VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Hacker PasswortIn den vergangenen Tagen waren Hacker, die sich auf den Diebstahl von Kundendaten spezialisiert haben, wieder besonders aktiv. Das in Ottobrunn bei München ansässige Software-Unternehmen ArchiCrypt zeigt, wie leicht es für Cyberkrimielle ist, an vertrauliche Kundeninformationen zu kommen.

 Zumindest dann, wenn Firmen mit den Daten ihrer Kunden allzu sorglos umgehen...

Im Darknet werden permanent Millionen gestohlener Zugangsdaten angeboten. Aktuell kann man zum Beispiel Zugangsdaten von LinkedIn-, Badoo- und Twitter-Nutzern erwerben. Obwohl diese und auch andere Dienste die Passwörter mitsamt dem Anmeldenamen im Regelfall nur als Hashwert in einer Datenbank speichern, ist es für Cyberkriminelle ein Leichtes, aus diesen Werten das Passwort zu rekonstruieren.

Um zu verdeutlichen, wie leicht das in der Praxis wirklich ist, hat ArchiCrypt das kleine Tool ArchiCrypt Passwort Cracker entwickelt. Das Programm demonstriert, wie Hacker mit Hilfe von sogenannten Wörterbüchern, also Sammlungen von potenziellen Passwörtern, die im Internet frei verfügbar sind und einfach heruntergeladen werden können, an Passwörter kommen.

Passwort Cracker

Das Tool zeigt, wie für jeden im Wörterbuch vorhandenen Eintrag der zugehörige Hashwert berechnet werden kann. Danach wird überprüft, ob der Hashwert in der Liste der gestohlenen Nutzerdaten vorhanden ist. Ist ein identischer Hashwert vorhanden, ist das Passwort gecrackt. Das Passwort wird nun als Klartext angezeigt. Mit dem Tool Passwort Cracker kann man natürlich keine echten Passwörter cracken. Es dient nur als Demonstrationsprogramm, um die grundsätzliche Arbeitsmethode von Hackern zu zeigen. Ausführliche Informationen und Tipps, wie man sich gegen Datendiebstahl wehren kann, bekommen Anwender außerdem in dem ArchiCrypt-Video "Wie wird ein Passwort gecrackt".

Da Hacker diese Art der Anfragen parallelisieren, können sie eine riesige Anzahl von Hashwerten in kürzester Zeit berechnen. Mit einem leistungsfähigen Mehrkernprozessor oder einem Rechnerverbund lassen sich viele Millionen von Berechnungen zeitgleich durchführen. Da die Hashwerte sich nicht ändern, lassen sich diese Berechnungen speichern und jederzeit wiederverwenden. Das spart beim nächsten Angriff jede Menge Zeit.

Im Prinzip sind Dienste-Anbieter gegen Hacker-Angriffe nicht wirklich geschützt. Die eingesetzte Software ist so komplex, dass sie niemals fehlerfrei sein kann. Diese Fehler nutzen Hacker aus, um Zugriff auf die Nutzerdaten zu bekommen.

Trotzdem kann die Rekonstruktion von Passwörtern aus den entwendeten Daten wirksam verhindert werden. Dafür muss der Dienste-Anbieter dafür sorgen, dass die Berechnung eines Hashwerts so zeitintensiv wird, dass sich der Aufwand für den Angreifer nicht mehr lohnt. Lange bekannt ist das so genannte SALT-Verfahren. Bei diesem Verfahren wird für jeden Account ein zusätzlicher, zufälliger Wert erzeugt, der dem Passwort beigefügt wird. Erst danach wird der Hashwert berechnet. Theoretisch lassen sich auch daraus Passwörter berechnen, der Zeitaufwand ist jedoch astronomisch hoch.

Nutzer können ebenfalls ihren Beitrag dazu leisten, dass Hacker gar nicht erst an ihre Daten kommen bzw. der Schaden begrenzt wird. Dazu gehört:

1) Niemals dasselbe Passwort für unterschiedliche Accounts nutzen

Anwender haben keinen Einfluss darauf, was der Dienste-Anbieter mit dem Passwort macht. Theoretisch könnte er es auch im Klartext abspeichern. Damit im Falle eines Diebstahls nicht alle Konten betroffen sind, sollte man für jeden Account ein anderes Passwort nutzen.

2) Niemals Passwörter verwenden, die lexikalische Begriffe enthalten

Durch die Zuhilfenahme von Wörterbüchern lassen sich Passwörter, die lexikalische Begriffe enthalten, leicht rekonstruieren. Das gilt auch dann, wenn dem Begriff Zahlen und Sonderzeichen hinzugefügt werden. Das Passwort 8a110n ist also ähnlich leicht zu knacken wie das Passwort Ballon.

3) Passwörter mindestens alle 3 Monate ändern

Ein Diebstahl von Passwörtern bleibt nicht selten unentdeckt oder wird erst sehr spät entdeckt. Mit einer regelmäßigen Änderung seiner Passwörter kommt man Hackern mit etwas Glück zuvor.

Einen Großteil der Arbeit kann Anwendern dabei ein Passwort-Manager wie ArchiCrypt Passwort Safe abnehmen. Mit dem Programm lassen sich Passwörter übrigens nicht nur verwalten und sicher verschlüsselt auf der Festplatte abspeichern. Das Programm informiert auch beim Bekanntwerden eines Datendiebstahls über gefährdete Einträge und zeigt, welche Passwörter schleunigst geändert werden sollten. Passwort Safe lädt dafür bei jedem Start eine kleine Datenbank vom ArchiCrypt-Server, die Informationen über gehackte Internet-Dienste enthält. Die Datenbank wird von ArchiCrypt ständig aktualisiert. Beim Öffnen des Passwort Safes werden nun alle Einträge überprüft. Sobald das Programm einen potenziell gefährdeten Eintrag findet, erscheint in der Programmoberfläche eine entsprechende Warnmeldung.

Weitere Informationen:

Die Freeware ArchiCrypt Passwort Cracker (lauffähig ohne Installation) können Sie hier herunterladen.

Informationen zum ArchiCrypt Passwort Safe bekommen Sie hier.

Ein ausführliches Video zum Thema "Wie wird ein Passwort gecrackt" gibt es hier:

 

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt