Das richtige Passwort – Teil 2
Das richtige Passwort – Teil 2
Dieser Beitrag ist Teil einer Serie zum Thema Passwörter.
Vorangegangene Artikel handeln von:
Das richtige Passwort – Teil 1: Wie funktionieren Passwörter? Wie merken sich Server das Passwort?
Wie werden Passwörter geknackt?
Passwörter sind unser Schutz im Internet. Hacker haben es daher gerne auf unsere Passwörter abgesehen, um Zugriff auf unsere Konten zu bekommen und so vielleicht auch in unserem Heimnetz Systeme infiltrieren und unsere Computer und Smartphones als Geiseln nehmen zu können oder für eigene Aufgaben zu nutzen.
Ein gutes Beispiel ist z.B. der gekaperte Server der Pressestelle des Scotland Yard, der dazu führte, daß der Twitter-Account übernommen wurde. Derlei Übernahmen sind leider nur zu oft durch schwache Passwörter möglich. Verwendet man noch dazu das gleiche Passwort auf verschiedenen Systemen, dann macht man es einem Hacker ganz leicht, von einem System zum anderen zu springen und alle Konten zu übernehmen. Besonders kritisch wird es, wenn der Hacker Zugriff auf das Email-Konto bekommt, da er dann dort die Passwort-Zurücksetzen-Links der anderen Konten und Systeme bekommt.
Es gibt verschiedene Methoden, die Hacker nutzen, um ein Passwort zu knacken. Oft wird auch eine Kombination der Methoden verwendet.
Social Hacking
Eine inzwischen viel verwendete und weit unterschätzte Methode ist das Social Hacking. Auch aufgrund von diversen Filmen hat man bei einem Hacker noch immer den ungepflegten Computerfreak vor Augen, der einem beim Reden nicht in die Augen schaut und keine Social Skills hat. Filmtipp: „Who Am I“ (derzeit bei Netflix zu sehen).
Kaum jemand denkt bei einem Hacker an einen eloquenten Anrufer oder einen jungen Mann/eine junge Frau, die in Anzug oder Kostüm auftauchen und Fragen stellen. Moderne Hacker nutzen aber gern den direkten Kontakt um erste Informationen zu beschaffen.
Ein Beispiel?
Stell Dir vor, Du arbeitest in der Technikabteilung Deiner Firma und betreust einen Server. Plötzlich bekommst Du einen Anruf. Eine nette Dame, deren Namen Du nicht kennst, ruft an und nennt einen Firmennamen, den Du kennst. Sie sei dort neu und für einen Server zuständig. Ihr Abteilungsleiter (Herr X) habe von Deinem Abteilungsleiter (Herr Y) erfahren, daß Du Deinen Server so toll am Laufen hältst und sie soll sich mal bei Dir erkundigen, was Du für Software verwendest und wie Du Dein System aufgebaut hast.
Fühlst Du Dich da etwa geschmeichelt? Und gibst Auskünfte? Man will ja nur helfen…
Namen und Zuständigkeiten haben Hacker hier oft von der Webseite oder der Zentrale bekommen, damit wirken sie sehr authentisch. So hat der Hacker Informationen über die Systeme und weiß, nach welchen Schwachstellen er schauen muß.
Du betreust aber keinen Server?
Stell Dir vor Du bekommst einen Anruf eines charmanten Herren „Guten Tag, mein Name ist Herr Z ich arbeite für das Landesamt für Statistik, wir machen eine Umfrage über Haustiere. Darf ich Ihnen ein paar Fragen stellen?“ Und im Gespräch erfährt der sehr nette Herr dann den Namen Deines Haustieres, Dein Geburtsdatum, Namen und Geburtsdaten und Haustiere Deiner Eltern,… – das sind alles Informationen, die Menschen gerne für Passwörter verwenden.
Wörterbuch Attacke
Hier hat der Hacker eine Tabelle mit Wörtern, die er abarbeitet. Einmal das gesamte Wörterbuch und Kombinationen eingeben klingt nach viel Arbeit? Nicht für einen Computer, der ja für Tabellenarbeiten gemacht ist. Zusätzlich weiß man, welche Wörter und Kombinationen gerne verwendet werden und probiert diese aus. Sonderzeichen und Ähnliches werden gleich automatisch mit hinzugefügt und ausprobiert.
Du hast bei Deinem Passwort ja die Buchstaben zum Teil durch Zahlen ersetzt? Etwa das O durch die Null? Oder das l und i durch eine 1? Ein Computer ist sehr gut darin genau solche Änderungen mit durchzuprobieren.
Kombiniert mit den Ergebnissen aus dem Social Hacking ist der Computer hier nochmals viel schneller beim Ergebnis.
Default Passwörter
Ein besonderer Unterpunkt der Wörterbuch-Attacke ist das Verwenden von Default-Passwörtern. Jedes Gerät, das man kauft hat von Werk ein voreingestelltes Passwort. Wird dieses nicht geändert, dann hat der Hacker leichtes Spiel. Selbst wenn der Hersteller auf seinen Geräten individualisierte Passwörter hat, sind diese durch einen Algorithmus erzeugt und so oft leicht zu knacken. Leider findet man noch viel zu oft Geräte im Internet, die nur mit dem Default Passwort abgesichert sind – die Haustüre steht offen, der Dieb muß nur noch hereinspazieren. Ändert die Passwörter.
