IT-Sicherheitsexperten sind sich einig: Die Zeiten, in denen sich Unternehmen auf traditionelle Passwörter verlassen konnten, sind längst vorbei. Sicherere Zugangskontrollmethoden wie Multi-Faktor-Authentifizierung, Biometrik und Single Sign-on sollten stattdessen den Status quo definieren. Und doch zeigt ein Blick auf den aktuellen "Data Breach Investigations Report" von Verizon, dass 81 Prozent aller Hackerangriffe in Zusammenhang mit gestohlenen oder unsicheren Passwörtern stehen.
Foto: r.classen - shutterstock.com
Werfen wir also zunächst einen Blick auf die Passwort-Hacking-Techniken, die Cyberkriminelle anwenden. Dabei macht es einen großen Unterschied, ob das Ziel ein Unternehmen, eine Einzelperson oder die breite Öffentlichkeit ist. Das Resultat ist aber meistens dasselbe: Der Hacker gewinnt.
Aus Hashfile mach‘ Passwort
Wenn alle Passwörter eines Unternehmens in einem Rutsch geknackt werden, liegt das im Regelfall daran, dass ein Passwort-File gestohlen wurde. Es gibt Firmen, die die Passwörter in Klartext-Listen vorhalten. Unternehmen, die auf IT-Security Wert legen, wandeln sie zuvor in Hash-Dateien um. Die werden genutzt, um Passwörter unter anderem in Domain Controllern, Enterprise-Authentication-Plattformen und der Active Directory abzusichern.
Inzwischen gelten diese Hash-Files (auch wenn sie "gesalzen" wurden) nicht mehr als sicher. Eigentlich soll ein solches File ein Passwort unkenntlich machen. Um das Passwort zu verifizieren, wird der eingegebene Wert unkenntlich gemacht und anschließend mit dem zuvor abgespeicherten Hash-Wert verglichen.
Kriminelle Hacker, denen ein so "gehashtes" Passwort in die Hände fällt, nutzen sogenannte Regenbogentabellen, um die Hash-Werte wieder lesbar zu machen. Oder sie kaufen einfach Spezial-Hardware für Password Cracking ein, mieten sich bei großen Public-Cloud-Providern wie AWS oder Microsoft ein oder bauen beziehungsweise mieten Botnetze, um den Rechenaufwand zu stemmen. Wenn ein krimineller Hacker kein Experte für Passwort-Cracking ist, kann er die unliebsame Aufgabe auch einfach outsourcen, wie Brian Contos, CISO bei Verodin, erklärt: "Diese Services lassen sich stunden-, tage- oder wochenweise buchen - im Regelfall gehört auch Support zum Paket. In diesem Bereich ist eine massive Spezialisierung zu beobachten."
Das Resultat: Der Zeitaufwand, der nötig ist, um ein Passwort (auch eines, das nach früheren Maßstäben als sicher galt) in Hash-Form zu knacken, beträgt nicht mehr Millionen von Jahren. "Basierend auf meinen Erfahrungswerten darüber, wie Menschen Passwörter wählen, würde ich sagen, dass 80 bis 90 Prozent davon in weniger als 24 Stunden zu knacken sind. Wenn man genug Zeit und Ressourcen hat, ist jedes Passwort zu cracken. Die Frage ist nur, ob es Stunden, Tage oder Wochen dauert", meint der Sicherheitsspezialist.
Das gilt übrigens ganz besonders für Passwörter, die einem menschlichen Gehirn entsprungen und nicht per softwaregesteuertem Zufallsgenerator entstanden sind. Eine Passphrase (oder ein längeres Passwort) sei laut dem CISO zwar für Nutzer eine gute Sache, könne aber kein Ersatz für echte Multi-Faktor-Authentifizierung sein. Besonders praktisch ist für kriminelle Hacker bei der "Arbeit" mit gehashten Passwörtern übrigens, dass das Cracking ausschließlich auf dem eigenen Rechner vorgenommen wird. Übergangspasswörter, die an E-Mail-Accounts oder Applikationen getestet werden müssen, sind in diesem Fall überflüssig.
Wie einfach Password Cracking mit dem richtigen Equipment wirklich ist, weiß Justin Angel, Security-Forscher bei CoalfireLabs: "Wir nutzen Hashcat und eine dedizierte ‚Cracking-Maschine‘, die über mehrere GPUs verfügt. Es ist nicht ungewöhnlich, dass wir damit über Nacht tausende von Passwörtern knacken."
