So schützen Sie sich vor Angriffen aus dem Passwortwörterbuch

0
145
Contimis Works/Shutterstock.com< /figure>

Wörterbuchangriffe bedrohen die Sicherheit Ihrer Netzwerke und Plattformen. Sie versuchen, ein Benutzerkonto zu kompromittieren, indem sie ein passendes Passwort generieren. Erfahren Sie, wie sie funktionieren und wie Sie sie besiegen können.

Wörterbuchangriffe

Benutzerkonten auf Computersystemen, Websites und gehosteten Diensten müssen vor unbefugtem Zugriff geschützt werden. Die Benutzerauthentifizierung ist die gebräuchlichste Methode. Benutzer erhalten eine eindeutige Benutzer-ID—bei Online-Konten ist dies normalerweise ihre E-Mail-Adresse—und ein Passwort. Diese beiden Informationen müssen bereitgestellt, überprüft und verifiziert werden, bevor der Benutzer auf das Konto zugreifen kann.

RELATEDDas Problem mit Passwörtern sind die Menschen

Dictionary-Angriffe sind eine Familie von Cyberangriffen, die eine gemeinsame Angriffstechnik verwenden. Sie verwenden lange Listen, manchmal ganze Datenbanken, mit Wörtern und einer Software. Die Software liest nacheinander jedes Wort aus der Liste und versucht, es als Passwort für das angegriffene Konto zu verwenden. Wenn eines der Wörter in der Liste mit dem echten Passwort übereinstimmt, ist das Konto kompromittiert.

Diese Angriffe unterscheiden sich von den primitiveren Brute-Force-Angriffen. Brute-Force-Angriffe versuchen zufällige Kombinationen von Buchstaben und Zeichen in der Hoffnung, dass sie zufällig auf das Passwort stoßen und viel Glück haben. Diese Angriffe sind ineffizient. Sie sind zeit- und rechenintensiv.

Der Aufwand zum Knacken eines Passworts steigt mit jedem zusätzlichen Buchstaben, den Sie Ihrem Passwort hinzufügen, massiv. In einem achtstelligen Passwort gibt es um Größenordnungen mehr Kombinationen als in einem fünfstelligen Passwort. Es gibt keine Garantie, dass ein Brute-Force-Angriff jemals erfolgreich sein wird. Wenn jedoch bei Wörterbuchangriffen einer der Einträge in der Liste mit Ihrem Passwort übereinstimmt, wird der Angriff schließlich erfolgreich sein.

Werbung

Natürlich erzwingen die meisten Unternehmensnetzwerke nach einer bestimmten Anzahl fehlgeschlagener Zugriffsversuche eine automatische Kontosperrung. Sehr oft beginnen die Bedrohungsakteure jedoch mit den Unternehmenswebsites, die häufig weniger strenge Kontrollen bei Zugriffsversuchen haben. Und wenn sie Zugriff auf die Website erhalten, können sie diese Anmeldeinformationen im Unternehmensnetzwerk ausprobieren. Wenn der Benutzer dasselbe Kennwort erneut verwendet hat, befinden sich die Bedrohungsakteure jetzt in Ihrem Unternehmensnetzwerk. In den meisten Fällen ist die Website oder das Portal nicht das eigentliche Ziel. Es ist eine Zwischenstation auf dem Weg zum eigentlichen Preis des Bedrohungsakteurs—dem Unternehmensnetzwerk

Der Zugriff auf die Website ermöglicht es den Bedrohungsakteuren, bösartigen Code einzuschleusen, der Anmeldeversuche überwacht und die Benutzer-IDs und Passwörter. Es sendet die Informationen entweder an die Bedrohungsakteure oder protokolliert sie, bis sie zur Website zurückkehren, um sie zu sammeln.

VERBUNDEN: So verwenden Sie Pass, ein Befehls- Line Password Manager für Linux-Systeme

Nicht nur Wörter in einer Datei

Die ersten Wörterbuchangriffe waren genau das. Sie benutzten Wörter aus dem Wörterbuch. Aus diesem Grund “nie ein Wörterbuchwort verwenden” war Teil der Anleitung zur Auswahl eines starken Passworts.

