EN

Was ist ein Passwortangriff

In diesem Artikel:

Ein Passwortangriff ist ein gängiges Angriffsszenario, bei dem die Authentifizierung von Benutzerkonten umgangen oder ausgenutzt wird. Als eine der häufigsten Bedrohungen für die Anwendungssicherheit waren Passwortangriffe für mehr als 81 % der Datenschutzverletzungen im Jahr 2020 verantwortlich. In diesem Artikel erfahren Sie, was ein Passwortangriff ist, welche verschiedenen Arten solcher Angriffe es gibt und wie man sie in modernen Anwendungen am besten verhindert.

Definition eines Passwortangriffs

Bei Passwortangriffen wird eine Schwachstelle in der Autorisierung des Systems ausgenutzt, kombiniert mit automatischen Passwortangriffstools, die das Erraten und Knacken von Passwörtern beschleunigen. Der Angreifer verwendet verschiedene Techniken, um auf die Anmeldeinformationen eines legitimen Benutzers zuzugreifen und diese offenzulegen und dann dessen Identität und Berechtigungen übernimmt. 

Die Kombination aus Benutzername und Kennwort ist eine der ältesten bekannten Techniken zur Authentifizierung von Konten, so dass die Angreifer genügend Zeit hatten, mehrere Methoden zu entwickeln, um an erratbare Kennwörter zu gelangen. Außerdem sind Anwendungen, die Passwörter als einzigen Authentifizierungsfaktor verwenden, anfällig für Passwortangriffe, da die Schwachstellen gut bekannt sind.

Passwortangriffe haben weitreichende Folgen, da böswillige Benutzer nur unbefugten Zugriff auf ein einziges privilegiertes Konto oder einige wenige Benutzerkonten benötigen, um die Webanwendung zu kompromittieren. Je nach den von der Anwendung gehosteten Daten können kompromittierte Passwörter den Weg für die Preisgabe sensibler Informationen, verteilte Denial-of-Service-Attacken, Finanzbetrug und andere raffinierte Angriffe ebnen.

Arten von Passwortangriffen

Hacker nutzen in der Regel verschiedene Techniken, um an das Kennwort eines legitimen Benutzers zu gelangen und sich damit zu authentifizieren. Dazu gehören:

Phishing-Angriffe

Phishing-Angriffe sind bei weitem die häufigste Form von Kennwortangriffen und beinhalten eine Social-Engineering-Technik, bei der sich der Hacker als vertrauenswürdige Website ausgibt, indem er dem Opfer einen bösartigen Link schickt. Nachdem das Opfer angenommen hat, dass es sich bei einem legitimen Webserver authentifiziert, klickt es auf diesen Link und gibt dem Angreifer seine Kontodaten preis. Neben dem Identitätsdiebstahl begünstigen Phishing-Angriffe auch Advanced Persistent Threats, indem sie es dem Angreifer ermöglichen, sich die Rechte eines internen Benutzers zu verschaffen und so unbemerkt tiefer gehende Komponenten des Systems zu kompromittieren. Bei Phishing-Angriffen verwenden die Angreifer in der Regel mehrere Methoden, um den Benutzer dazu zu verleiten, auf den bösartigen Link zu klicken, darunter:

1. DNS-Cache-Poisoning – Angreifer nutzen Schwachstellen im DNS-Server der Anwendung aus, um Benutzeranfragen auf eine bösartige Website mit einem ähnlich aussehenden Domänennamen umzuleiten.

2. URL-Hijacking/Typosquatting – Der Angreifer erstellt eine echt aussehende URL mit subtilen Unterschieden zu der Website, die er imitieren will. Der Angriff hängt dann davon ab, dass die Benutzer Tippfehler machen, so dass sie auf der bösartigen Seite landen. 

3. Tabnabbing – Der Angreifer schreibt unbeaufsichtigte Browser-Tabs mit bösartigen Websites um, die wie legitime Webseiten aussehen.

4. UI-Redressing/iFrame-Overlay – Der Angreifer platziert einen Link zur bösartigen Seite über einer legitimen, anklickbaren Schaltfläche unter Verwendung transparenter Ebenen. 

5. Klon-Phishing – Bei diesem Angriff sendet der Angreifer eine Kopie einer legitimen E-Mail, in der die Links in der ursprünglichen E-Mail durch URLs zu bösartigen Websites ersetzt werden. 

