Die Methoden der Hacker und der Schutz davor

Die Methoden der Hacker und der Schutz davor

Es gibt die unterschiedlichsten Methoden für Menschen mit krimineller Energie Passwörter rauszufinden und Accounts zu hacken. Je komplexer aber die Wahl Deines Passwortes ist, desto schwerer wird es für einen potenziellen Angreifer. Damit Du selbst auch eine Vorstellung davon hast und wie Du Dich schützen kannst hier die gängigsten Methoden.

Wie Hacker Passwörter rausfinden

Erraten

Ja, auch Raten ist eine Methode die leider auch noch oft zum Ziel führt. Der Angreifer probiert einfache und übliche Passwörter aus Top100 Listen der beliebtesten Passwörter (password, 123456, abc123 usw.). Falls der Angreifer die Person kennt werden persönliche Daten (Geburtsdatum, Name des Partners, Name des Haustiers) und Kombinationen probiert.

Passwort erschleichen

Viele Leute verwenden leider immer dasselbe Passwort bei unterschiedlichsten Internetdiensten. Sollte mal einer der Dienste gehackt werden, oder der Betreiber dahinter selbst kriminelle Energie besitzen, kennt der Angreifer potenzielle Passwörter. Oft werden die „erworbenen“ Daten auch in der Szene veröffentlicht, so daß Dein Passwort dann garantiert keinen Schutz mehr bietet.

Wenn Du das Passwort jemandem verratest, solltest Du dieser Person zu 100% vertrauen. Leider ist es häufig so, daß Passwörter an alle möglichen Leute die halt „ehrlich erscheinen“ und „nur helfen wollen“ rausgegeben werden.

Phising

Phising ist auch eine Möglichkeit. Webseiten werden nachgebildet und der unbedarfte User gibt auf einer nachgebildeten Webseite sein Login und Passwort ein und schon hat es der Angreifer für die echte Webseite. Oftmals wird per eMail und einem falschen Link dieser Schritt initiert.

Achte daher genau darauf wo Du Daten eingibst (vor allem wo es um Geld geht) klicke nicht auf „komische“ Links, öffne keine Anhänge von Dir unbekannten Personen. Jeder eMail Client und Browser bietet mittlerweile schon einen guten Schutz davor, aber das Wichtigste ist immer noch Brain1.0 8)

Brute-Force-Methode

Stell Dir einfach mal ein Fahrradschloss vor, welches mit 3 Ziffern geschützt ist. Hier benötigt jemand der das Schloss öffnen will im Maximum 1000 Kombinationen (000, 001, 002 … 998, 999). Wenn ich das mit der Hand mache, kann ich in etwa eine Kombination pro Sekunde prüfen und werde so in maximal 17 Minuten das Schloss geöffnet haben. Sollte die richtige Kombination sogar mit 0 beginnen, so habe ich es noch viel schneller.

Im Internet macht man dasselbe automatisiert über sogenannte Brute-Force-Attacken. Alle möglichen Kombinationen werden einfach durchprobiert. Natürlich ist ein PC schneller und schafft Millionen Kombinationen in kürzester Zeit.

In dem Artikel Zusammenhang von Brute-Force-Attacken und Passwortlängen wird schön beschrieben wie mit der Länge der Passwörter und der Zunahme der Komplexität die Zeit des möglichen „Knackens“ erhöht wird.

Wörterbuch-Angriff

Über Passwortlisten werden die sogenannten Wörterbuchangriffe durchgeführt. Im Prinzip ist es dasselbe wie Brute-Force, nur daß nicht alle möglichen Kombinationen durchprobiert werden, sondern nur die, die auf der Liste stehen.

Im Internet finden sich viele Passwortlisten mit unterschiedlich vielen Passwörtern darin. Oft sind es nur wenige 1000 Passwörter speziell auf ein Thema zugeschnitten – beispielsweise Harry Potter oder Vampire Diaries. Damit könnte man das Passwort eines Fans recht schnell rausfinden.