RELATED< /strong>Warum obligatorische Passwort-Abläufe keinen Sinn mehr machen

Diesen Rat zu missachten und trotzdem ein Wörterbuchwort auszuwählen und dann eine Ziffer hinzuzufügen, damit es nicht mit einem Wort im Wörterbuch übereinstimmt, ist genauso schlecht. Die Bedrohungsakteure, die die Wörterbuchangriffssoftware schreiben, sind sich dessen bewusst. Sie entwickelten eine neue Technik, bei der jedes Wort aus der Liste viele Male ausprobiert wird. Bei jedem Versuch werden einige Ziffern am Ende des Wortes hinzugefügt. Dies liegt daran, dass Leute oft ein Wort verwenden und eine Ziffer wie 1, dann 2 usw. anhängen, wenn sie ihr Passwort ändern müssen.

Manchmal fügen sie eine zwei- oder vierstellige Zahl hinzu, um ein Jahr darzustellen. Es kann ein Geburtstag, ein Jubiläum, das Jahr, in dem Ihr Team den Pokal gewonnen hat, oder ein anderes bedeutendes Ereignis darstellen. Da die Leute den Namen ihrer Kinder oder ihrer Lebensgefährten als Passwörter verwenden, wurden die Wörterbuchlisten um männliche und weibliche Namen erweitert.

Und die Software hat sich wieder weiterentwickelt. Schemata, die Buchstaben durch Zahlen ersetzen, z. B. 1 für “i”, 3 für “e”, 5 für “s” usw. fügen keine signifikante Komplexität hinzu Ihr Passwort. Die Software kennt die Konventionen und funktioniert auch durch diese Kombinationen.

Werbung

Heute werden all diese Techniken noch verwendet, zusammen mit anderen Listen, die keine Standardwörter aus dem Wörterbuch enthalten. Sie enthalten tatsächliche Passwörter.

Woher die Passwörterlisten kommen

Die bekannte Have I Been Pwned-Website enthält eine durchsuchbare Sammlung von über 10 Milliarden kompromittierten Konten. Bei jeder Datenverletzung versuchen die Betreiber der Website, an die Daten zu gelangen. Wenn es ihnen gelingt, es zu erwerben, fügen sie es ihren Datenbanken hinzu.

VERWANDTESo überprüfen Sie, ob E-Mails von Mitarbeitern auf Datenschutzverletzungen beruhen

Sie können ihre E-Mail-Adressdatenbank frei durchsuchen. Wenn Ihre E-Mail-Adresse in der Datenbank gefunden wird, wird Ihnen mitgeteilt, bei welcher Datenschutzverletzung Ihre Informationen durchgesickert sind. Ich habe zum Beispiel eine meiner alten E-Mail-Adressen in der Have I Been Pwned-Datenbank gefunden. Es wurde bei einer Verletzung der LinkedIn-Website im Jahr 2016 durchgesickert. Das bedeutet, dass auch mein Passwort für diese Site verletzt worden wäre. Aber da alle meine Passwörter einzigartig sind, musste ich nur das Passwort für diese eine Site ändern.

Have I Been Pwned hat eine separate Datenbank für Passwörter. Aus offensichtlichen Gründen können Sie auf der Have I Been Pwned-Site keine E-Mail-Adressen mit Passwörtern abgleichen. Wenn Sie nach Ihrem Passwort suchen und es in der Liste finden, bedeutet dies nicht unbedingt, dass das Passwort von einem Ihrer Konten stammt. Bei 10 Milliarden gehackten Konten wird es doppelte Einträge geben. Der interessante Punkt ist, dass Sie erfahren, wie beliebt dieses Passwort ist. Sie dachten, Ihre Passwörter wären einzigartig? Wahrscheinlich nicht.

