Unsichere Passwörter

Posted by admin under Hacken, Internet

Kürzlich habe ich den Artikel How I would hack your weak passwords, auf Deutsch “Wie ich unsichere Passwörter hacken würde”, gelesen und darüber nachgedacht ob ich eine Antwort auf diesen Artikel verfassen sollte. Wie man sieht habe ich mich dazu entschieden. Der Verfasser des Artikels beschreibt wie er vorgehen würde um sich Zugang zu den Passwörtern eines Nutzers zu beschaffen. Anfangen würde er mit den statistisch am Häufigsten verwendeten Passwörtern. Dazu versucht er so viele Informationen wie
möglich über das Ziel zu beschaffen um diese persönlichen Informationen verwenden zu können. Viele Nutzer vergeben nämlich persönliche Passwörter wie Geburtstage, Namen von Verwandten, Tieren sowie Hobbys.

Dieser erste Ansatz wird bei vielen Benutzern bereits zum Erfolg führen. Man sollte sich vor Augen halten, dass man mit einem herausgefundenen Passwort oft weitere Informationen und Passwörter bekommen kann. Findet man z.B. ein Passwort für einen E-Mail Zugang heraus kann man sich durch wiederholte Zusendung von Passwörtern von Internetseiten weiteren Zugang verschaffen. Falls diese Methode nicht zum Erfolg führt schlägt er vor Passwörter durch eine sogenannte Brute Force Attacke herauszufinden. Dabei schlägt er vor dies auf Seiten zu versuchen die keinen hohen Sicherheitsstandard haben. Schwierig wird diese Methode allerdings dadurch, dass man nun neben dem Passwort auch den Benutzernamen des Nutzers wissen oder herausfinden muss. Gut eignet sich diese Methode daher nicht um an die Passwörter eines bestimmten Nutzers zu kommen.

Die vorgestellten Brute Force Programme sind meiner Meinung nach vollkommen veraltet. Wwwhack zum Beispiel ist ein Program aus dem letzten Jahrtausend. Moderne Programme die man empfehlen kann sind unter anderem C-Force oder Sentry.

Es gibt zwei Möglichkeiten einen Account per Brute Force zu Leibe zu rücken. Die erste Methode würde eine sogenannte Dictionary Attacke durchführen. Dabei verwendete man eine Kombinationsliste von Benutzernamen und Passwörtern und arbeitet diese nach der Reihe ab. Die zweite Möglichkeit geht alle möglichen Zeichenkombinationen durch. Diese Methode kann durchaus mehrere Jahre oder sogar noch länger dauern.

Brute Forcing ist daher nicht wirklich eine Option. Außerdem vergisst der Autor zu erwähnen wie er an die Benutzernamen der User kommen möchte. Er verweist zwar auf Cookies aber das würde bedeuten dass er irgendwie Zugriff auf diese haben müsste. Entweder durch lokalen Zugriff auf dem Rechner oder einen Exploit, nicht wirklich eine praktikable Lösung.

Was können nun Nutzer von diesem Artikel lernen ?

  • Verwendet Passwörter nie mehrmals, es ist sicherer verschiedene Passwörter zu nutzen. Falls man nur ein Passwort verwendet würde das im Extremfall bedeuten dass jemand der dieses eine Passwort herausfindet Zugriff auf alle Systeme wo dieses Passwort verwendet worden ist haben wird.
  • Verwendet niemals Passwörter die einfach zu erraten sind. Keine Namen, Mannschaften, Verwandte, Tiere, Arbeit oder Hobbies.
  • Man sollte immer Nummern und Sonderzeichen mit einbinden sofern das möglich ist. Dies erhöht die Sicherheit eines Passworts zusätzlich. Die Länge spielt auch eine große Rolle.
  • Bei Problemen sich die Passwörter zu merken sollte man sie aufschreiben und am Besten verschlüsselt speicher. Dies kann zum Beispiel mit dem Open Source Programm True Crypt erreicht werden.
  • Jedes Passwort kann dazu benutzt werden weitere Information zu erhalten, daher ist es wichtig niemals unsichere leicht zu erratende Passwörter zu vergeben.
Tags: | | |

Leave a Reply

(c) 2005-2008 de.ghacks.net Privacy Policy