Wie gelingt es, dass Hacker Zugriff auf ein Passwort erhalten, ohne dass sie dies mittels zig Versuche maschinell probieren?

8 Antworten

Da gibt es viele Möglichkeiten.

Hacker nutzen in Allgemeinen Schwachstellen auf einem System aus, um auf diesem Code ausführen ("remote code execution") oder sonstwie Informationen vom System abgreifen (z. B. bestimmte Bereiche des Hauptspeichers auslesen) zu können.

Diese Schwachstellen entsehen durch fehlerhafte Programmierung, z. B. indem vergessen wird, Arraygrenzen zu überprüfen, etc.

Wenn sie Zugriff auf das System bekommen, auf welchem das Passwort eingegeben wird, können sie es während der Eingabe "mitlesen", denn es muss ja irgendwo im Hauptspeicher stehen.

Wenn sie Zugriff auf das System bekommen, welches das Passwort überprüft, hängen die weiteren Möglichkeiten vom verwendeten Verfahren ab.

Bei einer Klartext-Authentifizierung wird das Passwort auf dem Server idealerweise als Hashwert gespeichert. Der Server hasht das vom Client im Klartext übermittelte Passwort ebenfalls und vergleicht die Hashwerte. Dieses übertragene Klartextpasswort kann man abgreifen, entweder auf der Verbindung, sofern sie nicht verschlüsselt ist, oder spätestens auf dem Server, bei dem die Ende-zu-Ende-Verschlüsselung (z. B. TLS) endet. Außerdem besteht noch die Möglichkeit, den Hashwert selbst vom Server auszulesen und zu versuchen, die Hashfunktion zu invertieren, z. B. per GPU-Computing oder mittels FPGAs. Wenn die verwendete Hashfunktion nicht hinreichend "preimage resistant" ist, führt dies wahrscheinlich zum Erfolg, ansonsten wahrscheinlich nicht.

Bei den meisten Verfahren zur Challenge-Response-Authentifizierung wird das Passwort nicht im Klartext übertragen. Stattdessen wird vom Server eine Zufallszahl, eine so genannte Nonce, erzeugt und zum Client übertragen. Der Client verhasht Nonce und Passwort und schickt das Ergebnis zum Server, der die selbe Berechnung durchführt und das Ergebnis vergleicht. Damit wird ein Abgreifen des Passworts auf der Übertragungsstrecke - selbst bei fehlender oder gebrochener Ende-zu-Ende-Verschlüsselung - verhindert, sofern die Hashfunktion tatsächlich schwer zu invertieren ist. Dafür muss für dieses Verfahren das Passwort auf der Serverseite im Klartext vorliegen. Man kann nicht einfach einen Hashwert speichern, da ja jedes Mal ein neuer Hash generiert wird. (Speichert man nur einen einzigen Hashwert, den man immer wieder abfragt, kann der Angreifer einfach den Hashwert "lernen" und eine Replay-Attacke durchführen. Dann wäre gegenüber der Klartext-Authentifizierung nichts gewonnen.) Da das Passwort auf dem Server im Klartext vorliegt, kann es durch eine Schwachstelle auf dem Server abgegriffen werden.

Am sichersten ist in dieser Hinsicht noch immer eine Public-Key-Authentifizierung, wie sie beispielsweise bei von SSH durchgeführt wird. Diese kommt im Grunde vollkommen ohne Passwörter aus. Hier hängt die Sicherheit davon ab, dass ein privater Schlüssel unbekannt bleibt, der lediglich auf dem Client, aber nicht auf dem Server gespeichert ist. Der Server benötigt zur Authentifizierung nur das öffentliche Gegenstück. Solange das verwendete Public-Key-Kryptosystem sicher ist, sollte es sehr schwer sein, den privaten Schlüssel aus dem öffentlichen Schlüssel zu berechnen. (Bei RSA müsste man hierfür z. B. ein Faktorisierungsproblem lösen oder bei DSA einen diskreten Logarithmus berechnen, was bei hinreichend großen Zahlen bzw. Gruppen beides als sehr schwer gilt.) Daher "lernt" man nicht wirklich etwas, indem man in den Server eindringt. Man muss hier in jedem Fall den Client kompromittieren, zumindest sofern man das zugrundeliegende Kryptosystem nicht anderweitig brechen kann.

Unabhängig vom verwendeten Verfahren gibt es natürlich noch weitere Möglichkeiten, den Server zu manipulieren, ohne sich überhaupt als legitimer User zu authentifizieren. Wenn ich Zugriff auf die Datenbank eines Onlinehändlers bekomme, kann ich beispielsweise im Namen jeder beliebigen Person Bestellungen generieren, ohne mich jemals als der entsprechende Benutzer eingeloggt haben zu müssen. Zudem kann ich mir Zugriff auf die Datenbank ja auch die Accountdaten nach Belieben verändern. Dann trage ich z. B. einfach einen Passwort-Hash ein, zu dem ich den Klartext kenne, logge mich mit dem Passwort ein und - nachdem ich drin bin - schreibe ich den alten Hashwert zurück, damit der legitime Benutzer nichts davon merkt. Es gibt unzählige weitere Möglichkeiten. Wenn ich hinreichenden Zugriff auf den Server habe, ist also ohnehin jegliche Authentifizierung sinnlos, weil ich einfach "an ihr vorbei arbeiten kann".

Es gibt u.a. Schadprogramme, die du dir im Internet einfängst, sei es bewusst durch downloads unseriöser Dateien oder unterbewusst durch Seiten Attacken oder auch was häufig vorkommt durch Javascript. 

Alternativ kann es auch dazu kommen, falls du für mehrere Accounts das selbe Passwort benutzt, dass beim registrieren auf Webseiten der Seitenbetreiber gar nicht oder nur schlecht verschlüsselt dein Passwort speichert.

Es gibt viele Möglichkeiten an dein Passwort zu kommen. Es gibt auch schlecht programmierte Webanwendungen, wodurch du mit ein paar Kniffen das Passwort abfragen kannst. Was nicht grade selten ist, grade in Deutschland wo IT-Security noch nicht ganz angekommen ist.

Kommt immer darauf an welches Passwort.

Bei einer Seite ohne entsprechende Sicherheit kann auch die Seite manipuliert worden sein. So das dass eigl. Login-Fenster / Bild kopiert wurde und über das original Login gelegt wird.

Du glaubst also dich einzuloggen, gibst dein Accountname sowie Passwort aber nur auf einem identisch aussehenden Feld ein was an einen "Hacker" weitergeleitet wird.

-

Passwörter werden auch oftmals via E-Mail versendet, sollte der "Hacker" also bereits Zugriff auf dein E-Mail Konto haben kann er somit alles abfangen.

-

gibt da viele Möglichkeiten..

Wie kann ich mich da schützen?

1
@Sirias

Wie gesagt, das kommt darauf an vor was genau geschützt werden muss.

Bei oben besagten Login Feld Manipulationen z.B.:

Achte auf das grüne Schloss oben bei der URL, ist auch hier bei "GuteFrage.net" zu sehen.

Genau wie die "https" auf die Verschlüsselung der Seite hinweist.

Ich empfehle dir kurse zu machen bzw. Videos zum Schutz deiner Daten anzusehen wenn du da tiefer in die Materie möchtest. Gibt da einfach zuviel, als das wir das hier klären könnten.

Genauso möchte ich hier auch niemandem erzählen wie er soetwas genau macht oder was er alles für Möglichkeiten hatt (Also um Passwörter abzufangen). Tut mir leid.

2

C#: Login-Form mit Access-Datenbank erstellen?

Hallo zusammen,

ich bin noch sehr neu, was die Programmierung mit C# angeht.

Ich versuche derzeit als Schüler für meine Klausur ein Login-Form zu programmieren.

Es sollen sich die Personen aus der Tabelle MitarbeiterAdm mit ihren Username und Passwort anmelden. Derzeit scheitere ich bei dem Vergleich zwischen Username und Passwort.

Ich habe es so probiert, dass ich zuerst alle Datensätze aus der Tabelle durchsuche, die mit der Eingabe für den Username und gleichzeitig auch mit der Passworteingabe übereinstimmen. Danach habe ich alle Nutzer durchsucht und mittels einer if-Abfrage kontrolliert, ob mehr als 0 Nutzer gefunden wurden. Leider klappt das nicht so ganz und der Programmcode meckert besonders bei der if-Abfrage.

Den Quelltext füge ich mit ein. Ich bitte um eine einfache Lösung :)

Verbindung.ConnectionString = ("Provider=Microsoft.ACE.OLEDB.12.0;" + "Data Source = TestDB.accdb;");
cmd.Connection = Verbindung;
cmd.CommandText = "select * from MitarbeiterAdm WHERE Username=" + txtUser.Text + " AND Passwort=" + txtPasswort.Text;

try
{
  Verbindung.Open();
  reader = cmd.ExecuteReader();

  while (reader.Read())
  {
    User = reader["Username"].ToString();
  }
}
catch(Exception ex)
{
  MessageBox.Show(ex.Message);
}

Verbindung.Close();

if (User.Count() > 0)
{
  Startformular form = new Startformular();
  form.Show();
  this.Hide();
}
else
{
  txtUser.Text = "";
  txtPasswort.Text = "";
  MessageBox.Show("Das Passwort stimmt nicht mit dem Username überein!");
...zur Frage

Instagram Account Hacker hat immer Zugriff?

