Die 8 häufigsten Tricks zum Hacken von Passwörtern
Was fällt Ihnen ein, wenn Sie "Sicherheitsverletzung" hören? Ein böswilliger Hacker, der vor Bildschirmen sitzt, die mit digitalem Text im Matrix-Stil bedeckt sind? Oder ein Teenager im Keller, der seit drei Wochen kein Tageslicht mehr gesehen hat? Wie wäre es mit einem leistungsstarken Supercomputer, der versucht, die ganze Welt zu hacken?
Beim Hacken geht es nur um eines: Ihr Passwort. Wenn jemand Ihr Passwort erraten kann, braucht er keine ausgefallenen Hacking-Techniken und Supercomputer. Sie melden sich einfach an und handeln wie Sie. Wenn Ihr Passwort kurz und einfach ist, ist das Spiel vorbei.
Es gibt acht gängige Taktiken, mit denen Hacker Ihr Passwort hacken. Lass uns mal sehen.
1. Dictionary Hack
An erster Stelle in der allgemeinen Anleitung zum Hacken von Passwörtern steht der Wörterbuchangriff. Warum heißt es ein Wörterbuchangriff? Weil es automatisch jedes Wort in einem definierten "Wörterbuch" gegen das Passwort versucht. Das Wörterbuch ist nicht unbedingt das, das Sie in der Schule verwendet haben.
Nein. Dieses Wörterbuch ist eigentlich eine kleine Datei, die auch die am häufigsten verwendeten Passwortkombinationen enthält. Dazu gehören 123456, qwerty, password, iloveyou und der Allzeitklassiker hunter2. In der obigen Tabelle sind die am häufigsten durchgesickerten Passwörter im Jahr 2016 aufgeführt.
In der folgenden Tabelle sind die am häufigsten durchgesickerten Kennwörter im Jahr 2020 aufgeführt. Beachten Sie die Ähnlichkeiten zwischen den beiden — und stellen Sie sicher, dass Sie diese unglaublich einfachen Optionen nicht verwenden.
Vorteile: Schnell, wird normalerweise einige schlecht geschützte Konten freischalten.
Nachteile: Auch etwas stärkere Passwörter bleiben sicher.
Bleiben Sie sicher: Verwenden Sie für jedes Konto ein sicheres Einmalkennwort in Verbindung mit einer Kennwortverwaltungs-App . Mit dem Passwort-Manager können Sie Ihre anderen Passwörter in einem Repository speichern. Dann können Sie für jede Site ein einziges, lächerlich starkes Passwort verwenden. Sehen Sie sich unsere Übersicht über den Google Password Manager an, um damit zu beginnen.
2. Brute Force
Als nächstes der Brute-Force-Angriff, bei dem ein Angreifer jede mögliche Charakterkombination ausprobiert. Versuchte Passwörter stimmen mit den Spezifikationen für die Komplexitätsregeln überein, z. B. Großbuchstaben, Kleinbuchstaben, Pi-Dezimalstellen, Ihre Pizzabestellung usw.
Bei einem Brute-Force-Angriff werden auch zuerst die am häufigsten verwendeten alphanumerischen Zeichenkombinationen ausprobiert. Dazu gehören die zuvor aufgeführten Kennwörter sowie 1q2w3e4r5t, zxcvbnm und qwertyuiop. Das Herausfinden eines Kennworts mit dieser Methode kann sehr lange dauern, dies hängt jedoch vollständig von der Komplexität des Kennworts ab.
Vorteile: Theoretisch wird jedes Passwort geknackt, indem jede Kombination ausprobiert wird.
Nachteile: Je nach Länge und Schwierigkeitsgrad des Passworts kann dies sehr lange dauern. Wenn Sie einige Variablen wie $, &, {oder] eingeben, wird es äußerst schwierig, das Kennwort herauszufinden.
Bleiben Sie sicher: Verwenden Sie immer eine variable Zeichenkombination und führen Sie nach Möglichkeit zusätzliche Symbole ein, um die Komplexität zu erhöhen .
3. Phishing
Dies ist nicht unbedingt ein "Hack", aber wenn Sie einem Phishing- oder Spear-Phishing-Versuch zum Opfer fallen, endet dies normalerweise schlecht. Allgemeine milliardenschwere Phishing-E-Mails an alle Arten von Internetnutzern auf der ganzen Welt.
