Wie Ihre Passwörter gehackt werden

Heutzutage müssen Sie für alles im Internet ein Passwort eingeben. Da die meisten Benutzer eine Vielzahl unterschiedlicher Dienste in Anspruch nehmen, kann es schwierig sein, alle Anmeldedaten für jeden einzelnen von ihnen im Auge zu behalten. Darüber hinaus müssen Sie sich immer wieder sichere Passwörter einfallen lassen - und sich diese dann merken. Dies ist zweifellos einer der vielen Probleme, mit denen aktive IT-Benutzer täglich zu kämpfen haben - und es ist die Ursache für mehr als ein bisschen Ärger und Ressentiments.

Die daraus resultierende Verachtung von Passwörtern ist eine Hauptursache für viele schlechte Passwortpraktiken. Zu diesen Praktiken gehört es, Passwörter zu recyceln oder sie so einfach wie möglich zu halten, um sie leicht zu merken. Leider stellen diese beiden Praktiken eine Lücke in Ihrer Online-Sicherheit dar, die Sie sich kaum leisten können.

So funktionieren Passwort-Hacks

Um ein Passwort zu hacken, verwendet ein Angreifer normalerweise ein Wörterbuch-Angriffstool. Dies ist ein Tool, mit dem der böswillige Akteur mehrmals hintereinander versuchen kann, sich bei einem Konto anzumelden. Dieses Tool wird dann mit einer Liste häufig verwendeter oder anderweitig bekannter Kennwörter geladen. Das Tool versucht dann, sich mit jedem Passwort in seinem „Wörterbuch“ bei der Plattform anzumelden, in der Hoffnung, eine Übereinstimmung zu finden. Wenn eine Übereinstimmung gefunden wird, kann sich der Angreifer mit Administratoranmeldeinformationen anmelden oder sogar eine Hintertür für einen zukünftigen Eintrag installieren. Ab diesem Zeitpunkt ist Ihre Online-Präsenz gefährdet, und je nachdem, wie wichtig und miteinander verbunden das verletzte Konto ist, können Sie schwer leiden.

Die Geschwindigkeit, mit der solche Wörterbuchangriffe stattfinden können, kann stark variieren, abhängig von der Einrichtung und den Fähigkeiten des Angreifers, der Bibliothek mit Kontonamen und Kennwörtern, auf die er Zugriff hat, und den Einschränkungen der Plattform, gegen die er verstoßen möchte. Einige Plattformen treffen Vorkehrungen, um solche Brute-Forcing-Methoden nicht zuzulassen - aber nicht alle.

Eine weitere beliebte Technik ist das sogenannte "Credential Stuffing". Dies ähnelt einem Wörterbuchangriff, stützt sich jedoch auf den betreffenden Cyberkriminellen, der sein Ziel genauer untersucht und eine spezifischere, komplexere Liste von Passwörtern in die Hände bekommen hat. Diese Liste besteht höchstwahrscheinlich aus echten Kontonamen und Passwörtern, die aus anderen Kompromissen in der Vergangenheit stammen.

Was bedeutet das für Sie?

Die Tatsache, dass es riesige Bibliotheken gibt, die die weltweit am häufigsten verwendeten und beliebtesten Passwörter enthalten, zeigt, wie wichtig es ist, dass Benutzer eindeutige und erfinderische Passwörter entwickeln. Wenn Ihr Passwort offensichtlich und leicht zu merken ist, steht es wahrscheinlich auf der Liste, und jeder, der diese Liste ausprobiert, kann leicht in Ihr Konto eindringen. Dies bedeutet, dass Sie mit jedem Passwort kreativ werden müssen, um den Zugriff auf eines Ihrer wichtigen Konten zu schützen. Wenn Sie nur ein einzelnes Wort aus acht Buchstaben verwenden, wobei einige der Buchstaben gegen Zahlen ausgetauscht werden, bedeutet dies, dass Sie Ihr Konto für die Hacker, die Wörterbuchangriffe verwenden, praktisch unbewacht lassen. Ihr Passwort muss so verwirrend sein, dass sie nicht die Chance haben, es zu erraten - denn mit der richtigen Einrichtung haben sie möglicherweise keine Probleme, 5-10 Millionen Versuche zu unternehmen, in Ihr Konto einzudringen.

Darüber hinaus sollten Sie Kennwörter niemals für mehrere Konten wiederverwenden. Während viele Unternehmen ernsthaft die Sicherheit ihrer Benutzer ernst nehmen, zeigt eine Studie, dass menschliches Versagen heutzutage die Hauptursache für Datenverletzungen ist. Selbst wenn das System, das eines Ihrer Konten schützt, an und für sich einwandfrei ist, sind die Personen, die mit ihm interagieren, nur Menschen, und es kommt zu Unfällen. Dies ist zwar bedauerlich, bedeutet jedoch, dass jeder Ihrer Anmeldungen jederzeit online durchgesickert sein kann - und auf einer Liste mit Kennwörtern von Hackern landet, die Sie beim nächsten Versuch versuchen, in eine Plattform einzudringen. Sie müssen unbedingt vermeiden, dass dies einem Ihrer wichtigen Konten passiert - und dies kann nur durch die Verwendung eindeutiger und komplexer Anmeldungen für jedes einzelne Konto erreicht werden.

Dies ist eine Herausforderung an sich und ein Dilemma, das nur zwei mögliche Antworten zu haben scheint. Sie müssen entweder anfangen, eine Vielzahl eindeutiger und komplexer Kennwörter zu erstellen, zu speichern und einzugeben, oder einen Kennwortmanager beauftragen, dies für Sie zu tun.

February 21, 2020

Antworten