Passwortsicherheit, Teil 1
Das leidige Thema Passwortsicherheit ist ein Dauerbrenner im Bereich Security. Dennoch, geknackte oder gestohlene Passwörter ermöglichen Cyberkriminellen den größtmöglichen Zugriff. Und die Methoden der Angreifer sind einfacher als häufig angenommen.
„Wer sollte denn mein Passwort herausfinden?“ Kennen Sie diesen Spruch? Gemeint ist damit, dass es schwierig sein dürfte, ein Passwort einem Nutzernamen zuzuordnen. Zumal dies meist nicht beliebig oft versucht werden kann: Nach einer bestimmten Anzahl falscher Versuche werden diese in der Regel gemeldet und teilweise auch Accounts gesperrt. Zum Entsperren gibt es dann spannende Sicherheitsabfragen, wie den „Namen des ersten Haustieres“ oder „Wo sind Sie aufgewachsen?“ mit freier Texteingabe. Zudem gibt es immer häufiger Multifaktor-Authentifizierung als zusätzlichen Schutz.
Eigentlich hört sich das doch alles sicher an. Aber warum gelingt es Angreifern dennoch regelmäßig, solche Hürden zu überwinden? Das hängt von den verfügbaren Sicherheitsmethoden ab – und auch davon, wie ernsthaft ein Angreifer wirklich versucht, in ein System einzudringen. Denn viele Taktiken sind nicht gezielt. Man probiert es einfach bei Tausenden Accounts aus und hat bei einem Erfolg. Den Angreifern reicht das oft schon.
Einfache Passwortabfrage
Eine einfache Abfrage von Benutzername und Passwort ist selbstverständlich am einfachsten zu knacken. Dennoch wird diese Methode noch erstaunlich häufig genutzt, zum Beispiel beim Anmelden an einem Computer. In vielen Unternehmen schließt das sogar hoch brisante Domänen-Administrator-Accounts mit ein. Aber auch bei verschiedenen Online-Diensten ist es durchaus üblich, den Zugang über einfache Passwörter zu gestalten. Aber wie knackt man sowas:
- Passwort raten: Passwörter sollen Buchstaben, Zahlen und Sonderzeichen enthalten. Das ist schwer zu merken. Also verwenden Menschen gerne einen „Code“, in dem bestimmte Zeichen durch andere ersetzt werden. Zum Beispiel 1 = I oder a und 3 = E. Das ist für uns logisch und einfach zu merken. Das Äquivalent mit Sonderzeichen ist ! = i oder & = u. Ein Passwort für einen Twitter-Account, das einfach zu merken ist aber kompliziert aussieht, wäre dann beispielsweise „Tw!tt3r“. Das sind nur sieben Buchstaben, und acht werden gefordert? Kein Problem. Machen wir ein Sonderzeichen dahinter. Also „Tw!tt3r.“. Auch Jahreszahlen sind häufig, etwas das aktuelle Jahr oder das Geburtsjahr, am besten in Kombination mit dem eigenen Namen. Zum Beispiel „M!ch13l85“. Diese Technik wird gerne bei Anwendungen eingesetzt, die man selten öffnet. Für einen Angreifer ist das Erraten des Passworts eines bestimmten Menschen dennoch eine Herausforderung. Aber das ist oft auch gar nicht das Ziel: Wenn man Zugang zu einem Unternehmen haben will oder einfach nur unter falschem Namen Tweets absetzen oder Menschen kontaktieren möchte reicht es, einen beliebigen Nutzer zu kompromittieren. Hier hilft:
- „Passwort-Spraying“: Diese Attacke ist nicht gezielt, sondern ein Massenangriff. Die Angreifer versuchen dabei nicht, das Passwort eines einzelnen Users zu knacken, sondern die Menschen zu finden, die ein bestimmtes Passwort verwenden. So wird jeder Nutzername nur einmal aufgerufen, sodass der Eingabefehler nicht weiter auffällt. Nehmen wir wieder das Beispiel Twitter: Unser oben erratenes Passwort „Tw!tt3r.“ lassen wir nun gegen eine Datenbank mit Nutzernamen laufen und programmieren ein kleines Tool, das die Nutzername/Passwort-Eingabe für uns automatisiert. So finden wir die Accounts, die mit einer einfachen Passwortabfrage arbeiten und das Passwort „Tw!tt3r.“ verwenden. Bei 206 Millionen täglich aktiven Nutzern (Zahlen von 2021) kann man so vermutlich schon ein paar finden. Hacker sind im Unternehmensbereich mit dieser Taktik übrigens oft sehr erfolgreich. Nicht zuletzt deshalb nimmt man dort immer mehr Abstand von einfachen Abfragen.
