Es handelt sich um eine gezielte Form eines Brute-Force-Angriffs, bei dem Wörterbuch-Angriffe über Listen mit gängigen Wörtern, Phrasen und durchgesickerten Passwörtern durchgeführt werden, um Zugang zu Konten zu erhalten. [...]
Definition eines Wörterbuchangriffs
Ein Wörterbuchangriff ist eine Brute-Force-Technik, bei der Angreifer gängige Wörter und Ausdrücke, z. B. aus einem Wörterbuch, durchlaufen, um Passwörter zu knacken. Die Tatsache, dass Menschen oft einfache, leicht zu merkende Passwörter über mehrere Konten hinweg verwenden, bedeutet, dass Wörterbuchangriffe erfolgreich sein können und gleichzeitig weniger Ressourcen zur Ausführung benötigen.
„Ein Wörterbuchangriff ist eine Art Brute-Force-Angriff, aber er verwendet eine vordefinierte Liste von Passwörtern, die eine höhere Erfolgswahrscheinlichkeit hat“, erklärt Deral Heiland, IoT-Forschungsleiter bei Rapid7. „Diese Wörterbuchliste könnte z.B. Namen von regionalen Sportmannschaften, Namen von Mannschaftsmitgliedern, Namen im Zusammenhang mit dem betroffenen Unternehmen, häufig verwendete Passwörter, die oft ‚Frühling‘, ‚Sommer‘, ‚Winter‘ und ‚Herbst‘ enthalten, sowie Variationen all dieser Passwörter enthalten, die modifiziert wurden, um die Passwortanforderungen zu erfüllen.
Was ist der Unterschied zwischen Wörterbuch- und Brute-Force-Angriffen?
Während bei traditionellen Brute-Force-Angriffen jede mögliche Kombination systematisch versucht wird, um die Authentifizierungskontrollen zu durchbrechen, wird bei Wörterbuchangriffen eine große, aber begrenzte Anzahl vorgewählter Wörter und Sätze verwendet. Wenn nicht jede mögliche Kombination durchlaufen wird, verringert sich die Wahrscheinlichkeit, dass ein schwieriges Passwort richtig erraten wird, aber ein Wörterbuchangriff erfordert weniger Zeit und Ressourcen zur Ausführung.
„Eine Passwort-Wörterbuchliste wird normalerweise speziell für das anvisierte Ziel erstellt“, so Heiland. „Wenn die Zielorganisation zum Beispiel London Widgets mit Sitz in London hieße, dann würde die vordefinierte Zielliste Variationen von Wörtern enthalten, die möglicherweise mit dem angegriffenen Unternehmen und dem Londoner Gebiet oder regionalen Themen wie ‚Westminster‘, ‚ChelseaFC1990‘, ‚SouthBank2020‘ oder ‚CityOfLondon2020‘ zu tun haben.
Viele Tools, die für Wörterbuchangriffe verwendet werden, umfassen gebräuchliche Passwörter, die aus online durchgesickerten Sicherheitsverletzungen stammen, und gebräuchliche Varianten bestimmter Wörter und Phrasen, wie z.B. die Ersetzung von „a“ durch „@“ oder das Hinzufügen von Zahlen am Ende der Passwörter.
Was die Bedrohungsakteure tun, sobald sie Zugang zu einem Konto haben, hängt von ihrem beabsichtigten Ziel ab und davon, wie viel Zugang das Konto bieten kann, könnte aber auch den Diebstahl von persönlichen Daten, Zahlungsinformationen oder geistigem Eigentum oder die Durchführung weiterer Angriffe auf ein Unternehmen beinhalten. „Das Endziel besteht darin, gegen das Unternehmen vorzugehen, Rechte zu eskalieren und sich lateral zu bewegen, um schließlich kritische Informationen wie personenbezogene Daten (PII) und Finanzdaten zu kompromittieren“, so Heiland.
Wie erfolgreich sind Wörterbuchangriffe?
Die Tatsache, dass Menschen Passwörter oft wiederverwenden, die bevorzugten Passwörter leicht variieren und sie im Zuge von Verletzungen nicht ändern, bedeutet, dass diese Art von Angriffen leicht auszuführen sein kann und bei genügend Zeit und entsprechenden Versuchen wahrscheinlich erfolgreich sein wird. Der DBIR-Bericht (Verizon Data Breach Investigations Report 2019) legt nahe, dass gestohlene und wiederverwendete Zugangsdaten in 80% der Hackerangriffe verwickelt sind.
