Wie kommen Hacker an unsere Passwörter?
Ja, meine Frage steht schon oben. Ich muss diese Frage für einen Vortrag in der Schule beantworten. Vielleicht wisst ihr schon per Zufall etwas.
5 Antworten
Da gibt es mehrere Möglichkeiten:
- Meistens durch Phishing. Das hat nicht wirklich viel mit "hacken" zu tun, es wird nur eine Webseite "nach gebaut", die einer tatsächlichen Webseite möglichst ähnlich sieht. Über einen Link den die Opfer oft in Mails ( ungefähr "Irgendwas ist mit deinem Konto passiert, klicke hier um zu sehen ob alles in Ordnung ist") erhalten gelangen sie dann auf diese Fake-Webseiten und geben dort ihre Zugangsdaten ein um sich anzumelden. Diese werden dann sofort an die Täter gesandt. Für die Täter ist das natürlich super entspannt, und arg kompetent braucht man dafür auch nicht zu sein. Deshalb ist das eine sehr beliebte Strategie.
- Eine andere Möglichkeit wäre das stupide ausprobieren von allen Möglichkeiten. Das ist allerdings eher ein theoretisches Konzept, in der Praxis fehlt es dafür an Rechenleistung/Zeit (je nach Länge des Passworts kann es schnell mal mehrere Millionen Jahre brauchen um alle Möglichkeiten durchzuprobieren) und außerdem wird ein Account oft nach einer bestimmten Anzahl an Fehlversuchen gesperrt.
- Anstatt ALLE Möglichkeiten durch zu probieren, werden in der Praxis stattdessen bestimmte Listen mit den häufigsten Passwörtern durchgegangen, sogenannte "Rainbowtables". Also so Passwörter wie "Password1234" oder "Hallo123". Wenn man das Opfer kennt, kann man zusätzlich noch persönliche Daten einbauen (Geburtsdatum, Name des Hundes, u.Ä.). Da haben die meisten Passwörter keine Chance mehr, die nicht von einem Passwortgenerator völlig zufällig erzeugt wurden (oder die man sich auf jeden Fall nicht merken muss).
Dem sei folgendes hinzugefügt: wenn man Zugriff auf eine Datenbank mit Userdaten hat und in Ruhe probieren kann, ist es meist eine Sache von 10 Minuten, die Passwörter zum Hash zu finden. Mittlerweile rechnen die tools auf der Grafikkarte, die wesentlich höhere Leistung bietet, und durch die häufig vorgegebenen Regeln für „sichere“ Passwörter ergeben sich in der Praxis sehr gute Angriffsvektoren. In meiner Firma wurde ein Test gemacht und nahezu die Hälfte aller Kennwörter, die nach der Passwort-Policy erzeugt wurden, waren innerhalb von 3 Minuten geknackt. Ich meine, dass in der aktuellen iX dazu ein ganz guter Artikel stand…
Entweder durch Phishing, bruteForcing oder gezieltes ausprobieren (mittels Geburtsdatum, namen, etc.) oder durch Viren o.ä. auf dem PC.
Das sind so die gängigsten Methoden
Wie kommen Hacker an unsere Passwörter?
In der Regel durch Datenleaks bei diversen Firmen, der Unachtsamkeit der Nutzer, Social Engineering, Malware oder Durchprobieren
Da gibts viele Wege:
- Hacker hacken die Datenbank eines Webdienstes und entschlüsseln die hinterlegten Daten.
- Sie erraten sie unter Zuhilfenahme von "social engineering" über die freiwillig preisgegebenen Infos in sozialen Netzwerken und Foren.
- Sie verleiten zum Installieren von spionierender Malware oder über Phishing.
Top 1: Phishing
Top 2: Geklaute Datenbanken nach Hack
Top 3: Trojaner
Brute force kannste Knicken sofern das Kennwort lang genug ist.
Das klappt leider erstaunlich oft mit Brute-Force, bei unsalted Hashes und erbeuteter DB auch Rainbow-Tables gerne.
Und bei weitem nicht überall ist Mindestlänge oder Mindestentropie Standard, genauso wie warten.
Password-Reusage ist auch ein großes Problem.
Ich würde jedem zu 2-Faktor-Auth raten, wenn die Option besteht.
Und natürlich Brute-Force.