Hacker erraten 60 Prozent aller Passwörter

Nach neun Monaten Penetrationstests verdeutlicht eine Studie von Rapid7 die effektivsten Methoden, mit denen Hacker Passwörter knacken. 73 Prozent der Hackereinbrüche basieren auf gestohlenen Passwörtern. Die Hälfte von ihnen können zu 60 Prozent ganz einfach von Hackern erraten werden. Das zeigt die Studie »Under the Hoodie« von Rapid7, die auf den Ergebnissen von 180 in neun Monaten durchgeführten Penetrationstests beruhen.

Anzeige

Trotz vieler Userschulungen, die die Bedeutung sicherer Passwörter zum Thema haben, konnten die Penetrationstester von Rapid7 60 Prozent aller Passwörter ganz einfach erraten, indem sie bekannte Standardwerte, Variationen des Wortes »Password«, die aktuelle Jahreszeit, das aktuelle Jahr sowie leicht zu erratende, organisationsspezifische Passwörter ausprobierten.

Die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen ist jedoch das Offline-Passwort-Hacking mit einer Hash-Datei. Die häufigste Quelle für Passwörter waren dieses Jahr erbeutete Hash-Dateien. Auch spezifischere Ursprünge für Hashes wie beispielsweise Challenge-Response-Traffic und /etc/shadow wurden gemeldet. Rapid7 stellte auch hier fest, dass viele der geknackten Passwörter mit etwas mehr Zeit leicht hätten erraten werden können. Besonders zu beachten sind die erbeuteten LM-Hashes. Diese sind extrem unsicher, laufen einigen grundlegenden empfohlenen Methoden der Kryptographie zuwider und wurden von Microsoft schon lange zugunsten stärkerer Hashing-Mechanismen verworfen. Doch obwohl sie in Microsoft-Umgebungen, die in den vergangenen zehn Jahren aktualisiert wurden, im Grunde keine Rolle mehr spielen, bestehen sie weiterhin hartnäckig und warten nur darauf, von Angreifern ausgenutzt zu werden. Domain-Administratoren werden nachdrücklich aufgefordert, diese LM-Hashes endgültig auszurotten, wobei Deaktivierung von LM-Hash-Speicher helfen kann.

Anzeige

Dies sind die Ergebnisse des jährlichen Rapid7 Berichts »Under the Hoodie« , der jetzt im dritten Jahr erscheint und sich auf die Erkenntnisse aus 180 Penetrationstests über einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 stützt. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und persönlichen sowie elektronischen Social-Engineering-Angriffen werden in dem Bericht die Schwachstellen aufgedeckt, die in Unternehmen am häufigsten zu finden sind.

Darüber hinaus beschreibt die Studie, warum die Transport-Schicht die häufigste Sicherheitsschwachstelle in Unternehmen ist (jedes fünfte Unternehmen ist betroffen). Besonderer Fokus wird auf die Verwendung veralteter Verschlüsselungsstandards beziehungsweise unverschlüsselter Kommunikation von Systemen gelegt, die von extern erreichbar sind.

Tod Beardsley, Forschungsdirektor von Rapid7, sagte: »Es ist heute üblich, sicherzustellen, dass Passwörter einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die Benutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Aber solche Passwortregularien führen bei den Usern letztlich nur dazu, dass sie die Komplexität des Passworts reduzieren. Und so werden sie immer wieder von Schemata wie »Sommer2019!« oder »Herbst2019!«, einsetzen. Unternehmen sollten daher ernsthaft in Erwägung ziehen, zufällige Passwörter über eine Lösung zur Passwortverwaltung zu vergeben, was deutlich besser wäre, als auf die Komplexität von Passwörtern und Rotationsregeln zu bestehen.«

 

Anzeige

496 Artikel zu „Passwörter“

Cybersecurity & Passwörter-Studie – 14 Prozent nutzen für alles das gleiche Passwort

Cybersecurity spielt nicht nur in der Digitalisierung der Arbeitswelt, sondern auch im Umgang mit unseren persönlichen Daten, eine immer größere Rolle. Und trotzdem sind unter den beliebtesten Passwörtern in Deutschland immer noch gefährliche Klassiker wie »hallo123« und »passwort«. Appinio hat 3592 Deutsche im Alter von 16 bis 44 Jahren über die Sicherheit ihrer Passwörter befragt.…

Täglich grüßt der Hacker – sind Passwörter noch zeitgemäß?

