So gelangen Cyberkriminelle an unsere Passwörter

Passwörter sind die Schlüssel zu unserem digitalen Leben. Sie schützen alles, was wir im Internet tun – von Bankkonten und Kreditkarten über private und geschäftliche E-Mails bis hin zu unseren Social-Media-Profilen. Mit anderen Worten: Unsere Passwörter sollten genauso geschützt werden wie unsere wertvollsten physischen Vermögenswerte. Denn in vielen Fällen versuchen Cyberkriminelle an unsere Passwörter zu gelangen, um diese gewinnbringend zu verkaufen, oder, um sich Zugang zu unserem digitalen Portfolio zu verschaffen. Dazu zählt der Zugang zu Bankkonten, zu unserer Kommunikation und zu unserer Identität.

Dabei haben es Cyberkriminelle selten auf Einzelpersonen abgesehen. Sie greifen eine große Gruppe von Menschen an, um an möglichst viele Daten und somit einen möglichst hohen Gewinn zu kommen.

Das Problem: Schwache und wiederverwendete Passwörter

Am häufigsten gelangen Kriminelle im Internet an Passwörter, indem sie Passwortlisten stehlen oder kaufen, die infolge eines Hacks oder einer Datenschutzverletzung verfügbar werden. Von diesen hört man mittlerweile fast jede Woche. Von Facebook über LinkedIn bis hin zu Dropbox: Auf zwielichtigen Seiten gibt es Milliarden von exponierten Passwörtern zu kaufen.

Alle Passwörter, die von einer Datenschutzverletzung betroffen waren, sollten automatisch als gefährdet betrachtet werden – dies gilt auch für starke Passwörter. Wird ein Internetdienst gehackt, sollten User sofort ihr Passwort ändern.

Cyberkriminelle entschlüsseln Passwörter mit Hilfe von Software

Wenn ein Hacker an Listen mit gestohlenen Passwörtern kommt, muss er diese mit entsprechender Software – die im Internet problemlos verfügbar ist – dekodieren. Der Grund, warum Internetkriminelle spezielle Programme zum Entschlüsseln von Passwörtern benötigen, liegt darin, dass Passwortlisten fast nie einfach als Text gespeichert werden. Wenn zum Bespiel ein neuer Benutzer ein Passwort eingibt, um ein Konto bei Amazon zu erstellen, wird dieses gehasht, d. h. in eine dem Text entsprechende, lange Reihe zufälliger Zeichen verwandelt. Dieses wird mit allen gehashten Amazon-Benutzerpasswörtern auf einem Amazon-Server gespeichert. Unternehmen verwenden diese Methode, um ihre Passwörter vor Blicken Dritter zu schützen.

Wie Hacker unsere Passwörter entschlüsseln

Das Ziel von Cyberkriminellen ist es, in möglichst kurzer Zeit eine hohe Anzahl von Passwörtern zu knacken. Um die gestohlenen Passwörter zu dechiffrieren gibt es vier Hauptvarianten:

1. Brute-Force-Angriff

Die systematischste Methode, um ein Passwort zu entschlüsseln besteht darin, Software zu verwenden, die einen Brute-Force-Angriff ausführt. Bei diesem werden nacheinander alle möglichen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen ausprobiert, bis das Passwort identifiziert wurde. Ein Brute-Force-Angriff führt zwangsläufig irgendwann zum Ziel, ist aber alles andere als effizient, da er sehr zeitaufwendig ist.

2. Wörterbuch-Angriff

Bei einem Wörterbuch-Angriff probiert die Software jedes Wort im Wörterbuch als mögliches Passwort. Dies erhöht die Wahrscheinlichkeit, dass die Software Treffer findet, um ein Vielfaches. Denn Internetnutzer verwenden gerne Wörter als Passwörter, die sie kennen und sich darum leicht merken lassen. Werden bekannte Wörter als Passwörter verwendet, stellen diese für Cyberkriminelle nur eine kleine Hürde dar.

3. Angriff mit häufig verwendeten Passwörtern

Ein weiteres Beispiel für schwache Passwörter sind häufig verwendete Passwörter. Das Hasso Plattner Institut trug zuletzt Ende 2017 die Top Ten der in Deutschland verwendeten Passwörter zusammen: Die Zahlenfolge „123456“ war im Jahr 2017 das meistgenutzte Passwort der Deutschen. Wiederholt unter den beliebtesten Passwörtern befand sich auch „passwort“. Software kann anhand von diesen Listen einen Angriff durchführen, bei dem alle passenden Passwörter entschlüsselt werden.

4. Hybridangriff

Es gibt auch ausgeklügelte Software-Programme zum dekodieren von Passwörtern, die in der Lage sind Hybridangriffe auszuführen. Während Hybridangriffen werden auch Variationen von Wörtern aus dem Wörterbuch oder von häufig verwendeten Passwörtern abgefragt, um typisch menschliche Passwort-Erstellungsstrategien zu imitieren. Das bedeutet, dass auch die Änderung des Passworts „Passwort“ zu „p@$$word123“ nicht vor Hybridangriffen schützt.

Es gibt leider kein Allheilmittel für den Schutz der digitalen Identität. Das Ziel sollte jedoch sein, das Risiko für einen erfolgreichen Angriff von Cyberkriminellen auf ein Minimum zu reduzieren. Passwörter sind daher am stärksten, wenn für jedes Konto unterschiedliche, einmalige und eindeutige Passwörter erstellt werden.

Für jedes einzelne Konto ein starkes und eindeutiges Passwort zu erstellen und sich an diese zu erinnern, ohne sie aufzuschreiben, kann jedoch eine große Herausforderung sein. Eine mögliche Lösung wäre beispielsweise die Nutzung eines Passwort-Managers. Der Vorteil ist, dass dieser sich so viele eindeutige und starke Passwörter merken kann, wie man benötigt. In Passwort-Managern sind zudem Passwort-Generatoren integriert. Diese können, sobald ein neues Konto angelegt wird, ein sicheres Passwort erstellen oder für bereits bestehende Konten, neue, starke Passwörter generieren. Passwort-Manger können helfen schwache, wiederverwendete oder auch bereits geknackte Passwörter zu identifizieren. Aktualisiert man diese Passwörter, wird man so zum schlimmsten Albtraum jedes Cyberkriminellen.

Autor: Emmanuel Schalit

(c)2019
Vogel Communications Group