IT-Sicherheitsexperten sind sich einig: Die Zeiten, in denen sich Unternehmen auf traditionelle Passwörter verlassen konnten, sind längst vorbei. Sicherere Zugangskontrollmethoden wie Multi-Faktor-Authentifizierung, Biometrik und Single Sign-on sollten stattdessen den Status quo definieren. Und doch zeigt ein Blick auf den aktuellen "Data Breach Investigations Report" von Verizon, dass 81 Prozent aller Hackerangriffe in Zusammenhang mit gestohlenen oder unsicheren Passwörtern stehen.
Werfen wir also zunächst einen Blick auf die Passwort-Hacking-Techniken, die Cyberkriminelle anwenden. Dabei macht es einen großen Unterschied, ob das Ziel ein Unternehmen, eine Einzelperson oder die breite Öffentlichkeit ist. Das Resultat ist aber meistens dasselbe: Der Hacker gewinnt.
Aus Hashfile mach‘ Passwort
Wenn alle Passwörter eines Unternehmens in einem Rutsch geknackt werden, liegt das im Regelfall daran, dass ein Passwort-File gestohlen wurde. Es gibt Firmen, die die Passwörter in Klartext-Listen vorhalten. Unternehmen, die auf IT-Security Wert legen, wandeln sie zuvor in Hash-Dateien um. Die werden genutzt, um Passwörter unter anderem in Domain Controllern, Enterprise-Authentication-Plattformen und der Active Directory abzusichern.
Inzwischen gelten diese Hash-Files (auch wenn sie "gesalzen" wurden) nicht mehr als sicher. Eigentlich soll ein solches File ein Passwort unkenntlich machen. Um das Passwort zu verifizieren, wird der eingegebene Wert unkenntlich gemacht und anschließend mit dem zuvor abgespeicherten Hash-Wert verglichen.
Kriminelle Hacker, denen ein so "gehashtes" Passwort in die Hände fällt, nutzen sogenannte Regenbogentabellen, um die Hash-Werte wieder lesbar zu machen. Oder sie kaufen einfach Spezial-Hardware für Password Cracking ein, mieten sich bei großen Public-Cloud-Providern wie AWS oder Microsoft ein oder bauen beziehungsweise mieten Botnetze, um den Rechenaufwand zu stemmen. Wenn ein krimineller Hacker kein Experte für Passwort-Cracking ist, kann er die unliebsame Aufgabe auch einfach outsourcen, wie Brian Contos, CISO bei Verodin, erklärt: "Diese Services lassen sich stunden-, tage- oder wochenweise buchen - im Regelfall gehört auch Support zum Paket. In diesem Bereich ist eine massive Spezialisierung zu beobachten."
Das Resultat: Der Zeitaufwand, der nötig ist, um ein Passwort (auch eines, das nach früheren Maßstäben als sicher galt) in Hash-Form zu knacken, beträgt nicht mehr Millionen von Jahren. "Basierend auf meinen Erfahrungswerten darüber, wie Menschen Passwörter wählen, würde ich sagen, dass 80 bis 90 Prozent davon in weniger als 24 Stunden zu knacken sind. Wenn man genug Zeit und Ressourcen hat, ist jedes Passwort zu cracken. Die Frage ist nur, ob es Stunden, Tage oder Wochen dauert", meint der Sicherheitsspezialist.
Das gilt übrigens ganz besonders für Passwörter, die einem menschlichen Gehirn entsprungen und nicht per softwaregesteuertem Zufallsgenerator entstanden sind. Eine Passphrase (oder ein längeres Passwort) sei laut dem CISO zwar für Nutzer eine gute Sache, könne aber kein Ersatz für echte Multi-Faktor-Authentifizierung sein. Besonders praktisch ist für kriminelle Hacker bei der "Arbeit" mit gehashten Passwörtern übrigens, dass das Cracking ausschließlich auf dem eigenen Rechner vorgenommen wird. Übergangspasswörter, die an E-Mail-Accounts oder Applikationen getestet werden müssen, sind in diesem Fall überflüssig.
Wie einfach Password Cracking mit dem richtigen Equipment wirklich ist, weiß Justin Angel, Security-Forscher bei CoalfireLabs: "Wir nutzen Hashcat und eine dedizierte ‚Cracking-Maschine‘, die über mehrere GPUs verfügt. Es ist nicht ungewöhnlich, dass wir damit über Nacht tausende von Passwörtern knacken."
