So knacken Hacker heutzutage Passwörter

Im vergangenen Jahr handelte es sich bei 69 Prozent aller Spam-Mails um Cyberangriffe, so berichtet der BSI Lagebericht 2022. Diese Zahl zeigt, wie groß das Risiko ist, Opfer einer Cyber-Attacke zu werden. [...]

Foto: GerdAltmann/Pixabay

Und, dass Hacker es auf Einzelpersonen abgesehen haben. Genau genommen auf deren Passwörter, um Zugriff auf persönliche Informationen oder Unternehmensdaten zu erhalten. Zum Glück kann man sich gegen Cyberangriffe wehren – wenn man weiß, mit welchen Methoden Hacker heutzutage arbeiten.

Der moderne Hacker

Der stereotypische Hacker ist ein Einzelkämpfer, der im schwarzen Hoodie vor einem selbst zusammengebauten PC am Schreibtisch sitzt und einen Code nach dem anderen durchkämmt, auf der Suche nach einer Schwachstelle im System, die er angreifen kann.

Doch diese Vorstellung hat mit der Realität oft nichts mehr gemein: Wenn in den Nachrichten von Cyberangriffen auf Organisationen, Unternehmen oder Privatpersonen die Rede ist, steckt dahinter meist die ausgeklügelte Strategie eines professionell organisierten Teams an Cyberkriminellen.

Deren Ziel ist es nicht, das IT-Sicherheitssystem ihrer Opfer mit Hilfe ihrer eigenen Codierungsexpertise zu durchdringen. Vielmehr wissen Cyberkriminelle heutzutage, wie man viel einfacher Sicherheitssysteme knacken kann: indem man lernt, die Schwächen der menschlichen Psyche auszunutzen.

Dabei ist das Ziel der Hacker, durch verschiedene Tricks die Passwörter von (möglichst vielen) Einzelpersonen zu knacken. Diese gewähren den Kriminellen Zugriff – nicht nur auf persönliche Daten, sondern auch auf IT-Systeme von Unternehmen und Organisationen.

Die folgenden drei Methoden wenden Cyberkriminelle am häufigsten an, um Passwörter zu knacken.

Social Engineering und Phishing

Beim Social Engineering wird die Psyche der Internetnutzenden manipuliert, indem menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Respekt vor Autorität oder Angst ausgenutzt werden. So werden die Opfer von Social Engineering dazu verleitet, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen oder Schadsoftware zu installieren.

Beim Phishing, der bekanntesten Form des Social Engineerings, sollen Personen durch meist sehr echt wirkende E-Mails dazu gebracht werden, auf einen Link zu klicken. Dieser bringt sie auf eine ebenso echt wirkende gefälschte Website, wo sie ihre Anmeldeinformationen eingeben sollen.

Um Zugriff auf möglichst viele Anmeldeinformationen zu haben, versenden Cyberkriminelle bei Phishing Attacken massenweise E-Mails. Ihr Erfolg hängt letztendlich davon ab, wie gut die Attacke getarnt ist und wie einfach das Opfer in die Falle tappt.

Besonders bei Unternehmensmitarbeitenden haben die Angreifer häufig einfaches Spiel, denn viele sind müde, gestresst, ausgebrannt und vor allem: nicht ausreichend aufgeklärt. Deshalb sind sie nicht wachsam genug und fallen somit leichter auf eine Social Engineering-Attacke herein. Zudem verfügt nicht jedes Unternehmen über ein IT-Sicherheitssystem, das solchen Attacken standhalten kann.

Man kann sich jedoch vor Social Engineering-Angriffen schützen, indem man folgende Tipps befolgt:

  • Bei E-Mails auf typische Anzeichen achten, wie zum Beispiel seltsame Links, eine ungewohnt auffordernde Ansprache oder unbekannte Absenderadressen
  • Nicht im Affekt auf E-Mails reagieren, die zu einer sofortigen Handlung drängen
  • Im Zweifel den oder die Absender:in separat kontaktieren, um sicherzugehen, dass es sich um eine legitime E-Mail handelt
  • Starke, einzigartige Passwörter verwenden
  • 2-Faktor-Authentifizierung aktivieren, um ihren Online-Konten eine zweite Sicherheitsebene hinzuzufügen
  • Warnungen zu ungewöhnlichen Anmeldeversuchen ernst nehmen und überprüfen

Credential Stuffing

Beim Credential Stuffing nutzen Hacker den Fakt, dass es online mittlerweile eine enorme Menge an Daten gibt, die durch Datenleaks in Umlauf geraten sind. Diese werden mithilfe von spezialisierter Software im großen Umfang für die Anmeldung bei beliebten Webdiensten verwendet.

