Der Text stellt zunächst die üblichen Verfahren beim Teilen von Erstzugängen infrage. In vielen Unternehmen werden temporäre Kennwörter für neue Beschäftigte im Klartext per E-Mail oder SMS verschickt, weil das schnell und bequem ist. Genau darin liegt laut Vorlage aber ein offensichtlicher Expositionspunkt: Werden solche Nachrichten abgefangen, weitergeleitet oder auf einem ungesicherten Gerät abgerufen, kann das unmittelbaren Zugriff auf Unternehmenskonten und -systeme ermöglichen.
Als Alternative wird die mündliche Weitergabe genannt, also persönlich oder am Telefon. Das verringert zwar das Risiko digitaler Abfangversuche, bringt laut Text aber eigene operative Probleme mit sich. IT-Teams und neue Mitarbeiter müssen Termine koordinieren, und der Ablauf wird fehleranfällig, wenn Vorgesetzte oder Dritte Zugangsdaten im Auftrag der IT weiterreichen. Je mehr Personen ein Passwort anfassen, desto größer die Gefahr von Fehlbehandlung oder Offenlegung.
Das Grundproblem sieht der Beitrag darin, dass Organisationen temporäre Passwörter überhaupt verteilen müssen. Als technische Gegenmaßnahme nennt der Text Specops First Day Password als Teil von Specops uReset. Dabei erhalten neue Mitarbeiter kein Startkennwort per E-Mail, SMS oder Telefon, sondern legen es in einem sicheren Registrierungsprozess selbst fest. Der Nutzer bekommt dazu einen Registrierungslink über eine private E-Mail-Adresse, per Textnachricht oder über die Option „Mein Passwort zurücksetzen“ auf einem dem Unternehmensverzeichnis beigetretenen Gerät. Nach Identitätsprüfung über private E-Mail-Adresse oder Mobilnummer kann er sofort ein Passwort erstellen, das die Richtlinien der Organisation erfüllt.
Ein weiteres Risiko entsteht laut Text dadurch, dass temporäre Kennwörter oft länger aktiv bleiben als vorgesehen. Eigentlich sollen Beschäftigte nach der ersten Anmeldung ein neues Passwort setzen. In der Praxis wird dieser Schritt aber leicht übersehen, nicht erzwungen oder bleibt unbemerkt aus. Gerade Startkennwörter seien selten für langfristige Sicherheit ausgelegt, sondern eher einfacher, vorhersehbarer oder in großer Zahl erzeugt, um das Onboarding zu beschleunigen.
Wie problematisch unveränderte Standard- oder Testzugänge werden können, illustriert der Text mit zwei Fällen. Im November 2023 wurde die Municipal Water Authority of Aliquippa im US-Bundesstaat Pennsylvania von der iranisch verbundenen Hacktivistengruppe Cyber Av3ngers angegriffen. Die Angreifer nutzten speicherprogrammierbare Steuerungen, die mit dem Standardkennwort „1111“ geschützt waren. So konnten sie die Kontrolle über eine entfernte Druckerhöhungsstation übernehmen, die zwei Gemeinden versorgte. Laut Text bestand kein Risiko für die Wasserversorgung. Die Schwere des Risikos zeigte sich jedoch daran, dass CISA andere Einrichtungen aufforderte, Standardkennwörter in ähnlichen Systemen zu ändern und solche Steuerungen vom offenen Internet zu trennen.
Als zweites Beispiel nennt die Vorlage einen Fund von Forschern aus dem Jahr 2025 bei McHire, der KI-gestützten Einstellungsplattform von McDonald’s. Die von Paradox.ai betriebene Plattform soll über ein schwaches älteres Administratorkonto erreichbar gewesen sein, bei dem Berichten zufolge „123456“ sowohl als Benutzername als auch als Passwort gesetzt war. Mit diesen Standardzugängen konnten die Forscher auf eine Test-„Restaurant“-Umgebung innerhalb von McHire zugreifen. Von dort aus konnten sie Chat-Interaktionen einsehen, die mit mehr als 64 Millionen Bewerbungen verknüpft waren. Paradox.ai reagierte nach verantwortungsvoller Offenlegung nach Angaben des Textes schnell, behob die Schwachstelle und aktualisierte seine Sicherheitsrichtlinien.
Die übergreifende Aussage des Beitrags: Passwörter spielen trotz wachsender Verbreitung von Passkeys und passwortlosen Verfahren weiterhin eine zentrale Rolle im Onboarding und im Zugriffsmanagement. Gerade deshalb müssen Unternehmen laut Text den gesamten Lebenszyklus von Zugangsdaten absichern – einschließlich des allerersten Passworts.