Botnets für den Mainstream-Angriff
Für Angriffe auf große öffentliche Webseiten nutzen kriminelle Hacker Botnetze, um verschiedene Username-Passwort-Kombinationen zu testen. Dabei nutzen sie gestohlene Login-Daten von anderen Seiten oder arbeiten eine Liste mit gängigen und beliebten Passwörtern ab. Diese Listen sind teilweise sogar frei zugänglich, wie Software-Unternehmer Philip Lieberman erzählt: "Es gibt diese Listen kostenlos oder gegen eine kleine Gebühr. Darin enthalten sind ungefähr 40 Prozent der Login-Informationen aller Internetnutzer weltweit. Große Hackerangriffe in der Vergangenheit - wie der auf Yahoo - haben dazu geführt, dass große Datenbanken entstanden sind, die Cyberkriminelle nutzen können."
Zwar sind auf diesen Listen bereits kompromittierte Login-Daten zu finden - das tut dem Erfolg der Cracker jedoch keinen Abbruch: "Sogar nach einem Hackerangriff ändern viele Nutzer ihr Passwort nicht", benennt Roman Blachman, CTO bei Preempt Security das Problem.
- Platz 1: x
Ein einfaches x scheint vielerorts schon zu genügen, um hineinzukommen. - Platz 2: Zz
Wer sich ein wenig mit der Unix-Shell auskennt, weiß, dass der Texteditor vi zum Speichern von Dateien die Eingabe zweier großer Z verlangt. Ob dieses beliebte Passwort etwa daher rührt, ist nicht bekannt - die Ähnlichkeit ist jedoch verblüffend. - Platz 3: Start123
Ein typischen Standard-Passwort von Geräteherstellern. Wer es nicht ändert, ist selbst schuld. - Platz 4: 1
Fast noch einfacher als das x, steht die 1 in der Liste nur auf 4. - Platz 5: P@ssw0rd
Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, ist auch keine wirkliche Innovation... - Platz 6: bl4ck4ndwhite
"It don't matter if you're black or white" sang Michael Jackson einst - hier spielt es auch keine Rolle, die kombinierte Farbenlehre sorgt aber durchaus für Hacker-Stimmung. - Platz 7: admin
Der Klassiker darf natürlich nicht fehlen. - Platz 8: alex
Ob Tote-Hosen-Sänger Campino hier seine Hände mit im Spiel hat, ist äußerst unwahrscheinlich. Für viele Hacker-Routinen gilt trotzdem: Hier kommt Alex... - Platz 9: .......
Über sieben Punkte musst du gehen... - Platz 10: administrator
... und landest schließlich wieder beim IT-Experten schlechthin, dem Admin.
Will sich ein Cyberkrimineller beispielsweise Zugang zu einem Bankkonto verschaffen, wird die mehrmalige Nutzung falscher Zugangsdaten dazu führen, dass weitere Security-Maßnahmen und -Alerts in Gang gesetzt werden. Also gehen die Hacker wie folgt vor: Sie nehmen zwei Listen her - eine mit bekannten E-Mail-Adressen und eine mit den meistgenutzten Passwörtern. Damit versuchen sie, sich mit jeder einzelnen E-Mail-Adresse und einem Passwort ihrer Wahl einzuloggen. So kommt auf jedes Konto maximal nur ein fehlgeschlagener Login. Waren die Cracker nicht erfolgreich, warten sie ein paar Tage und probieren dann das nächste Passwort auf der Liste. Und auch sonst sind die Hacker mit allen Wassern gewaschen, wie Lance Cotrell von Ntrepid weiß: "Sie können auch ein Botnet nutzen, um so der Ziel-Webseite vorzugaukeln, dass die Login-Versuche nicht von einer einzigen Quelle ausgehen."
Die Industrie hat sich des Problems bereits angenommen: Die Nutzung von Drittanbietern wie LinkedIn, Facebook oder Google zur Authentifizierung hilft dabei, die Anzahl der Passwörter, die sich ein Nutzer merken muss, zu reduzieren. Sowohl unter Cloud-Providern, als auch bei Finanzdienstleistern und im Einzelhandel setzt sich zudem zunehmend die Zwei-Faktor-Authentifizierung durch.
Auch in Sachen allgemein gültige Standards bewegt sich etwas. Im Juni 2017 veröffentlichte NIST eine neue Version seiner "Digital Identity Guidelines". Die FIDO-Allianz arbeitet derzeit ebenfalls daran, starke Authentifizierungs-Standards zu promoten. Neben diesen Standards gibt es auch einige neue Technologien wie "Behavioral Biometrics" oder Gesichtserkennung, die die Sicherheit von Consumer-Webseiten und mobilen Apps zuträglich sein können.
Wurde Ihr Passwort gestohlen?
Wollen kriminelle Hacker eine Einzelperson ins Visier nehmen, überprüfen sie erst einmal, ob deren Login-Daten bereits auf anderen Seiten gestohlen wurden. Das hat einen guten Grund, wie Gary Weiss von OpenText erklärt: "Der LinkedIn-Hack vor einigen Jahren ist das beste Beispiel, warum dieses Vorgehen Sinn macht. Hacker hatten das Passwort von Mark Zuckerberg gestohlen und konnten sich damit auch auf anderen Plattformen einloggen, weil der Facebook-CEO dieses offensichtlich mehrfach verwendete."