Ein australischer IT-Sicherheitsexperte hat in einem Hackerforum die bisher größte öffentlich einsehbare Sammlung gestohlener Zugangsdaten entdeckt. Um 2.692.818.238 (rund 2,7 Milliarden) Zeilen mit E-Mail-Adressen und Passwörtern soll es dabei gehen. Für Betroffene kann damit großer Schaden verbunden sein, etwa, wenn Kreditkartendaten mit kompromittierten Accounts verknüpft sind. Zeit zu handeln und auf Alternativen für klassische Passwörter…

Sündenfall Qwertz123: Sechs Best Practices für sichere Passwörter

Qwertz123, Passwort, Hallo – Sündenfälle bei der Passwortvergabe halten sich hartnäckig. Vielen Nutzern scheint immer noch nicht bewusst zu sein, dass sich Cyberkriminelle, etwa durch die Verwendung von Passwortlisten gestohlener, gängiger und beliebter Kennwörter, relativ einfach Zugang zu Konten verschaffen können. Um Sicherheitsmaßnahmen wie eine Sperrung wegen mehrfacher Eingabe falscher Zugangsdaten zu umgehen, nutzen Angreifer…

Die meisten Passwörter wurden schonmal geknackt: Wie Sie sich selbst online schützen

Hier gibt es Ratschläge, wie potenzielle Datenschutzverletzungen bemerkt werden und man online gesichert bleibt. Datenpannen sind auf einem Allzeithoch und es ist sehr wahrscheinlich, dass viele Passwörter diesen ausgesetzt sind. Sie werden jetzt im Dark Web zusammen mit allen Nutzerinformationen verkauft. Schlagzeilen über massive Datenpannen, die Millionen von Nutzern betreffen, waren noch nie so häufig…

Passwörter, Fingerabdrücke und Gesichtserkennung – Authentifizierungsmethoden verändern Geschäfts­prozesse

Als alleinige Authentifizierungsmethode sind Passwörter nicht mehr zeitgemäß. Je komplexer Passwörter werden, desto aufwendiger sind sie zu verwalten. Bei der biometrischen Authentifizierung zeichnen sich eine immer größere Interoperabilität, offene Standards und wachsende Benutzerfreundlichkeit ab.

Neue Angriffsvariante: Trojaner nutzt Samba, um an Daten und Passwörter zu gelangen

Angriffe sind stark verschleiert und werden unbemerkt direkt unter dem Profil des aktuellen Benutzers ausgeführt.   Barracuda Networks hat eine neue Form einer Cyberattacke auf unvorsichtige Nutzer identifiziert, die von Kriminellen genutzt werden kann, um Ransomware oder andere Malware zu verbreiten. Die Angreifer nutzen eine für die Nutzer unbekannte Dateiendung innerhalb eines Links, um den…

Passwortschutz 4.0: Passwörter auf Schmuck und Haushaltsgegenstände gravieren lassen

Absolute Weltneuheit – Gravieren Sie sich Ihre Passwörter auf edlen Schmuck oder andere Produkte des täglichen Lebens und Sie müssen sich nie wieder merkwürdige Buchstabenrätsel merken. Gravado.de veröffentlicht exklusive »Password Collection«. Ihnen ist es doch sicher auch schon so ergangen: Egal ob Sie unterwegs oder vergesslich sind – in einen dringend benötigten Account einloggen, ohne…

Gehaltslisten, Kreditkartendaten, Passwörter und Kundendaten auf gebrauchten Festplatten gefunden