Brute-Force-Angriffe auf Passwörter

Bei dieser Art von Passwortangriff werden die Authentifizierungsdaten eines Benutzers durch Ausprobieren erraten. Der Angreifer verwendet automatisierte Skripte, um so viele Permutationen wie möglich durchzugehen, um das Kennwort des Benutzers richtig zu erraten. Obwohl es sich um eine relativ alte Methode handelt, die viel Geduld und Zeit erfordert, ist ein Brute-Force-Angriff immer noch Standard bei Versuchen, ein Konto zu knacken, da er automatisiert und unkompliziert ist. Es gibt mehrere Arten von Brute-Force-Angriffen:

1. Einfache Brute-Force-Angriffe – Ein Hacker verwendet Logik und Daten über einen Benutzer, um das wahrscheinlichste Passwort zu erraten. Diese Technik wird bei relativ einfachen Passwörtern angewandt, z. B. bei Passwörtern, die eine Kombination aus Kosename, Jahr und Geburtsdatum enthalten.

2. Credential Stuffing – Hierbei werden zuvor offengelegte Anmeldekombinationen verwendet, die böswillig über anfällige Websites erlangt wurden. Bei solchen Angriffen machen sich Hacker in der Regel die Tatsache zunutze, dass Unternehmen dazu neigen, ihre Benutzernamen-Passwort-Kombinationen über mehrere Dienste hinweg wiederzuverwenden.

3. Hybride Brute-Force-Angriffe – Ein Angreifer kombiniert einfaches Ausprobieren von schwachen Passwörtern mit automatisierter Software, die Credential Stuffing durchführt, um komplexe Passwörter aufzudecken. In den meisten Produktionssystemen verwenden Unternehmen leichte Variationen von Passwörtern auf verschiedenen Websites. Angreifer verlassen sich auch auf Benutzerdatenmuster in verschiedenen Diensten, um die Genauigkeit von Tools zum Ausfüllen von Anmeldeinformationen zu verbessern.

4. Umgekehrte Brute-Force-Angriffe – Bei dieser Form des Angriffs beginnt ein Hacker mit einem bekannten Kennwort und sucht dann nach Benutzernamen, die diesem entsprechen. Da Bedrohungsakteure oft Zugang zu mehreren Datenbanken mit durchgesickerten Anmeldedaten haben, ist es einfach, gemeinsame Kennwörter innerhalb einer bestimmten Benutzergruppe zu identifizieren.

Wörterbuch-Passwortangriffe

Bei dieser Angriffsmethode wird eine vordefinierte Liste von Wörtern verwendet, die mit hoher Wahrscheinlichkeit in einem bestimmten Zielnetzwerk als Kennwörter verwendet werden. Die vordefinierte Liste wird aus den Verhaltensmustern eines Website-Benutzers und aus Passwörtern erstellt, die aus früheren Datenverletzungen stammen. Die Listen werden erstellt, indem gängige Wortkombinationen nach Groß- und Kleinschreibung variiert, numerische Suffixe und Präfixe hinzugefügt und gängige Phrasen verwendet werden. Diese Listen werden an ein automatisiertes Tool weitergeleitet, das versucht, sich anhand einer Liste bekannter Benutzernamen zu authentifizieren.

Password-Spraying-Angriff

Bei dieser Art von Angriff versucht der Hacker, sich mit demselben Passwort bei verschiedenen Konten zu authentifizieren, bevor er zu einem anderen Passwort übergeht. Password-Spraying ist am effektivsten, da die meisten Website-Benutzer einfache Passwörter festlegen und die Technik nicht gegen Sperrrichtlinien verstößt, da sie mehrere verschiedene Konten verwendet. Angreifer setzen Passwort-Spraying meist auf Websites ein, auf denen Administratoren ein Standardpasswort für neue Benutzer und nicht registrierte Konten festlegen. 

Keylogging

Bei einem Keylogging-Angriff installiert ein Hacker Überwachungs-Tools auf dem Computer des Benutzers, um die vom Benutzer eingegebenen Tasten heimlich aufzuzeichnen. Ein Keylogger zeichnet alle Informationen auf, die Benutzer in Eingabeformulare eingeben, und sendet sie dann an den böswilligen Dritten. Während Keylogger in Unternehmen oft einen wichtigen Nutzen haben (UX-Verbesserung, Überwachung von Mitarbeitern usw.), werden sie von Angreifern oft dazu verwendet, Informationen wie Anmeldedaten für einen unberechtigten Zugriff böswillig zu extrahieren.