„Passwort“, „12345“ und „QWERTY“ stehen seit Jahren ganz oben auf der Liste der gestohlenen Passwörter, was zeigt, dass die Leute trotz wiederholter Hinweise gerne immer wieder schlechte Passwörter verwenden, die von Angreifern leicht erraten werden können. Auch Tastatureingaben, gebräuchliche Namen, Tiere und einfache Phrasen wie ‚iloveyou‘ und ‚letmein‘ erscheinen regelmäßig auf solchen Listen. Das National Cyber Security Centre (NCSC) Großbritanniens hat vor kurzem einen Blog veröffentlicht, in dem Fußballfans gebeten werden, ihre Lieblingsteams nicht als Passwörter zu verwenden, da Teamnamen oft auf Passwortlisten erscheinen.
Laut dem Balbix State of Password Use Report 2020 verwenden etwa 99% der Nutzer Passwörter wieder, und der durchschnittliche Nutzer hat etwa acht Passwörter, die er sich zwischen Konten teilt, sowohl zwischen Arbeits- und Privatkonten als auch innerhalb verschiedener interner Firmenkonten. Die von Security.org durchgeführte Umfrage zu Online-Passwortstrategien ergab, dass fast 70 % der Befragten bei der Erstellung neuer Passwörter an bestehenden Passwörtern feilen. Der State of Password and Authentication Security Behaviors Report 2019 von Yubico and Ponemon fand heraus, dass 69% der Teilnehmer ihre Passwörter mit anderen am Arbeitsplatz teilen. Es wurde auch festgestellt, dass etwas mehr als die Hälfte ihr Passwortverhalten nach einem Vorfall nicht ändert.
„Aus persönlicher Erfahrung bei der Durchführung bezahlter Sicherheitsbeurteilungen weiß ich, dass ich Hunderte von Unternehmen mit [Wörterbuchangriffen] kompromittiert habe“, sagt Heiland.
Wie man sich gegen Wörterbuchangriffe verteidigt
Angesichts der Tatsache, dass Wörterbuchangriffe auf Wörtern beruhen, die häufig als Passwörter verwendet werden, ist eine gute Passwortrichtlinie eine starke Verteidigung dagegen. Ermutigen Sie die Benutzer, einzigartige Passwörter – idealerweise eine Kombination aus zufälligen Wörtern mit Symbolen und Zahlen – zu erstellen, sie nicht wiederzuverwenden oder weiterzugeben, und stellen Sie sicher, dass sie im Falle eines Angriffs geändert werden. Passwortverwalter bieten eine automatisiertere Möglichkeit, sichere Passwörter aufzubewahren, ohne dass sich die Benutzer sie merken müssen.
„Eine der besten Methoden, den Erfolg dieses Angriffsstils zu verringern, ist es, die Leute zu schulen, von kurzen Passwörtern abzurücken und mit Passphrasen zu beginnen“, rät Heiland. „Passphrasen sind oft leicht zu merken und praktisch unmöglich zu erraten. Wenn man z.B. eine Passphrase wie ‚Ich möchte Cricket für England spielen‘ auswählt und sie dann nach dem Zufallsprinzip mit Großbuchstaben, Zahlen oder Sonderzeichen ändert: ‚! want TO play cr1cket 4 Engl4nd$,'“.
„Eine weitere Verbesserung, die ich oft empfehle, ist, sicherzustellen, dass die Benutzernamen nicht mit der Syntax der E-Mail-Adressen übereinstimmen“, sagt Heiland.
Weitere Kontrollen zur Eindämmung dieser Probleme sind
- Richten Sie, wenn möglich, eine Multi-Faktor-Authentifizierung ein.
- Verwenden Sie biometrische Daten anstelle von Passwörtern.
- Beschränken Sie die Anzahl der zulässigen Versuche innerhalb einer bestimmten Zeitspanne.
- Erzwingen Sie das Zurücksetzen des Kontos nach einer bestimmten Anzahl fehlgeschlagener Versuche.
- Begrenzen Sie die Geschwindigkeit der Kennwortannahme, um die Zeit und die Ressourcen zu erhöhen, die Angreifer benötigen, um das Kennwort zu erraten.
- Captchas einschließen, um automatische Anmeldeversuche zu verhindern.
- Stellen Sie sicher, dass die Passwörter verschlüsselt sind, damit sie weniger wahrscheinlich durchsickern können.
- Schränken Sie die Verwendung gängiger Wörter oder Passwörter ein. Das NCSC veröffentlicht eine Liste der gebräuchlichen Passwörter, die nicht erlaubt sein sollten.
*Dan Swinhoe schreibt unteranderem für CSOonline.com.
Be the first to comment