Datenbankdiebstahl
Immer wieder kommt es zu großen Datenbankdiebstählen – zum Teil auch bei sehr bekannten Unternehmen. Wenn diese ihre „Hausaufgaben“ gemacht haben, sind dabei sensible Daten wie Username/Passwort verschlüsselt abgelegt, sodass man diese Einwahldaten nicht einfach auslesen kann. Dafür gibt es verschiedene Techniken, die die Verschlüsselung dieser Datenbanken aufbrechen. Einfach ist es nicht – aber eben auch nicht unmöglich. Ein Dieb hat dabei beliebig Zeit und kann es so oft versuchen, wie er möchte. Auch wurden Verschlüsselungsstandards in den letzten Jahren immer wieder nach oben gesetzt, weil moderne Technik das Knacken älterer Verschlüsselungen doch wieder in den Bereich des Möglichen und Bezahlbaren gebracht hat.
Jeder muss deshalb davon ausgehen, dass früher oder später die eigenen Einwahldaten potenziellen Angreifern bekannt sind. Plattformen wie LinkedIn reagieren deshalb auf solche Vorfälle, indem sie betroffene Nutzer dazu zwingen, ein neues Passwort zu wählen. Dies beseitigt das Problem auf der initial betroffenen Plattform. Allerdings sind die Hacker nun im Besitz von zumindest früher korrekten Nutzernamen und Passwörter und werden diese Kombination auch auf anderen Plattformen einsetzen. Zudem erhalten sie so neue Ideen für Passwort-Spraying-Attacken und können Muster erkennen, wie bestimmte Personen ihre Passwörter erstellen. Denken Sie noch einmal an unser obiges Beispiel: Wie würde wohl ein LinkedIn Passwort aussehen? Wie wäre es mit „L!nk3d!n“?
Wie sehen gute Passwörter aus?
Über die Erstellung von guten Passwörtern wird viel geschrieben. Sie wissen bereits, dass Sie diese regelmäßig ändern und Buchstaben, Zahlen sowie Sonderzeichen einbauen sollten. Werden Sie durch Plattformbetreiber darüber informiert, dass Einwahldaten „gestohlen“ wurden, gilt es diese sofort zu ändern. Vor allem, wenn sie die „Todsünde“ begangen haben, das gleiche Passwort auch bei anderen Diensten zu verwenden.
Versuchen Sie ein persönliches System/Code zu vermeiden und wählen Sie vor allem lange Passwörter! Je länger desto besser. Passwort-Manager-Apps helfen, wenn Sie sich viele Zugangsdaten merken müssen.
Haben Sie Passwörter, die Sie regelmäßig einsetzen und sich deshalb merken müssen, helfen Merksätze statt „Wörter“, zum Beispiel: „Heute3Eiergegessen!“. Aber auch hier gilt: Bitte nicht mit System, dass Sie für mehrere Accounts nutzen!
Haben Sie keine Angst davor auch mal ein Passwort zurück setzen zu lassen, weil Sie es vergessen haben. Und richten Sie auf jeden Fall eine Multifaktorauthentifizierung ein, wenn dies möglich ist.
Dieser Beitrag (wie auch schon frühere) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.