Dabei wird davon ausgegangen, dass Internetnutzende ihre Passwörter mehrfach verwenden – eine häufig korrekte Annahme, die auf menschlicher Bequemlichkeit und Vergesslichkeit beruht. Und oft genug angewendet ist diese Methode auch gefährlich erfolgreich.

Internetnutzende können nicht dagegen tun, dass ihre Daten geleaked werden wenn ein Webdienst, wie kürzlich Facebook und Whatsapp, eine Datenpanne erleidet.

Was sie aber tun können, ist für jeden Account ein starkes, einzigartiges Passwort zu erstellen und dieses regelmäßig zu wechseln, sodass ihre Accounts nicht durch Credential Stuffing gehackt werden können.

Brute Force- und Wörterbuchangriffe

Brute Force-Angriffe basieren auf Wortlisten, anhand derer Hacker Passwörter herauszufinden versuchen. Sie nutzen beispielsweise eine systematische Aneinanderreihung von Buchstaben, auf deren Basis jede mögliche Passwortkombination durchgespielt wird.

Ein Wörterbuchangriff ist ein spezieller Typ von Brute Force-Angriff, der noch fokussierter und effizienter ist: Es werden echte Wörter, zum Beispiel aus Datenleaks oder auch aus einem Wörterbuch verwendet. So können automatisierte Programme eine unendliche Anzahl an Usernamen- und Passwort-Kombinationen durchprobieren.

Viele Webseiten und Apps haben bereits Schutzmechanismen gegen solche Angriffe eingerichtet. Wird ein Passwort zu oft falsch eingegeben, wird mittlerweile meist automatisch der Zugriff auf den Account verweigert. Deshalb haben sich die Hacker bereits angepasst und Wörterbuchangriffe basieren zunehmend auf Listen aus gehashten Passwörtern.

Webseiten speichern Passwörter häufig in gehashter Form, das heißt sie werden beim Registrieren per Algorithmus in eine zufällige Buchstabenreihe verwandelt, sodass sie im Falle eines Datenleaks nicht einfach weiterverwendet werden können.

Um gehashte Passwörter dennoch für Wörterbuchangriffe zu nutzen, werden beliebte Passwörter durch häufig verwendete Hashing-Algorithmen geführt und das Ergebnis mit den geleakten, bereits gehashten Passwörtern verglichen. Und im Falle einer Übereinstimmung verwendet, um auf den entsprechenden Account zuzugreifen.

Um nicht Opfer eines Brute Force-Angriffs zu werden, können Internetnutzende einige Vorkehrungen treffen. Wie immer ist die Verwendung starker, einzigartiger Passwörter neben der Einrichtung einer Zwei-Faktor-Authentifizierung elementar.

Zusätzlich lässt sich die Anzahl der zulässigen Anmeldeversuche für jeden Account begrenzen. Wird das Passwort doch einmal kompromittiert, sollte es unbedingt schnellstmöglich geändert werden, bevor es von Cyberkriminellen verwendet werden kann.

Der Mensch ist die Zukunft der Cybersecurity

Heutzutage findet ein großer Teil unseres Lebens online statt. Deshalb ist es notwendig, auch online Maßnahmen zum Schutz von Personen und Unternehmen zu ergreifen. In Zeiten, in denen Cyberkriminelle zunehmend Einzelpersonen ins Visier nehmen und versuchen, ihre Schwächen auszunutzen, ist es essentiell, besonders Einzelpersonen online zu schützen.

Auch, um Unternehmen und Organisationen vor Cyberangriffen zu bewahren. Dabei ist ein Sicherheitsansatz von Vorteil, der die Tools und das Wissen bereitstellt, die Menschen brauchen, um online sicher zu agieren.

Zum Beispiel ein Passwortmanager wie 1Password, der starke, einzigartige Zugangsdaten automatisch erstellt, verwaltet und sichert.

*Alex Hoffmann ist Sales Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt.

powered by www.it-daily.net


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*