Wie der Sicherheitsanbieter Dashlane in einer Untersuchung anlässlich des World Password Day 2017 herausgefunden hat, besitzt der durchschnittliche deutsche Internetuser satte 78 Online-Accounts, für die nur ein einziges Passwort benötigt wird. Dabei befinden sich die Deutschen noch im unteren Mittelfeld: Ein US-Amerikaner bringt es im Schnitt etwa auf 150 Online-Konten, ein Franzose auf 127 und ein Brite auf 113. Dashlane geht davon aus, dass sich die Zahl der Passwort-geschützten Accounts bis zum Jahr 2022 noch einmal verdoppeln wird. Keine guten Aussichten, denn laut Dashlane-CEO Emmanuel Schalit ist in Sachen Passwort ein unheilbringende Ente in Umlauf: "Es ist eine gängige Annahme, dass man nur ein einziges kompliziertes Passwort braucht und damit sicher ist. Das ist absolut falsch. Denn wenn ein Hack bekannt wird, ist das komplizierte Passwort bereits kompromittiert - und damit auch alle anderen."
Vielleicht haben Sie also ein wirklich gutes Passwort für Ihr Online-Banking gewählt. Was aber nichts nützt, wenn Ihr Gmail-Konto (das zum Zurücksetzen des Passworts verwendet wird) unzureichend abgesichert ist. Wenn ein krimineller Hacker einmal Zugang zu einem E-Mail-Konto hat, wird er darüber versuchen, alle anderen Passwörter zurückzusetzen. Wird die Zahl der Login-Versuche durch eine Website oder eine interne Unternehmens-Applikation nicht limitiert, setzen die Cyberkriminellen auf eine Brute-Force-Attacke und versuchen das Passwort mit Hilfe besagter Listen und Cracking-Tools wie "John The Ripper", "Hashcat" oder "Mimikatz" zu knacken.
In den Untiefen des Darknets gibt es inzwischen natürlich auch kommerzielle Services, die in diese Richtung gehen. Dabei kommen zwar in der Regel Algorithmen zum Einsatz, aber auch diesen Service-"Anbietern" haben die großen Leaks der vergangenen Jahre in die Hände gespielt.
Ob Ihr Passwort, beziehungsweise Account bereits kompromittiert wurde, überprüfen Sie zum Beispiel hier.
Wie sicher ist Ihr Passwort?
Viele Webseiten sind ziemlich lausig, wenn es darum geht, die User über die Stärke ihres Passworts aufzuklären. In der Regel werden dabei Standards an den Tag gelegt, die alles andere als up to date sind - etwa die Mindestlänge von acht Zeichen, ein Mix aus Groß- und Kleinbuchstaben oder Symbolen und Zahlen. Vorsicht sollten Sie jedoch walten lassen, wenn Sie die Stärke eines Passworts im Netz prüfen möchten: "Es ist die wohl schlechteste Idee der Welt, auf eine x-beliebige Webseite zu gehen und dort sein Passwort einzugeben, um zu sehen, ob es sicher ist", zeigt sich Lance Cotrell entrüstet.
Sichere Anlaufstellen für dieses Unterfangen sind zum Beispiel:
Für die meisten User ist ein erhebliches Problem, für jede Webseite ein eigenes, sicheres, einzigartiges Passwort zu verwenden, das sie sich auch noch merken können.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
"Eine Faustregel besagt: Wenn Sie es sich merken können, ist es kein gutes Passwort", meint Cottrell. Der Experte rät deswegen dazu, ein generisch erzeugtes Passwort mit der maximal möglichen Länge zu verwenden, das in einem sicheren Passwort-Management-System abgelegt wird. Was das Master-Passwort hierfür angeht, hat Cottrell ebenfalls einen Tipp auf Lager: "Wählen Sie eine lange Passphrase, die so obszön wie nur irgend möglich ist. Das verringert gleichzeitig die Chancen, dass sie es irgendwann einmal jemandem verraten. Eine Passphrase mit 30 Zeichen ist nahezu unmöglich mit einer Brute-Force-Attacke zu knacken."
Geht es um die Passwörter für Webseiten und Applikationen, seien 20 Zeichen eine gute Länge, meint Cyril Leclerc, Head of Security bei Dashlane. Aber nur unter bestimmten Voraussetzungen: "Cracker können 20-stellige Passwörter, die von Menschen erdacht wurden, knacken. Bei zufällig generierten Passwörtern sieht das anders aus. Sogar mit einem Computer, der direkt aus der Zukunft stammt und über unendliche Rechenpower verfügt, würde ein Hacker ein astronomisch langes Zeitfenster brauchen, um nur ein einziges Passwort auf diese Weise zu knacken."
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.