Unabhängig davon, ob das Passwort in der Datenbank von einem Ihrer Konten stammt oder nicht, wenn es sich auf der Have I Been Pwned-Website befindet, handelt es sich um Passwortlisten, die von den Bedrohungsakteuren verwendet werden’ Angriffssoftware an. Es spielt keine Rolle, wie geheimnisvoll oder obskur Ihr Passwort ist. Wenn es in den Passwortlisten enthalten ist, kann man sich nicht darauf verlassen, also ändern Sie es sofort.

VERWANDTE: Wurden Sie gehackt? 10 Indikatoren, die Ja sagen

Varianten von Passwort-Erraten-Angriffen

Selbst bei relativ einfachen Angriffen wie Wörterbuchangriffen kann der Angreifer mit einfachen Recherchen versuchen, die Arbeit der Software zu erleichtern.

Werbung

Sie können sich beispielsweise auf der Website, die sie angreifen möchten, anmelden oder teilweise anmelden. Sie können dann die Regeln für die Kennwortkomplexität für diese Site sehen. Wenn die Mindestlänge acht Zeichen beträgt, kann die Software so eingestellt werden, dass sie mit Zeichenfolgen von acht Zeichen beginnt. Es macht keinen Sinn, alle Zeichenfolgen mit vier, fünf, sechs und sieben Zeichen zu testen. Unzulässige Zeichen können aus dem “Alphabet” die die Software verwenden kann.

Hier ist eine kurze Beschreibung verschiedener Arten von Listen-basierten Angriffen.

  • Traditionelle Brute-Force-Angriffe: Eigentlich ist dies kein listenbasierter Angriff. Ein spezielles, speziell entwickeltes Softwarepaket generiert alle Kombinationen von Buchstaben, Zahlen und anderen Zeichen wie Satzzeichen und Symbolen in immer längeren Zeichenfolgen. Es versucht jedes einzelne als Passwort für das angegriffene Konto. Wenn zufällig eine Zeichenkombination generiert wird, die mit dem Passwort des angegriffenen Kontos übereinstimmt, ist dieses Konto kompromittiert.
  • Wörterbuchangriff: Ein spezielles, speziell entwickeltes Softwarepaket benötigt ein Wort nach dem anderen aus einer Liste von Wörtern aus dem Wörterbuch und versucht sie als Passwort für das angegriffene Konto. Auf Wörter aus dem Wörterbuch können Transformationen angewendet werden, beispielsweise das Hinzufügen von Ziffern und das Ersetzen von Buchstaben durch Ziffern.
  • Passwortsuchangriff: Ähnlich einem Wörterbuchangriff, aber die Wortlisten enthalten echte Passwörter. Automatisierte Software liest ein Passwort nach dem anderen aus einer riesigen Liste von Passwörtern, die bei Datenschutzverletzungen gesammelt wurden.
  • Intelligenter Passwort-Look-Up-Angriff: Wie ein Passwort-Angriff, aber Transformationen jedes Passworts werden ebenso ausprobiert wie die “naked” Passwort. Die Transformationen emulieren häufig verwendete Passwort-Tricks wie das Ersetzen von Vokalen durch Ziffern.
  • API-Angriff: Anstatt zu versuchen, das Konto eines Benutzers zu knacken, verwenden diese Angriffe Software, um Zeichenfolgen zu generieren, von denen sie hoffen, dass sie mit dem Schlüssel eines Benutzers für eine Anwendungsprogrammierschnittstelle übereinstimmen. Wenn sie Zugriff auf die API erhalten, können sie diese möglicherweise ausnutzen, um sensible Informationen oder geistiges Urheberrecht zu exfiltrieren.

Ein Wort zu Passwörtern< /h2> RELATEDWie man ein starkes Passwort erstellt (und sich daran erinnert) Es)

Passwörter sollten robust und eindeutig sein und keinen Bezug zu allem haben, was über Sie entdeckt oder abgeleitet werden könnte, z. B. die Namen von Kindern. Passphrasen sind besser als Passwörter. Drei nicht verwandte Wörter, die durch einige Satzzeichen verbunden sind, sind eine sehr starke Vorlage für ein Passwort. Entgegen der Intuition werden in Passphrasen häufig Wörter aus dem Wörterbuch verwendet, und wir wurden immer davor gewarnt, Wörter aus dem Wörterbuch in Passwörtern zu verwenden. Aber diese Kombination stellt für die Angriffssoftware ein sehr schwierig zu lösendes Problem dar.