Botnets für den Mainstream-Angriff
Für Angriffe auf große öffentliche Webseiten nutzen kriminelle Hacker Botnetze, um verschiedene Username-Passwort-Kombinationen zu testen. Dabei nutzen sie gestohlene Login-Daten von anderen Seiten oder arbeiten eine Liste mit gängigen und beliebten Passwörtern ab. Diese Listen sind teilweise sogar frei zugänglich, wie Software-Unternehmer Philip Lieberman erzählt: "Es gibt diese Listen kostenlos oder gegen eine kleine Gebühr. Darin enthalten sind ungefähr 40 Prozent der Login-Informationen aller Internetnutzer weltweit. Große Hackerangriffe in der Vergangenheit - wie der auf Yahoo - haben dazu geführt, dass große Datenbanken entstanden sind, die Cyberkriminelle nutzen können."
Zwar sind auf diesen Listen bereits kompromittierte Login-Daten zu finden - das tut dem Erfolg der Cracker jedoch keinen Abbruch: "Sogar nach einem Hackerangriff ändern viele Nutzer ihr Passwort nicht", benennt Roman Blachman, CTO bei Preempt Security das Problem.
Will sich ein Cyberkrimineller beispielsweise Zugang zu einem Bankkonto verschaffen, wird die mehrmalige Nutzung falscher Zugangsdaten dazu führen, dass weitere Security-Maßnahmen und -Alerts in Gang gesetzt werden. Also gehen die Hacker wie folgt vor: Sie nehmen zwei Listen her - eine mit bekannten E-Mail-Adressen und eine mit den meistgenutzten Passwörtern. Damit versuchen sie, sich mit jeder einzelnen E-Mail-Adresse und einem Passwort ihrer Wahl einzuloggen. So kommt auf jedes Konto maximal nur ein fehlgeschlagener Login. Waren die Cracker nicht erfolgreich, warten sie ein paar Tage und probieren dann das nächste Passwort auf der Liste. Und auch sonst sind die Hacker mit allen Wassern gewaschen, wie Lance Cotrell von Ntrepid weiß: "Sie können auch ein Botnet nutzen, um so der Ziel-Webseite vorzugaukeln, dass die Login-Versuche nicht von einer einzigen Quelle ausgehen."
Die Industrie hat sich des Problems bereits angenommen: Die Nutzung von Drittanbietern wie LinkedIn, Facebook oder Google zur Authentifizierung hilft dabei, die Anzahl der Passwörter, die sich ein Nutzer merken muss, zu reduzieren. Sowohl unter Cloud-Providern, als auch bei Finanzdienstleistern und im Einzelhandel setzt sich zudem zunehmend die Zwei-Faktor-Authentifizierung durch.
Auch in Sachen allgemein gültige Standards bewegt sich etwas. Im Juni 2017 veröffentlichte NIST eine neue Version seiner "Digital Identity Guidelines". Die FIDO-Allianz arbeitet derzeit ebenfalls daran, starke Authentifizierungs-Standards zu promoten. Neben diesen Standards gibt es auch einige neue Technologien wie "Behavioral Biometrics" oder Gesichtserkennung, die die Sicherheit von Consumer-Webseiten und mobilen Apps zuträglich sein können.
Wurde Ihr Passwort gestohlen?
Wollen kriminelle Hacker eine Einzelperson ins Visier nehmen, überprüfen sie erst einmal, ob deren Login-Daten bereits auf anderen Seiten gestohlen wurden. Das hat einen guten Grund, wie Gary Weiss von OpenText erklärt: "Der LinkedIn-Hack vor einigen Jahren ist das beste Beispiel, warum dieses Vorgehen Sinn macht. Hacker hatten das Passwort von Mark Zuckerberg gestohlen und konnten sich damit auch auf anderen Plattformen einloggen, weil der Facebook-CEO dieses offensichtlich mehrfach verwendete."