Eine Phishing-E-Mail funktioniert im Allgemeinen folgendermaßen:
- Der Zielbenutzer erhält eine gefälschte E-Mail, die angeblich von einer großen Organisation oder einem Unternehmen stammt
- Gefälschte E-Mails erfordern sofortige Aufmerksamkeit und enthalten einen Link zu einer Website
- Der Link zur Website führt tatsächlich zu einem gefälschten Anmeldeportal, das so verspottet ist, dass es genau so aussieht wie die legitime Website
- Der ahnungslose Zielbenutzer gibt seine Anmeldeinformationen ein und wird entweder umgeleitet oder aufgefordert, es erneut zu versuchen
- Benutzeranmeldeinformationen werden gestohlen, verkauft oder schändlich verwendet (oder beides)
Das weltweit täglich verschickte tägliche Spam-Volumen ist nach wie vor hoch und macht mehr als die Hälfte aller weltweit versendeten E-Mails aus. Darüber hinaus ist auch das Volumen an böswilligen Anhängen hoch. Von Januar bis Juni 2020 hat Kaspersky über 92 Millionen bösartige Anhänge festgestellt . Denken Sie daran, dass dies nur für Kaspersky gilt, sodass die tatsächliche Anzahl viel höher ist.
Im Jahr 2017 war der größte Phishing-Köder eine gefälschte Rechnung. Im Jahr 2020 stellte die COVID-19-Pandemie jedoch eine neue Phishing-Bedrohung dar .
Im April 2020, nicht lange nachdem viele Länder in eine Pandemiesperre geraten waren, gab Google bekannt, dass mehr als 18 Millionen COVID-19-Themen-Spam- und Phishing-E-Mails pro Tag blockiert werden. Eine große Anzahl dieser E-Mails verwendet das offizielle Branding der Regierung oder der Gesundheitsorganisation, um die Legitimität zu gewährleisten und die Opfer unvorbereitet zu erwischen.
Vorteile: Der Benutzer übergibt buchstäblich seine Anmeldeinformationen, einschließlich des Passworts. Relativ hohe Trefferquote, die leicht auf bestimmte Dienste oder bestimmte Personen bei einem Spear-Phishing-Angriff zugeschnitten werden kann.
Nachteile: Spam-E-Mails lassen sich leicht filtern, Spam-Domains werden auf die schwarze Liste gesetzt, und große Anbieter wie Google aktualisieren den Schutz ständig.
Bleiben Sie sicher: Wir haben erläutert, wie Sie eine Phishing-E-Mail erkennen . Erhöhen Sie außerdem Ihren Spam-Filter auf die höchste Einstellung oder verwenden Sie noch besser eine proaktive Whitelist. Verwenden Sie eine Linkprüfung, um festzustellen, ob ein E-Mail-Link legitim ist, bevor Sie auf klicken.
4. Social Engineering
Social Engineering ist im Wesentlichen Phishing in der realen Welt, abseits des Bildschirms. Lesen Sie mein kurzes, einfaches Beispiel unten (und hier sind noch einige, auf die Sie achten sollten !).
Ein zentraler Bestandteil jeder Sicherheitsüberprüfung ist die Beurteilung des Verständnisses der gesamten Belegschaft. In diesem Fall ruft eine Sicherheitsfirma das Unternehmen an, das sie prüfen. Der "Angreifer" teilt der Person am Telefon mit, dass sie das neue technische Support-Team für Büros ist und das neueste Kennwort für etwas Bestimmtes benötigt. Eine ahnungslose Person kann die Schlüssel zum Königreich ohne eine Denkpause übergeben.
Das Beängstigende ist, wie oft das funktioniert. Social Engineering gibt es seit Jahrhunderten. Der doppelte Zugang zu einem sicheren Bereich ist eine übliche Angriffsmethode, die nur durch Bildung verhindert wird. Dies liegt daran, dass der Angriff nicht immer direkt nach einem Passwort fragt. Es könnte ein falscher Klempner oder Elektriker sein, der um Zugang zu einem sicheren Gebäude bittet, und so weiter.