Oft besteht so eine Passwortliste aber auch aus Millionen Einträgen und beinhaltet die allerwichtigsten und häufigsten Passwörter. Leider erwischt man so auch die meisten Leute, da das Bewusstsein für Sicherheit einfach fehlt.  Auf diesen Passwortlisten stehen nicht nur Wörter, sondern auch die üblichsten und einfachsten Kombinationen wie 24 oder 66 an ein Wort ranhängen.

Der Sicherheitsanbieter Imperva hat eine Passwortliste mit etwa 32 Millionen Passwörtern unter die Lupe genommen. Das Ergebnis ist erschreckend, da nur etwa 0,2 Prozent aller User ein sicheres Passwort gewählt haben. 30%  der Passwörter waren nur 6 Zeichen lang, knapp 50% waren normale Wörter.

Weitere Details zu der Studie findet ihr beispielweise bei Chip.de.

Exploits, Injections

Exploits sind kleine Programme, welche Schwachstellen / Sicherheitslücken in der Software nutzen um an Daten ranzukommen. Oftmals werden sogenannte Injections (= Einschleusen) dafür genutzt. SQL-Injections beispielsweise nutzen schlecht programmierte Datenbankabfragen in Verbindung mit Nutzereingaben. Ein Hacker kann so eigene Datenbankbefehle einschleusen und Daten auslesen, verändern uvm.

Mit Exploits ist es beispielsweise möglich Passwörter auszulesen oder gleich direkt das Forum zu zerstören. Daher ist es wichtig  kritische Updates immer schnellstmöglich einzuspielen. Eine ausgereifte und moderne Standard-Software ist meist schon frei von Sicherheitslücken, aber durch externe Hacks oder Plugins (die nicht so sauber programmiert wurden) können wieder Lücken entstehen.

Rainbow-Tables

Rainbow Tables sind eine clevere Methode Passwörter zu knacken. Dies funktioniert über Tabellen mit Hash-Werten von Passwörtern. Eingesetzt werden Rainbow Tabellen bei verschlüsselten (gehashten) Passwörtern wie MD5 oder SHA1.

Gehashte Passwörter können nicht „unhashed“ werden, da das System nur in eine Richtung funktioniert und eine Entschlüsselung des Passwortes unmöglich ist. Bei einer Eingabe eines Passwortes wird dieses gehasht und mit dem gespeicherten Hash-Wert verglichen und wenn dies übereinstimmt ist das Login korrekt. Damit ist schon eine Grundsicherheit gegeben. Regenbogentabellen enthalten nun von vielen wahrscheinlichen Passwörtern die Hashes, werden noch über mathematische Formeln reduziert und erlauben so ein schnelles Durchsuchen.

Der beste Schutz ist es lange Passwörter zu wählen und möglichst auch salt einzusetzen. Salt verändert das Passwort vor dem Hashen nochmals durch einen zufällig generierten Wert. Somit wird es fast unmöglich das Passwort zu knacken.

Basis-Schutz: Wähle sichere Passwörter

Dazu habe ich schon einen Artikel verfasst. Schau hier mal rein: Tipps für sichere Passwörter und nimm Dir die 7 Tipps zu Herzen. Mit einem sicheren Passwort bist Du schon mal auf einem sehr guten Weg und kannst die allermeisten Angriffe überstehen, da es zeitlich einfach enorm aufwenig wäre gute Passwörter zu cracken. Warum sollten Angreifer dies also machen, wenn es extrem viele Leute gibt die in Sekunden gehackt sind?

Achte auch darauf, daß alle User mit Admin-Zugang sichere Passwörter haben. Nur eine schwache Stelle genügt einem Angreifer. Solltest Du Server-, FTP oder mySQL Zugangsdaten haben, sind diese auch sehr sensibel zu behandeln.