So leichtsinnig gehen Firmen und Konsumenten mit sensiblen Daten um. Mit wenigen Klicks an vertrauliche Daten einer großen Supermarktkette gelangen klingt unmöglich? Attingo Datenrettung tritt den Gegenbeweis an: Auf namhaften Onlineauktionsplattformen und Kleinanzeigenportalen in Österreich und Deutschland kaufte das Datenrettungsunternehmen 100 gebrauchte Datenträger um etwa 6 Euro per Stück für das Ersatzteillager ein. Die regelmäßig…

Guter Vorsatz: Bessere Passwörter nutzen

■ Jeder Dritte nutzt nur ein Passwort für mehrere Dienste. ■ Bitkom gibt Hinweise zum besseren Schutz gegen Cyberkriminelle.   »hallo«, »passwort« oder »123456« – bei der Wahl ihrer Passwörter vertrauen viele Menschen auf einfache Kombinationen. Jeder dritte Internetnutzer (32 Prozent) in Deutschland gibt außerdem an, dass er für mehrere Online-Dienste das gleiche Passwort nutzt.…

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von dieser Problematik sind private User genauso betroffen wie Unternehmen jeder beliebigen Branche: Ob nun Einzelhändler, Arztpraxen, Industrieunternehmen, Agenturen oder MSP. Wenn es denn einmal soweit ist, ist der Schaden groß und meist nicht wieder rückgängig zu machen. Leergeräumte Konten, Lösegeld-Erpressungen und verlorene…

Internetnutzung: Jeder Vierte ändert seine Passwörter nie

Das E-Mail-Fach, das Amazon-Konto und das Facebook-Profil: Im Internet gibt es eine Vielzahl an Diensten, für die man ein Passwort festlegen muss. Den wenigsten Menschen fällt es leicht, sich jedes Mal einen neuen Zugangscode zu merken. Aus Sicherheitsgründen dann noch regelmäßig seine Passwörter zu ändern, ist den meisten zu anstrengend – das zeigt eine aktuelle…

Der ungeliebte und schludrige Umgang mit Passwörtern

Die Deutschen sind im Passwort-Stress! Jeder Zweite findet den Login-Zwang bei immer mehr Onlineangeboten lästig. 44 Prozent fühlen sich sogar regelrecht gestresst von der Passwort-Flut, die sie sich merken oder anderweitig organisieren müssen. Und das ist kein Wunder, denn ein Großteil der Nutzer ist bei bis zu 15 verschiedenen Webdiensten angemeldet, wie eine Umfrage des…

Password Manager: Nie mehr Passwörter vergessen

Avira stellt seinen neuen Password Manager vor, der das Erstellen und Verwalten von sicheren Passwörtern einfach und komfortabel machen soll, sowie für persönliche Daten zusätzliche Sicherheit schafft. Anwender können damit sichere Passwörter für Online-Dienste wie E-Mail, Soziale Medien und Online-Banking erstellen und diese auf mehreren Geräten und Browsern synchronisieren. Damit haben Anwender ihre Passwörter immer…

Jeder Zweite teilt Passwörter mit Kollegen und Dienstleistern

Passwörter schwächen die Sicherheit von Unternehmen, da Anwender dieselben Passwörter für verschiedene Systeme nutzen und diese sogar an Außenstehende weitergeben. Passwörter reduzieren zudem die Produktivität. Centrify gibt die Ergebnisse seiner it-sa-Umfrage bekannt. Diese wurde am Messestand auf der Internet-Security-Messe durchgeführt, die vom 18. bis 20. Oktober in Nürnberg stattfand. Letztes Jahr wurde dieselbe Umfrage durchgeführt.…

Wenn Passwörter zur Schwachstelle werden

Wie Unternehmen von Multi-Faktor-Authentifizierung profitieren. Das Passwort soll sensible Daten vor neugierigen Augen und vor Cyberkriminellen schützen – und doch stellt es eine der bekanntesten Sicherheitslücken dar. Dies zeigte jüngst eine Befragung von 1.000 Angestellten internationaler Großunternehmen durch SailPoint: Trotz Firmenrichtlinien pflegten 56 Prozent aller Befragten einen laxen Umgang mit ihren Passwörtern und benutzten das…