Vorteile: Erfahrene Sozialingenieure können aus einer Reihe von Zielen hochwertige Informationen extrahieren. Kann überall gegen fast jeden eingesetzt werden. Extrem verstohlen.
Nachteile: Ein Social-Engineering-Fehler kann den Verdacht auf einen bevorstehenden Angriff und die Unsicherheit darüber aufkommen lassen, ob die richtigen Informationen beschafft werden.
Bleiben Sie sicher : Dies ist eine schwierige Frage. Ein erfolgreicher Social-Engineering-Angriff ist abgeschlossen, sobald Sie feststellen, dass etwas nicht stimmt. Bildung und Sicherheitsbewusstsein sind eine zentrale Taktik zur Schadensbegrenzung. Vermeiden Sie es, persönliche Informationen zu veröffentlichen, die später gegen Sie verwendet werden könnten.
5. Regenbogentisch
Eine Regenbogentabelle ist normalerweise ein Offline-Passwortangriff. Ein Angreifer hat beispielsweise eine Liste mit Benutzernamen und Kennwörtern erstellt, die jedoch verschlüsselt sind. Das verschlüsselte Passwort wird gehasht . Dies bedeutet, dass es völlig anders aussieht als das ursprüngliche Passwort.
Zum Beispiel ist Ihr Passwort (hoffentlich nicht!) Logmein. Der bekannte MD5-Hash für dieses Kennwort lautet "8f4047e3233b39e4444e1aef240e80aa".
Gibberish für Sie und mich. In bestimmten Fällen führt der Angreifer jedoch eine Liste von Klartextkennwörtern über einen Hashing-Algorithmus aus und vergleicht die Ergebnisse mit einer verschlüsselten Kennwortdatei. In anderen Fällen ist der Verschlüsselungsalgorithmus anfällig, und die meisten Passwörter sind bereits geknackt, wie z. B. MD5 (daher kennen wir den spezifischen Hash für "logmein".
Hier kommt der Regenbogentisch voll zur Geltung. Anstatt Hunderttausende potenzieller Passwörter verarbeiten und den daraus resultierenden Hash abgleichen zu müssen, besteht eine Regenbogentabelle aus einer großen Menge vorberechneter algorithmischer Hashwerte.
Die Verwendung einer Regenbogentabelle verkürzt die Zeit, die zum Knacken eines gehashten Passworts benötigt wird, drastisch – aber es ist nicht perfekt. Hacker können vorgefüllte Regenbogentabellen kaufen, die mit Millionen möglicher Kombinationen gefüllt sind.
Vorteile: Kann komplexe Passwörter in kurzer Zeit herausfinden und gewährt dem Hacker viel Macht über bestimmte Sicherheitsszenarien.
Nachteile: Benötigt viel Platz, um den riesigen (manchmal Terabyte) Regenbogentisch zu speichern. Außerdem sind Angreifer auf die in der Tabelle enthaltenen Werte beschränkt (andernfalls müssen sie eine weitere vollständige Tabelle hinzufügen).
Bleib in Sicherheit: Noch eine knifflige. Regenbogentische bieten ein breites Spektrum an Angriffspotentialen. Vermeiden Sie Websites, die SHA1 oder MD5 als Passwort-Hashing-Algorithmus verwenden. Vermeiden Sie Websites, die Sie auf kurze Kennwörter beschränken oder die Zeichen einschränken, die Sie verwenden können. Verwenden Sie immer ein komplexes Passwort.
Sie fragen sich, wie Sie wissen können, ob eine Website Passwörter im Klartext speichert ? Lesen Sie diese Anleitung, um dies herauszufinden.
6. Malware / Keylogger
Ein weiterer sicherer Weg, um Ihre Anmeldeinformationen zu verlieren, besteht darin, Malware zu missbrauchen. Malware ist überall und kann massiven Schaden anrichten. Wenn die Malware-Variante über einen Keylogger verfügt, sind möglicherweise alle Ihre Konten gefährdet.
Es gibt viele Software zum Stehlen von Passwörtern. Stellen Sie sicher, dass Sie Ihren Computer mit einem guten Anti-Malware-Programm überprüfen.
– John Batch (@theflyingdoctor), 10. Juni 2020
Alternativ könnte die Malware speziell auf private Daten abzielen oder einen RAS-Trojaner einführen, um Ihre Anmeldeinformationen zu stehlen.
