Tobias
Aus ProgrammingWiki
Inhaltsverzeichnis |
Angriffe auf Passwörter
Angriffe auf Passwörter erfolgen in verschiedenen Phasen und Methoden.
Brute-Force-Angriff
Eine Methode ist der Brute-Force-Angriff um Passwörter herauszufinden oder Daten zu entschlüsseln. Sie nutzt "rohe Gewalt" (brute force), indem sie wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert. Je mehr Kombinationen getestet werden, desto höher ist die Erfolgsaussicht. Prinzipiell lässt sich jedes Geheimnis durch Ausprobieren lösen. Allerdings steigt die hierfür benötigte Zeit mit der Komplexität des Geheimnisses. Moderne, leistungsfähige Rechnersysteme sind in der Lage, binnen kurzer Zeit viele mögliche Kombinationen durchzurechnen. Mit Hilfe komplexer Passwörter, langer Schlüssel und der Begrenzung von möglichen Fehlversuchen bei Logins lassen sich die Erfolgsaussichten von Brute-Force-Angriffen senken. In einigen Fällen nutzt die Brute-Force-Methode als Ergänzung auch Wörterbücher, die typische Passwörter wie "Administrator" oder "12345678" enthalten. Dies wird als Dictionary Attack bezeichnet und steigert die Erfolgsaussichten des Angriffs und vermindert den durch das Probieren von komplett zufälligen Zeichenfolgen verursachten Zeitaufwand.
Trojaner
Trojaner verbreiten sich nicht selbst sondern verstecken sich in scheinbar nützlichen Programmen oder Dokumenten. Wird das Programm oder das Dokument mit dem Trojaner aufgerufen, kann auch der Schädling (meist ein Spionageprogramm) unabhängig von dem Programm sein Unwesen treiben. Die üblichen Trojaner zielen darauf ab, Daten wie Passwörter oder Kreditkartennummern auf dem verseuchten Rechner auszuspähen und an den Urheber des Trojaners zu übermitteln.
Backdoor
Backdoor richtet eine versteckte Hintertür zu einem System ein, um Zugang zu einem Rechner, unter Umgehung der Sicherheitseinrichtungen des Betriebssystems, zu ermöglichen.
Spyware
Spyware ist ein Programm, das Informationen über Nutzeraktivitäten ausspäht. Hierunter fallen z.B. Keylogger, die jeden Tastaturschlag des Nutzers aufzeichnen und weiterleiten. Zu dieser Gruppe gehören auch Programme, die in regelmäßigen Abständen im Hintergrund Bildschirmfotos anfertigen und diese dann an den Angreifer übermitteln.
Man in the Middle-Attacke
Bei der „Man in the Middle“-Attacke nistet sich ein Angreifer zwischen den miteinander kommunizierenden Rechnern ein. Diese Position ermöglicht ihm, den ausgetauschten Datenverkehr zu kontrollieren und zu manipulieren. Er kann z.B. die ausgetauschten Informationen abfangen, lesen, die Weiterleitung kappen usw. Von all dem erfährt der Empfänger aber nichts.
Sniffing
Unter Sniffing (Schnüffeln) wird das unberechtigte Abhören des Datenverkehrs verstanden. Dabei werden oft Passwörter, die nicht oder nur sehr schwach verschlüsselt sind, abgefangen. Andere Angreife bedienen sich dieser Methode um rausfinden zu können, welche Teilnehmer über welche Protokolle miteinander kommunizieren. Mit den so erlangten Informationen können die Angreifer dann den eigentlichen Angriff starten
Social Engineering
Als „Social Engineering“ werden alle Angriffe auf Informationssysteme bezeichnet, bei denen die Nutzer dieser Systeme durch psychologische Tricks manipuliert werden. Ziel dieser Angriffe ist es, den Mitarbeitern interne und mitunter sensible Informationen zu entlocken. Dabei ist der persönliche Kontakt zwischen Täter und Opfer nicht zwingend erforderlich, auch der Versand von z.B. Phishing-Mails zählt zu den gängigen Methoden des Social Engineering.
Zusammenfassung
Angriffe auf Passwörter erfolgen über automatisiertes Ausprobieren, oder durch Sicherheitslücken in Systemen.
Quellen
https://www.security-insider.de/was-ist-ein-brute-force-angriff-a-677192/
https://www.datenschutzbeauftragter-info.de/die-8-haeufigsten-angriffe-auf-die-sicherheit/
http://motor-traffic.de/news.php?newsid=437275
