Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Hacker PasswortIn den vergangenen Tagen waren Hacker, die sich auf den Diebstahl von Kundendaten spezialisiert haben, wieder besonders aktiv. Das in Ottobrunn bei München ansässige Software-Unternehmen ArchiCrypt zeigt, wie leicht es für Cyberkrimielle ist, an vertrauliche Kundeninformationen zu kommen.

 Zumindest dann, wenn Firmen mit den Daten ihrer Kunden allzu sorglos umgehen...

Im Darknet werden permanent Millionen gestohlener Zugangsdaten angeboten. Aktuell kann man zum Beispiel Zugangsdaten von LinkedIn-, Badoo- und Twitter-Nutzern erwerben. Obwohl diese und auch andere Dienste die Passwörter mitsamt dem Anmeldenamen im Regelfall nur als Hashwert in einer Datenbank speichern, ist es für Cyberkriminelle ein Leichtes, aus diesen Werten das Passwort zu rekonstruieren.

Um zu verdeutlichen, wie leicht das in der Praxis wirklich ist, hat ArchiCrypt das kleine Tool ArchiCrypt Passwort Cracker entwickelt. Das Programm demonstriert, wie Hacker mit Hilfe von sogenannten Wörterbüchern, also Sammlungen von potenziellen Passwörtern, die im Internet frei verfügbar sind und einfach heruntergeladen werden können, an Passwörter kommen.

Passwort Cracker

Das Tool zeigt, wie für jeden im Wörterbuch vorhandenen Eintrag der zugehörige Hashwert berechnet werden kann. Danach wird überprüft, ob der Hashwert in der Liste der gestohlenen Nutzerdaten vorhanden ist. Ist ein identischer Hashwert vorhanden, ist das Passwort gecrackt. Das Passwort wird nun als Klartext angezeigt. Mit dem Tool Passwort Cracker kann man natürlich keine echten Passwörter cracken. Es dient nur als Demonstrationsprogramm, um die grundsätzliche Arbeitsmethode von Hackern zu zeigen. Ausführliche Informationen und Tipps, wie man sich gegen Datendiebstahl wehren kann, bekommen Anwender außerdem in dem ArchiCrypt-Video "Wie wird ein Passwort gecrackt".

Da Hacker diese Art der Anfragen parallelisieren, können sie eine riesige Anzahl von Hashwerten in kürzester Zeit berechnen. Mit einem leistungsfähigen Mehrkernprozessor oder einem Rechnerverbund lassen sich viele Millionen von Berechnungen zeitgleich durchführen. Da die Hashwerte sich nicht ändern, lassen sich diese Berechnungen speichern und jederzeit wiederverwenden. Das spart beim nächsten Angriff jede Menge Zeit.

Im Prinzip sind Dienste-Anbieter gegen Hacker-Angriffe nicht wirklich geschützt. Die eingesetzte Software ist so komplex, dass sie niemals fehlerfrei sein kann. Diese Fehler nutzen Hacker aus, um Zugriff auf die Nutzerdaten zu bekommen.

Trotzdem kann die Rekonstruktion von Passwörtern aus den entwendeten Daten wirksam verhindert werden. Dafür muss der Dienste-Anbieter dafür sorgen, dass die Berechnung eines Hashwerts so zeitintensiv wird, dass sich der Aufwand für den Angreifer nicht mehr lohnt. Lange bekannt ist das so genannte SALT-Verfahren. Bei diesem Verfahren wird für jeden Account ein zusätzlicher, zufälliger Wert erzeugt, der dem Passwort beigefügt wird. Erst danach wird der Hashwert berechnet. Theoretisch lassen sich auch daraus Passwörter berechnen, der Zeitaufwand ist jedoch astronomisch hoch.

Nutzer können ebenfalls ihren Beitrag dazu leisten, dass Hacker gar nicht erst an ihre Daten kommen bzw. der Schaden begrenzt wird. Dazu gehört:

1) Niemals dasselbe Passwort für unterschiedliche Accounts nutzen

Anwender haben keinen Einfluss darauf, was der Dienste-Anbieter mit dem Passwort macht. Theoretisch könnte er es auch im Klartext abspeichern. Damit im Falle eines Diebstahls nicht alle Konten betroffen sind, sollte man für jeden Account ein anderes Passwort nutzen.

2) Niemals Passwörter verwenden, die lexikalische Begriffe enthalten

Durch die Zuhilfenahme von Wörterbüchern lassen sich Passwörter, die lexikalische Begriffe enthalten, leicht rekonstruieren. Das gilt auch dann, wenn dem Begriff Zahlen und Sonderzeichen hinzugefügt werden. Das Passwort 8a110n ist also ähnlich leicht zu knacken wie das Passwort Ballon.

3) Passwörter mindestens alle 3 Monate ändern

Ein Diebstahl von Passwörtern bleibt nicht selten unentdeckt oder wird erst sehr spät entdeckt. Mit einer regelmäßigen Änderung seiner Passwörter kommt man Hackern mit etwas Glück zuvor.

Einen Großteil der Arbeit kann Anwendern dabei ein Passwort-Manager wie ArchiCrypt Passwort Safe abnehmen. Mit dem Programm lassen sich Passwörter übrigens nicht nur verwalten und sicher verschlüsselt auf der Festplatte abspeichern. Das Programm informiert auch beim Bekanntwerden eines Datendiebstahls über gefährdete Einträge und zeigt, welche Passwörter schleunigst geändert werden sollten. Passwort Safe lädt dafür bei jedem Start eine kleine Datenbank vom ArchiCrypt-Server, die Informationen über gehackte Internet-Dienste enthält. Die Datenbank wird von ArchiCrypt ständig aktualisiert. Beim Öffnen des Passwort Safes werden nun alle Einträge überprüft. Sobald das Programm einen potenziell gefährdeten Eintrag findet, erscheint in der Programmoberfläche eine entsprechende Warnmeldung.

Weitere Informationen:

Die Freeware ArchiCrypt Passwort Cracker (lauffähig ohne Installation) können Sie hier herunterladen.

Informationen zum ArchiCrypt Passwort Safe bekommen Sie hier.

Ein ausführliches Video zum Thema "Wie wird ein Passwort gecrackt" gibt es hier:

 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security