Vorteile: Tausende von Malware-Varianten, viele anpassbar, mit mehreren einfachen Übermittlungsmethoden. Eine gute Chance, dass eine hohe Anzahl von Zielen mindestens einer Variante erliegt. Es kann unentdeckt bleiben und das weitere Sammeln privater Daten und Anmeldeinformationen ermöglichen.
Nachteile: Möglicherweise funktioniert die Malware nicht oder wird vor dem Zugriff auf Daten unter Quarantäne gestellt. Es kann nicht garantiert werden, dass Daten nützlich sind.
Bleiben Sie sicher : Installieren und aktualisieren Sie Ihre Antiviren- und Antimalwaresoftware regelmäßig . Betrachten Sie Ihre Download-Quellen sorgfältig. Klicken Sie nicht durch Installationspakete, die Bundleware und mehr enthalten. Vermeiden Sie schändliche Orte (ich weiß, leichter gesagt als getan). Verwenden Sie Tools zum Blockieren von Skripten, um schädliche Skripte zu stoppen.
7. Spinnen
Spinnende Verbindungen zu dem zuvor behandelten Wörterbuchangriff. Wenn ein Hacker auf eine bestimmte Institution oder ein bestimmtes Unternehmen abzielt, versucht er möglicherweise eine Reihe von Kennwörtern, die sich auf das Unternehmen selbst beziehen. Der Hacker könnte eine Reihe verwandter Begriffe lesen und zusammenstellen – oder eine Suchspinne verwenden, um die Arbeit für sie zu erledigen.
Vielleicht haben Sie den Begriff "Spinne" schon einmal gehört. Diese Suchspinnen sind denen sehr ähnlich, die durch das Internet kriechen und Inhalte für Suchmaschinen indizieren. Die benutzerdefinierte Wortliste wird dann für Benutzerkonten verwendet, um eine Übereinstimmung zu finden.
Vorteile: Kann möglicherweise Konten für hochrangige Personen innerhalb einer Organisation freischalten. Relativ einfach zusammenzustellen und fügt einem Wörterbuchangriff eine zusätzliche Dimension hinzu.
Nachteile: Könnte sehr gut erfolglos bleiben, wenn die Netzwerksicherheit des Unternehmens gut konfiguriert ist.
Schützen Sie sich durch: Verwenden Sie auch hier nur sichere Einwegkennwörter, die aus zufälligen Zeichenfolgen bestehen – nichts, was mit Ihrer Person, Ihrem Unternehmen, Ihrer Organisation usw. in Verbindung steht.
8. Schulter surfen
Okay, die letzte Option ist eine der grundlegendsten. Was ist, wenn jemand nur über Ihr Soll schaut, während Sie Ihr Passwort eingeben?
Schulter-Surfen klingt ein bisschen lächerlich, aber es passiert. Wenn Sie in einem geschäftigen Café in der Innenstadt arbeiten und nicht auf Ihre Umgebung achten, kann jemand nahe genug heran kommen, um Ihr Passwort während der Eingabe zu notieren.
Vorteile: Low-Tech-Ansatz zum Stehlen eines Passworts.
Nachteile: Muss das Ziel identifizieren, bevor das Passwort herausgefunden wird, könnte sich beim Stehlen zeigen.
Bleiben Sie sicher: Achten Sie bei der Eingabe Ihres Passworts auf Ihre Umgebung, decken Sie Ihre Tastatur ab und verdecken Sie Ihre Tasten während der Eingabe.
Verwenden Sie immer ein sicheres, eindeutiges Einmalkennwort
Wie können Sie verhindern, dass ein Hacker Ihr Passwort stiehlt? Die wirklich kurze Antwort ist, dass Sie nicht wirklich 100% sicher sein können . Die Tools, mit denen Hacker Ihre Daten stehlen, ändern sich ständig. Sie können jedoch Ihre Gefährdung verringern.
Eines ist sicher: Die Verwendung eines starken, eindeutigen Einmalkennworts hat niemanden verletzt. Wenn Sie Tools zum Erstellen sicherer Kennwörter und Passphrasen benötigen , können wir Ihnen helfen!