Beispiel eines Passwortangriffs

Eines der häufigsten Beispiele für einen Phishing-Passwortangriff besteht darin, dem Opfer vorzugaukeln, dass sein Konto deaktiviert wird, wenn es seine Anmeldedaten nicht bestätigt.

Angenommen, der Benutzer nutzt Dienste einer Website mit der URL: http://darwin.com

Der Angreifer versendet Phishing-E-Mails an die Benutzer, in denen er sie darüber informiert, dass ihr Konto kompromittiert wurde und ihre Kreditkarten- und Anmeldedaten benötigt werden, um das Konto zu behalten. Die E-Mail enthält einen ähnlichen Link wie: http://darw1n.com/confirm-details, der auf die bösartige Website des Hackers verweist. Das Opfer klickt auf diesen Link und wird auf die gefälschte Bestätigungsseite umgeleitet, wo es seine legitimen Anmeldedaten eingibt. Der Hacker sammelt diese Anmeldedaten und verwendet sie, um auf das legitime Konto des Opfers zuzugreifen.

Wie man Passwort-Angriffe verhindert

Einige bewährte Methoden zur Verhinderung von Passwortangriffen sind:

Durchsetzung strenger Kennwortrichtlinien

Sicherheitsadministratoren müssen Richtlinien durchsetzen, die sicherstellen, dass Benutzer bestimmte Kriterien befolgen, um zu verhindern, dass böswillige Akteure ihre Passwörter knacken. So sollte das Passwort beispielsweise mindestens 8 Zeichen lang sein und Sonderzeichen enthalten, um Brute-Force-Versuche zu verhindern. Außerdem sollten Passwörter keine persönlichen Informationen enthalten, da dies Wörterbuchangriffe begünstigen kann. Die Benutzer sollten außerdem für jeden Dienst ein eindeutiges Passwort verwenden und die Passwörter häufig wechseln, um zu verhindern, dass Angreifer ungeschützte Anmeldedatenbanken für Passwortangriffe nutzen. 

Unternehmensweite Schulungen zur Passwortsicherheit

Es muss unbedingt sichergestellt werden, dass jeder Benutzer die Wichtigkeit einer starken Passwortpolitik versteht und das unternehmensweite Bewusstsein für Passwortsicherheit befolgt. Außerdem sollte jeder Anwendungsbenutzer über Social-Engineering-Angriffe informiert sein, die ihn dazu verleiten, seine Anmeldedaten an böswillige Dritte weiterzugeben. 

Aktivieren Sie die Multifaktor-Authentifizierung

Passwörter allein bieten im Allgemeinen keine vollständige Lösung für die Benutzerauthentifizierung. Die Multifaktor-Authentifizierung beinhaltet die Verwendung von Passwörtern in Kombination mit zusätzlichen Sicherheitsüberprüfungen. Einige MFA-Implementierungen umfassen das One-Time Password (OTP), biometrische Authentifizierung, Software-Token und Verhaltensanalyse.

Verwenden Sie einen Passwort-Manager

Die Hauptfunktion eines Passwortmanagers besteht darin, Webadministratoren bei der Speicherung und Verwaltung von Benutzeranmeldeinformationen zu unterstützen. Passwortmanagement-Lösungen generieren auch Passwörter für Benutzer, die strengen Richtlinien und Best Practices folgen. Darüber hinaus speichern diese Tools die Benutzerdaten in stark verschlüsselten Datenbanken, so dass sie bei einer Verletzung der Datensicherheit zuverlässig geschützt sind.

FAQ

Was sind die Unterschiede zwischen unzulässiger Authentifizierung und Passwortangriffen?

Die unvollständige Authentifizierung umfasst eine Reihe von Schwachstellen, die es Hackern ermöglichen, die Identität des rechtmäßigen Benutzers einer Anwendung anzunehmen. Diese Schwachstellen entstehen oft durch eine mangelhafte Sitzungs- und Anmeldungsverwaltung. Kennwortangriffe hingegen sind Strategien, die Schwachstellen in der Verwaltung von Anmeldeinformationen ausnutzen und dem Angreifer Zugriff auf das Kennwort oder die Sicherheitsdaten eines Benutzers gewähren. 

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit http://example.com
Wir scannen derzeit http://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 27/05/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Ihren Bericht anfordern
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.