Hallo,

Mein Account wurde gehackt. Instagram hat mir einen Link geschickt, und einen Sicherheitscode. Ich habe das Passwort zurückgesetzt. Danach hat Instagram einen Sicherheitscode verlangt, den ich auch eingegeben habe. Nun war ich im Account drin, und habe alles geändert. (Email, Passwort, Telefonnummer, verknüpfte Konten ...)

Und dann habe ich die 2 Faktor Authentifizierung aktiviert. ( das immer wenn ich mich anmelde, Instagram mir einen Sicherheitscode auf meine Handy nummer schickt, den ich dann eingeben muss)

10 Minuten später bekam ich eine Email, das meine Email Adresse, mit der ich mein Konto verknüpft habe, geändert wurde. Der Hacker hat dann alles wieder geändert

Was muss ich noch ändern, damit der Hacker keinen Zugriff mehr bekommt ?

Wie schafft es der Hacker trotzdem Zugriff auf meinen Account zu bekommen ?

...zur Frage

Facebook gehackt und dubioser Link von meinem Konto verschickt?

Mein Facebook Account wurde heute gehackt und an alle meine Kontakte ein dubioser YouTube Link geschickt, der dann aber auf eine andere Seite weitergeleitet wurde. Ich habe dann sofort mein Passwort geändert. Aber jetzt habe ich Angst, dass diese Hacker Zugriff auf meine iPhones haben und mein Macbook. Ist das möglich und was kann ich dagegen tun? Ich möchte ja nicht, dass sie meine Fotos haben. Was bringt es diesen Hacker denn sich in ein Profil einzuhacken?

...zur Frage

Pc gehackt hilft neu Aufsetzen wirklich?

Hey letzte Woche wurde mein Steam Account gehackt und alle Items geklaut. Habe gerade vorher zurück bekommen und habe einen 15 Tägigen Trade Ban also kann der Hacker schon mal nichts klauen. Aber der Hacker hat immernoch zugriff auf meinen PC vorher als ich die Items bekommen habe wurde mir sofort das Passwort geändert. Aber die Frage ist jetzt. Hilft Pc neu aufsetzen wirklich was? Hat der nicht noch Zugriff auf den Router? Weil ich will wirklich ungern den Pc neu aufsetzen wenn es dann gar nichts bringt.

...zur Frage

Warum kann ich Fremdzugriffe auf mein Netflix Konto nicht unterbinden?

Hallo, ich habe letzte Woche fest gestellt das mein Netflix Konto gehackt wurde. (Zugriffe aus Argentinien, Ecuador, Mexico etc.)

Ich habe dann zu erst überprüft ob mein verknüpften Email Konto sicher ist (Weiterleitungen, sekundäre email Adresse etc. ) und dort mein Passwort geändert. Dann habe ich mein Netflix passwort geändert und einen Force LogOut auf allen Geräten gemacht.

Nun musste ich schon wieder fest stellen das es Zugriffe gab. Ich habe mein passwort wieder geändert und einen Force LogOut gemacht. 4 Stunden später wieder das gleiche.

Wie ist es möglich das jemand mein Passwort dort raus bekommt ? Selbst wenn der Hacker Zugriff auf mein Email Konto hätte könnte er nur das Passwort ändern und sich dann mit dem von ihm erstellten einloggen. Er nutzt aber das Passwort was ich mir 4 Stunden zuvor ausgedacht habe.

Ich gehe nicht davon aus das ich einen Key loggen drauf hab da ich das 1.mal das Passwort vom PC aus änderte und das 2.mal vom Smartphone aus. Ich kanns mir nicht erklären.

Danke

...zur Frage

Können sich Hacker Zugriff auf gelöschte Dateien verschaffen?

Hallo!

d.h. Bilder, Dokumente die wirklich gelöscht wurden, aus dem Papierkorb. Ist das für einen Hacker möglich darauf Zugriff zu erhalten? Also ich mein jetzt nicht irgendwelche krassen Hacker, die das dann wirklich schon fast als Beruf in irgendeiner großen Firma machen und richtig richtig gut sind. Ich hab Angst, dass ich von einer Privatperson (mit der ich geschrieben hab, Dateien ausgetauscht) gehackt wurde und ich hatte intime Dateien auf meinem Pc, die ich aber gelöscht hatte.

...zur Frage

Was möchtest Du wissen?