Ganz kritisch wird es bei Geräten (bei manchen Netzwerkkameras ist das der Fall, aber auch andere Gerätearten haben das Problem), wo das Passwort des Herstellers nicht änderbar ist. Dies ist aus meiner Sicht ein absolutes KO-Kriterium, kauf solche Geräte auf keinen Fall.
Bruteforce Attacke
Was, wenn das Passwort gaaaaaaaaanz kryptisch und unlogisch ist?
Dann macht ein Hacker eine sogenannte Bruteforce Attacke. Das heißt, er probiert einfach alle Zeichen durch. Zuerst das a, dann das b, dann das c, irgendwann aa, ab, ac, irgendwann ist er bei abc123 (ein häufig verwendetes Passwort). Es ist nur eine Frage der Zeit, bis er das Passwort geknackt hat.
Wie lange das dauert? Das hängt von der Länge des Passwortes ab. Dabei ist es ganz egal, wie kompliziert das Passwort ist.
Um alle Kombinationen für ein Passwort mit 7 Zeichen von einem normalen Computer, wie Du ihn zuhause hast, durchzurechnen benötigt man 4 Sekunden. Ja, das ist richtig. Nein, das ist kein Tippfehler. 4 Sekunden.
Rainbow Table
In einer solchen „Regenbogen-Tabelle“ sind Hashwerte und ihre Übersetzung gespeichert.
Doch das Interessante ist, wie diese Werte in diese Tabelle kommen.
Anstatt daß der Hacker aus der geklauten Datenbank den Hashwert des Passwortes ausliest und versucht ihn „zurückzurechnen“ (er rechnet so lange Hashwerte für Zahlenkombinationen aus, bis der Hashwert identisch ist), macht er sich diese Mühe schon im Vorfeld. Das heißt er baut eine Datenank auf, welche die Zeichenfolgen (die Passwörter) und ihren Hashwert abspeichert. Wenn man mit einer Bruteforce-Attacke sowieso alle Zeichen ausprobiert, dann kann man diese auch im Vorfeld speichern. Der Vorteil ist: Hat man eine solche Tabelle, dann kann man daraus leicht das Passwort zu einem Hashwert suchen.
Das Problem bei solchen Rainbow Tables ist, daß die Erstellung sehr lange dauert. Je länger das Passwort ist, desto mehr Kombinationen müssen durchgerechnet werden.
Allerdings gibt es im Internet viele Hacker, die zusammenarbeiten und diese Hashwerte mit ihren Passwörtern ausrechnen können. Rechnet ein einzelner Computer hier 100 Jahre (Beispielwert), rechnen 5 Hacker gemeinsam nur noch 20 Jahre. Bei 60 Hackern sind es nur noch 20 Monate und bei 600 Hackern nur noch 2 Monate. So können solche Tabellen je nach Passwortlänge in akzeptabler Zeit erstellt werden.
Schutz bieten hier vor allem Verfahren wie „Salt and Pepper“ (von denen ich bereits in Teil 1 berichtete).
Zusammenfassung
Das Ziel von Hackern ist es, Benutzernamen und Passwörter zu bekommen, um damit in Systeme einsteigen zu können und diese weiter zu nutzen. Dazu nutzen sie zahlreiche verschiedene Angriffsformen. Schwache Passwörter haben hier kaum eine Chance, erst starke Passwörter bieten hier wirklichen Schutz.
Erfahre im nächsten Beitrag „Was bringt Sicherheit“, wie so ein Passwort aussieht und worauf es bei der Wahl eines Passwortes ankommt – die Antwort wird Dich verblüffen.
Andere Artikel dieser Serie
Bisher ist in dieser Serie erschienen:
Das richtige Passwort – Teil 1: Wie funktionieren Passwörter? Wie merken sich Server das Passwort?
Wenn Dir dieser Artikel gefallen hat, sind vielleicht auch die nächsten Artikel dieser Serie für Dich spannend. Geplant sind:
Das richtige Passwort – Teil 3: Was bringt Sicherheit?
Das richtige Passwort – Teil 4: Passphrasen
Das richtige Passwort – Teil 5
Passworttresore
Das richtige Passwort – Teil 6
2 Faktor Authentifizierung
Affiliate Links
Die Links sind sogenannte Affiliate Links. Das heißt, falls ihr über diesen Link kauft, bekomme ich ein paar Cent Provision dafür, der Preis für euch wird nicht teurer. Die Provision verändert nicht meine Meinung und beeinflusst nicht meinen Beitrag hier. Diese Links sind mit (*) gekennzeichnet.
Hat es Dir gefallen?
Wenn Dir dieser Blogeintrag gefallen hat oder Dir geholfen hat, dann gib TechnikPapa gern als Dankeschön ein Getränk aus.
3 Pingbacks
Das richtige Passwort - Teil 5 - TechnikPapa
Das richtige Passwort - Teil 3 - TechnikPapa
Das richtige Passwort - Teil 1 - TechnikPapa