Wie der Sicherheitsanbieter Dashlane in einer Untersuchung anlässlich des World Password Day 2017 herausgefunden hat, besitzt der durchschnittliche deutsche Internetuser satte 78 Online-Accounts, für die nur ein einziges Passwort benötigt wird. Dabei befinden sich die Deutschen noch im unteren Mittelfeld: Ein US-Amerikaner bringt es im Schnitt etwa auf 150 Online-Konten, ein Franzose auf 127 und ein Brite auf 113. Dashlane geht davon aus, dass sich die Zahl der Passwort-geschützten Accounts bis zum Jahr 2022 noch einmal verdoppeln wird. Keine guten Aussichten, denn laut Dashlane-CEO Emmanuel Schalit ist in Sachen Passwort ein unheilbringende Ente in Umlauf: "Es ist eine gängige Annahme, dass man nur ein einziges kompliziertes Passwort braucht und damit sicher ist. Das ist absolut falsch. Denn wenn ein Hack bekannt wird, ist das komplizierte Passwort bereits kompromittiert - und damit auch alle anderen."
Vielleicht haben Sie also ein wirklich gutes Passwort für Ihr Online-Banking gewählt. Was aber nichts nützt, wenn Ihr Gmail-Konto (das zum Zurücksetzen des Passworts verwendet wird) unzureichend abgesichert ist. Wenn ein krimineller Hacker einmal Zugang zu einem E-Mail-Konto hat, wird er darüber versuchen, alle anderen Passwörter zurückzusetzen. Wird die Zahl der Login-Versuche durch eine Website oder eine interne Unternehmens-Applikation nicht limitiert, setzen die Cyberkriminellen auf eine Brute-Force-Attacke und versuchen das Passwort mit Hilfe besagter Listen und Cracking-Tools wie "John The Ripper", "Hashcat" oder "Mimikatz" zu knacken.
In den Untiefen des Darknets gibt es inzwischen natürlich auch kommerzielle Services, die in diese Richtung gehen. Dabei kommen zwar in der Regel Algorithmen zum Einsatz, aber auch diesen Service-"Anbietern" haben die großen Leaks der vergangenen Jahre in die Hände gespielt.
Ob Ihr Passwort, beziehungsweise Account bereits kompromittiert wurde, überprüfen Sie zum Beispiel hier.
Wie sicher ist Ihr Passwort?
Viele Webseiten sind ziemlich lausig, wenn es darum geht, die User über die Stärke ihres Passworts aufzuklären. In der Regel werden dabei Standards an den Tag gelegt, die alles andere als up to date sind - etwa die Mindestlänge von acht Zeichen, ein Mix aus Groß- und Kleinbuchstaben oder Symbolen und Zahlen. Vorsicht sollten Sie jedoch walten lassen, wenn Sie die Stärke eines Passworts im Netz prüfen möchten: "Es ist die wohl schlechteste Idee der Welt, auf eine x-beliebige Webseite zu gehen und dort sein Passwort einzugeben, um zu sehen, ob es sicher ist", zeigt sich Lance Cotrell entrüstet.
Sichere Anlaufstellen für dieses Unterfangen sind zum Beispiel:
Für die meisten User ist ein erhebliches Problem, für jede Webseite ein eigenes, sicheres, einzigartiges Passwort zu verwenden, das sie sich auch noch merken können.
"Eine Faustregel besagt: Wenn Sie es sich merken können, ist es kein gutes Passwort", meint Cottrell. Der Experte rät deswegen dazu, ein generisch erzeugtes Passwort mit der maximal möglichen Länge zu verwenden, das in einem sicheren Passwort-Management-System abgelegt wird. Was das Master-Passwort hierfür angeht, hat Cottrell ebenfalls einen Tipp auf Lager: "Wählen Sie eine lange Passphrase, die so obszön wie nur irgend möglich ist. Das verringert gleichzeitig die Chancen, dass sie es irgendwann einmal jemandem verraten. Eine Passphrase mit 30 Zeichen ist nahezu unmöglich mit einer Brute-Force-Attacke zu knacken."
Geht es um die Passwörter für Webseiten und Applikationen, seien 20 Zeichen eine gute Länge, meint Cyril Leclerc, Head of Security bei Dashlane. Aber nur unter bestimmten Voraussetzungen: "Cracker können 20-stellige Passwörter, die von Menschen erdacht wurden, knacken. Bei zufällig generierten Passwörtern sieht das anders aus. Sogar mit einem Computer, der direkt aus der Zukunft stammt und über unendliche Rechenpower verfügt, würde ein Hacker ein astronomisch langes Zeitfenster brauchen, um nur ein einziges Passwort auf diese Weise zu knacken."
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.