Softwareseitiger Schutz vor Hackern

Als Forenbetreiber bist Du natürlich daran interessiert Dich, Dein Forum und Deine Mitglieder möglichst gut zu schützen. Da kann auch die Forensoftware helfen Attacken abzuwehren und es möglichen Hackern schwerer zu machen. Hier einige Möglichkeiten was man (je nach Wissen) machen kann:

Speichere die Passwörter in der Forensoftware nie im Klartext. Nutze die Möglichkeit zur Verschlüsselung die schon jede Software anbietet. Kannst Du zusätzlich noch salt einsetzen, bist Du sehr gut abgesichert.

Erweitere das Login in den Administrationsbereich und ins Forum. Beispielsweise kannst Du ein Captcha verpflichtend ausfüllen lassen oder nach jedem fehlerhaften Login ein paar Sekunden Zeitverzögerung einbauen. Moderne Software ermöglicht noch weitere feine Untergliederung – beispielsweise erscheint nach der 3. fehlerhaften Eingabe ein Captcha oder eine Sicherheitsfrage zum Eingeben. So können Angriffe mit tausenden Versuchen pro Sekunde verzögert und abgehalten werden.

Sperre die IP, falls zu viele Fehlversuche von dieser in kurzer Zeit kommen. Intelligente Schutz-Software nimmt Dir dies selbstständig ab und sperrt die IP vorübergehend für ein paar Minuten oder auch Stunden.

Sorge für gute Fehlermeldungen nach einem fehlerhaftem Login. Schlecht ist es, wenn steht „Passwort ist falsch“. Ein Angreifer weiß dann, daß zumindest der Username richtig ist. Besser ist es wenn dort steht „Username oder Passwort falsch“. Dies bringt natürlich nur was, wenn der Username für den Adminbereich unbekannt ist.

Doppelter Zugriffsschutz (mache ich persönlich gerne für Adminbereiche). Vor dem normalen Login wird ein 2. Login vorgeschaltet mit einem separaten Usernamen und Passwort. Dies kann man schön per .htaccess und .htpasswd erreichen. Der große Vorteil – neben der doppelten Hürde – ist, daß beim vorgeschalteten Login nicht nur das Passwort, sondern auch der Username nach außen unbekannt ist und ein Angreifer so keinerlei Anhaltspunkte hat.

Eine wirkungsvolle Methode für Adminbereiche ist es auch, diese umzubenennen. Beispielsweise lautet bei einer Standardinstallation eines Woltlab Burning Boards das Adminverzeichnis /acp. Ein Angreifer wird dort auch das Login vermuten und seine Attacke starten. Ändert man nun das /acp in ein anderes Verzeichnis, was man nur selbst kennt ist das enorm wirkungsvoll (beispielsweise /admin94833) – dies müsste nämlich erstmal vom Angreifer gefunden werden, damit er eine Attacke starten könnte. Und selbst wenn er das Passwort schon kennt würde er nicht reinkommen, da er das ACP-Login nicht finden würde :D

Fazit

Ich weiß, ein langer Artikel – ich wollte aber mal die Methoden aufzeigen wie Hacker an Passwörter kommen können. Und wie Du siehst sind diese sehr vielfältig und ausgeprägt. Wenn Du Dich aber an die Tipps hältst, gehörst Du zu den kleinen Prozentanteil der Personen die mit Passwörtern intelligent umgehen und somit für Hacker weniger interessant sind. Der Aufwand wäre viel zu hoch, wenn man bedenkt daß in der selben Zeit vermutlich hunderte bis tausende anderer Accounts gehackt werden könnten.

Ein fahrlässiger Umgang mit Passwörtern kann sehr schaden und zu simple Passwörter sind in Sekunden geknackt. Somit wäre Dein Forum und die Daten Deiner Mitglieder in Gefahr.

Nimm daher die Passwortproblematik ernst und rede Dich nicht raus mit „Ich kann mir ein schweres Passwort nicht merken“ oder „Das ist so umständlich„. Meine Meinung: Sicherheit hat immer höchste Priorität.

Einen Kommentar schreiben

:D :-) :( :o 8O :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: