Wie sicher sind Passwörter, und wie Hackt man sie?
Hallo
Vorab will ich sagen das ich kein passwort Hacken möchte.
Nur wurde gestern mein instagramm Account gehackt, es gab ein anmeldeversuch aus einem anderem land und klassenkamerad nannte mir anschließend mein passwort.
Ich habe bereits mein passwort in ein sehr starkes passwort geändert, undmir geht's ajch nicht darum jetzt den Menschen zu verurteilen.
Mir geht es darum zu verstehen wie er das angestellt hat und wie ich mich schützen kann.
Ich muss noch sagen das ich mich eigentlich selbst relativ gut mit dem Internet auskenne, nur nicht in diesem Gebiet.
Und nein er kann das passwort nicht gesehen haben, und auch das alte passwort war nichts worauf man so kommt.
Vielen Dank für Ihre Hilfe
5 Antworten
Da gibt es viele Möglichkeiten:
- Bruteforce - also diverse mögliche Passwörter durchprobieren (entweder mit einer individuellen Liste die aus deinen Daten abgeleitet wurde (Hobbies, Interessen, Verwandte, Freunde, usw. was man auf Blogs, Twitter, Facebook, etc. preisgibt...) oder mit einer 0815-Passwortliste - zB rockyou.txt
- Phishing - also man sendet dir eine Mail mit einem Link auf ein Loginformular. Sowohl Mail als auch Loginformular sind gefälscht und wenn du versuchst dich anzumelden hat der Hacker die Zugangsdaten - zB SET (social engeneering toolkit)
- Trojaner oder Keylogger auf deinem PC - der Trojaner erlaubt es zB auf die gespeicherten Passwörter im Browser zuzugreifen und der Keylogger schreibt alle deine Eingaben mit und irgendwann gibt man ja ein PW ein.
- Hacken eines anderen Forums/Portals bzw. dessen Datenbank... Darin befindet sich dein PW entweder als Klartext (ja das gibt es immer noch oft) oder gehasht. Die gehashten PW kann man deutlich schneller mit einem Wörterbuch abgleichen als ein Bruteforceangriff auf eine Seite. Nutzt du dann auf allen Seiten das gleiche PW - Bingo!
- Teilweise finden sich Listen mit Email-Adressen und Passwörtern in entsprechenden Darknet- oder Deepweb-Gruppen. Einfaches Suchen nach deiner Email an der richtigen Stelle kann also eventuell schon reichen.
- Persönlich mitlesen wenn du es eintippst oder eine versteckte Kamera (Raspberry Pi + Kamera + mobiler Handycharger = Spionagedget)
usw.
Wenn dich das Thema interessiert kannst du dir ja einmal Kali-Linux ansehen und dir ein Buch dazu kaufen...
Abgesehen davon an dein PW zu kommen gibt es auch Ansätze um zB deine Login-Cookies zu stehen und so in eine laufende Session reinzukommen. Da wären wieder Trojaner oder XSS eine Möglichkeit.
Es geht also auch ohne das PW zu kennen bei vielen Seiten!
Ich gehe im Folgenden mal davon aus, dass dein Passwort zu komplex war, um es einfach zu erraten/zu bruteforcen. Und bei Instagram gehe ich auch mal davon aus, dass sie nicht gehackt wurden.
Eine Möglichkeit wäre es, dich dazu zu bringen, das Passwort selber herauszugeben. Das ist möglich, in dem man dich auf eine gefälschte Internetseite lockt, welche wie Instagram aussieht, aber nicht Instagram ist. Wenn du dort deine Daten eingibst, werden die gespeichert.
Um dich auf eine solche Webseite zu kriegen, gibt es viele Möglichkeiten. Eine Möglichkeit wäre, dir eine E-Mail zu schreiben, welche dir sagt, dass du aus irgendeinem Grund dich dringend anmelden musst. (Du würdest gehackt, oder ähnliches.) Der Anmeldelink führt dann nicht zu Instagram, sondern zu einer Seite, welche unter der Kontrolle des Hackers steht.
Es reicht aber schon aus, sich im selben wlan wie du zu befinden. Dann kann man mit ein paar Tricks den kompletten Internettraffic über das eigene Gerät leiten, und dir so Fakeseiten unterjubeln, oder die Verschlüsselung von Instagram zu umgehen.
Es gibt verschiedene Ansätze, um Passwörter zu knacken.
- Brute force. Das bedeutet, dass der Angreifer alle möglichen Zeichenkombinationen stumpf durchprobiert. Das ist nur praktikabel bei einfachen, kurzen Passwörtern.
- Wörterbuch-Angriff. Der Angreifer probiert Wörterbücher, Passwortlisten (aus früheren Hacks z. B.) durch. Dabei werden die Wörter auch "permutiert", also verändert. Aus dem Wort Passwort kann dann eben auch Pa$$w0rt werden.
- Social Engineering. Der Angreifer versucht Passwörter, die sich aus Geburtsdaten, Namen von Frau, Kindern, Tieren ergeben.
- Phishing. Der Angreifer versucht z. B. durch Anbieten einer gefälschten Anmeldeseite Deine Einwahldaten abzugreifen.
Das sind jetzt mal schnell 4 gebräuchliche Methoden. Gegen 1, 2 und 3 helfen lange, "starke" Passwörter. "Stark" bedeutet, dass der Zeichenumfang möglichst groß ist. Also Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen. Auf deutsche Umlaute und Leerzeichen würde ich allerdings verzichten. "Lang" bedeutet 16 bis 20 Zeichen, gerne auch mehr. Gegen 4 hilft nur Obacht.
Möglicherweise hat Dein Klassenkamerad einen Dienst genutzt, um Dein Passwort zu knacken. Solche Dienstleistungen kann man mittlerweile für relativ kleines Geld einkaufen.
Für Personen die pfiffig am PC sind bekommen herkömmliche Passwörter in 48 Std raus
Je weniger Erfahrung man am PC hat des so länger dauert es
Wie genau man Sachen hackt wird dir hier sicher keiner mitteilen
Installiere dir mal "Last-Pass" Ist kostenlos, sicher und einfach zu verstehen.
Alle Passwörter liegen dann bei Lastpass. Auf einem amerikanischen Server. Herzlichen Glückwunsch. Einfach zu verstehen ist nur eins: Nämlich das Lasspass nicht sicher ist.