meldung schnell, beseitigte die Schwachstelle und passte seine Sicherheitsrichtlinien an.

Als Gegenmodell nennt der Quelltext Specops First Day Password als Teil von Specops uReset. Das Verfahren soll die Verteilung eines Startpassworts überflüssig machen. Statt ein temporäres Kennwort per E-Mail, SMS oder Telefon zu erhalten, erstellen neue Mitarbeiter ihr eigenes Passwort in einem gesicherten Registrierungsprozess. Dazu bekommen sie einen Registrierungslink über eine private E-Mail-Adresse, eine Textnachricht oder über die Option „Mein Passwort zurücksetzen“ auf einem domänengebundenen Gerät. Nach der Verifizierung ihrer Identität über eine private E-Mail-Adresse oder Mobilnummer können sie sofort ein Passwort festlegen, das die Richtlinien der Organisation erfüllt.