Auf der Website How Secure Is my Password können wir die Stärke unserer Passwörter testen.

  • cloudsavvyit: Geschätzte Zeit zum Knacken: drei Wochen.

    • < li>cl0uds4vvy1t: Geschätzte Zeit bis zum Knacken: drei Jahre.

  • thirty.feather.girder: Geschätzte Zeit bis zum Knacken: 41 Billiarden Jahre!

Und vergessen Sie nicht die goldene Regel. Passwörter dürfen immer nur auf einem System oder einer Website verwendet werden. Sie dürfen niemals an mehr als einem Ort verwendet werden. Wenn Sie Passwörter in mehr als einem System verwenden und eines dieser Systeme verletzt wird, sind alle Websites und Systeme, auf denen Sie dieses Passwort verwendet haben, gefährdet, da Ihr Passwort in den Bedrohungsakteuren gespeichert ist’ Hände—und in ihren Passwortlisten. Ob es 41 Billiarden Jahre dauert, Ihr Passwort zu knacken oder nicht, wenn es in deren Passwortlisten steht, ist die Knackzeit völlig irrelevant.

Wenn Sie zu viele Passwörter haben, die Sie sich merken müssen, verwenden Sie einen Passwort-Manager .

VERWANDTE: Warum Sie einen Passwort-Manager verwenden sollten und wie Sie beginnen sollten

So schützen Sie sich vor Brute-Force-Angriffen< /h2>

Eine mehrschichtige Verteidigungsstrategie ist immer am besten. Keine einzelne Abwehrmaßnahme wird Sie gegen Wörterbuchangriffe immun machen, aber es gibt eine Reihe von Maßnahmen, die Sie in Betracht ziehen können, die sich gegenseitig ergänzen und das Risiko, dass Sie anfällig für diese Angriffe sind, erheblich reduzieren.

  • Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung. Dies bringt etwas Physisches, das der Benutzer besitzt, wie ein Handy oder ein USB-Stick oder Schlüsselanhänger, in die Gleichung ein. Informationen, die an eine App auf dem Telefon oder Informationen im Schlüsselanhänger oder USB-Schlüssel gesendet werden, werden in den Authentifizierungsprozess einbezogen. Die Benutzer-ID und das Passwort allein reichen nicht aus, um Zugriff auf das System zu erhalten.
  • Verwenden Sie robuste Passwörter und Passphrasendie einzigartig sind und sicher in verschlüsselter Form gespeichert werden.
  • Passwortrichtlinie erstellen und einführen, die die Verwendung, den Schutz und die akzeptable Formulierung von Passwörtern regelt. Stellen Sie es allen Mitarbeitern vor und machen Sie es zur Pflicht.
  • Beschränken Sie die Anmeldeversuche auf eine geringe Anzahl. Sperren Sie das Konto entweder, wenn die Anzahl der fehlgeschlagenen Versuche erreicht ist, oder sperren Sie es und erzwingen Sie eine Passwortänderung.
  • Captchas aktivieren oder andere sekundäre, bildbasierte Authentifizierungsschritte. Diese sollen Bots und Passwort-Software stoppen, da ein Mensch das Bild interpretieren muss.
  • Erwägen Sie die Verwendung eines Passwort-Managers. Ein Passwort-Manager kann Ihnen komplexe Passwörter generieren. Es merkt sich, welches Passwort zu welchem ​​Konto gehört, sodass Sie dies nicht tun müssen. Ein Passwort-Manager ist der einfachste Weg, um eindeutige, eindeutige Passwörter für jedes einzelne Konto zu haben, das Sie im Auge behalten müssen.

VERWANDTE: Verwenden von 2FA? Groß. Aber es ist nicht unfehlbar