Leonard
Aus ProgrammingWiki
Inhaltsverzeichnis |
Definition Angriff auf Passwörter
Bei Passwortangriffen wird eine Schwachstelle in der Autorisierung des Systems ausgenutzt, kombiniert mit automatischen Passwortangriffstools, die das Erraten und Knacken von Passwörtern beschleunigen. Der Angreifer verwendet verschiedene Techniken, um auf die Anmeldeinformationen eines legitimen Benutzers zuzugreifen und diese offenzulegen und dann dessen Identität und Berechtigungen übernimmt.
Kombination und Länge des Passworts
In den folgenden Rechenbeispielen wird mit einer Generierung von 2 Milliarden Schlüsseln pro Sekunde gerechnet. Das entspricht der Geschwindigkeit eines sehr starken Einzelrechners.
Beim Erstellen eines Passworts stehen Ihnen in der Regel folgende Zeichen zur Verfügung:
Zahlen (10 verschiedene: 0-9) Buchstaben (52 verschiedene: A-Z und a-z) Sonderzeichen (32 verschiedene).
Die Anzahl möglicher Kombinationen errechnet sich mit folgender Formel:
Mögliche Kombinationen = mögliche Zeichenzahl Passwortlänge
1.= Wie viele Zeichen besitzt das Passwort
2.= Mögliche Kombinationen
3.= Benötigte Zeit zum Entschlüsseln
Bsp 1:
1. 5 Zeichen (3 Kleinbuchstaben,2 Zahlen)
2. 36 hoch 5= 60.466.176
3. 0,03 Sekunden
Bsp 2:
1. 8 Zeichen(4 Kleinbuchstaben,2 Sonderzeichen,2 Zahlen)
2. 68 hoch 8= 457.163.239.653.376
3. ca. 2,6 Tage
Bsp 3:
1. 12 Zeichen(3 Großbuchstaben,4 Kleinbuchstaben,3 Sonderzeichen,2 Zahlen)
2. 94 hoch 12= 475.920.314.814.253.376.475.136
3. ca. 7,5 Millionen Jahre
Arten von Passwortangriffen
Phishing-Angriffe
Phishing-Angriffe sind bei weitem die häufigste Form von Kennwortangriffen. Sie beinhalten eine Social-Engineering-Technik, bei der sich der Hacker als vertrauenswürdige Website ausgibt, indem er einen bösartigen Link schickt. Nachdem das Opfer angenommen hat, klickt es auf diesen Link und gibt dem Angreifer seine Kontodaten Preis. Neben dem Identitätsdiebstahl begünstigen Phishing-Angriffe auch Advanced Persistent Threats, indem sie es dem Angreifer ermöglichen, sich die Rechte eines internen Benutzers zu verschaffen und so unbemerkt tiefer gehende Komponenten des Systems zu kompromittieren. Bei Phishing-Angriffen verwenden die Angreifer in der Regel mehrere Methoden. Dazu gehören:
- DNS-Cache-Poisoning
- URL-Hijacking/Typosquatting
- Tabnabbing
- UI-Redressing/iFrame-Overlay
- Klon-Phishing
Brute-Force-Angriffe
Angriffe auf Passwörter, die sogenannten Brute-Force-Angriffe,werden von Hackern durchgeführt mithilfe einer Software die Zeichenkombinationen benutzt, um Passwörter rauszufinden.
Der Algorithmus ist sehr einfach und beschränkt sich auf das Ausprobieren möglichst vieler Zeichenkombinationen. Dabei verwendet der Angreifer normalerweise einen Hochleistungsrechner. Pro Sekunde werden dabei viele Kombinationen ausgetestet.
Die Methode wird in der Realität häufig erfolgreich eingesetzt, da viele Benutzer kurze Passwörter verwenden, die nur Zeichen des Alphabets beinhalten. Dadurch dauert es nicht zu lange um das Passwort zu erraten.
Dabei gibt es mehrere Arten von Brute-Force-Angriffe:
Einfache Brute-Force-Angriffe
Credential Stuffing
Hybride Brute-Force-Angriffe
Umgekehrte Brute-Force-Angriffe
Wörterbuch-Passwortangriffe
Bei dieser Angriffsmethode wird eine vordefinierte Liste von Wörtern verwendet, die mit hoher Wahrscheinlichkeit in einem bestimmten Zielnetzwerk als Kennwörter verwendet werden. Die vordefinierte Liste wird aus den Verhaltensmustern eines Website-Benutzers und aus Passwörtern erstellt, die aus früheren Datenverletzungen stammen.
Password-Spraying-Angriff
Bei dieser Art von Angriff versucht der Hacker, sich mit demselben Passwort bei verschiedenen Konten zu authentifizieren, bevor er zu einem anderen Passwort übergeht. Password-Spraying ist am effektivsten und erfolgreichsten, da die meisten Benutzer einfache und gleiche Passwörter festlegen und die Technik nicht gegen Sperrrichtlinien verstößt, da sie mehrere verschiedene Konten verwendet.
Keylogging
Bei einem Keylogging-Angriff installiert ein Hacker Überwachungs-Tools auf dem Computer des Benutzers, um die vom Benutzer eingegebenen Tasten heimlich aufzuzeichnen. Ein Keylogger zeichnet alle Informationen auf, die Benutzer in Eingabeformulare eingeben, und sendet sie dann an den böswilligen Dritten.
Schutz vor Brute-Force-Angriffen
Eine Möglichkeit, um sich gegen Brute-Force-Angriffe zur Wehr zu setzen, ist ein komplexes Master-Passwort zu verwenden, das entsprechend lang ist und aus einer Kombination aus Buchstaben, Sonderzeichen, Zahlen und Groß-/Kleinschreibung besteht. Je länger und komplexer ein Passwort ist, desto geringer die Wahrscheinlichkeit, dass die eingesetzte Software durch Zufall Ihre gewählte Kombination "errät". Dass sieht man vor allen Dingen an den oben gezeigten Rechenbeispielen.
Wenn Sie ein neues Passwort in Password Depot erstellen oder mithilfe des Passwort-Generators automatisch generieren lassen, wird Ihnen angezeigt, wie lange es ungefähr dauern würde, dieses Passwort zu knacken.
Eine weitere Möglichkeit, Brute-Force-Angriffen zu erschweren, ist, den Zeitraum zwischen zwei Login-Versuchen (nach der falschen Eingabe eines Passworts) entsprechend zu verlängern. Dadurch kann auch der Hochleistungsrechner eines Hackers, trotz der zahlreichen Berechnungen pro Sekunde, ausgebremst werden. Genau aus diesem Grund wird das Dialogfeld zur Eingabe des Passworts für einige Sekunden gesperrt, wenn Sie ein falsches Passwort eingegeben haben. Je öfter hintereinander ein falsches Passwort eingeben wird, desto länger wird diese Wartezeit.
Generell kann man sich mit 4 anderen Methoden schützen:
1. Durchsetzung strenger Kennwortrichtlinien
2. Unternehmensweite Schulungen zur Passwortsicherheit
3. Multifaktor-Authentifizierung
4. Verwendung des Passwort-Managers
Quellen
1. https://crashtest-security.com/de/passwortangriff/#definition-eines-passwortangriffs
2. https://www.password-depot.de/know-how/brute-force-angriffe.htm
