:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Windows-Kennwörter und Netzwerk-Accounts hacken Passwörter knacken mit THC Hydra und John the Ripper
Das Knacken von Zugangsdaten sieht im TV immer recht einfach aus – die Realität ist glücklicherweise eine andere. An guten Kennwörter beißen sich Passwort-Cracker die Zähne aus, IT-Verantwortliche sollten sich aber mit den Tools zu Online- und Offline-Attacken auskennen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Passwörter sind im wahrsten Sinne des Wortes die Schlüssel zum Königreich: Sie schützen Server und Desktop-Systeme, Smartphones und Online-Konten. Doch Passwörter sind unter Beschuss: Sie werden vergessen oder attackiert – so oder so sollten Nutzer über Programme zum Knacken von Kennwörtern Bescheid wissen. Mit der bekannteste Passwort-Cracker ist Cain & Abel – allerdings wurde dieser seit langer Zeit nicht mehr aktualisiert. Unter modernen Windows-Systemen ist das Tools teilweise schwer zu starten, zudem unterstützt es keine GPU-basierten Passwort-Attacken. Diese sind deutlich schneller als wenn eine CPU genommen wird, gerade bei längeren Kennwörtern ist dies essentiell. Unsere Auswahl fiel auf THC Hydra für Online-Attacken und John the Ripper für Offline Attacken. Beide Tools werden aktiv gepflegt, haben eine große Community und sind Teil der Pentest-Distribution Kali Linux.
Eine kurze Warnung vorweg: Das Knacken fremder Passwörter ebenso wie das Eindringen in Systeme kann eine Straftat darstellen. Die vorgestellten Tools können unter den Hackerparagrafen 202c StGB fallen. Entsprechend sollten Sie nur auf eigene Kennwörter oder Testsysteme losgehen, beziehungsweise sich schriftlich die Erlaubnis des Systembesitzers einholen. Zudem können Cracking-Tools die attackierten Systeme beeinträchtigen, entsprechend sollten Sie keine Produktivsysteme abklopfen.
:quality(80)/images.vogel.de/vogelonline/bdb/1211200/1211293/original.jpg "Hydra ist ein Online-Cracker, der zahlreiche Dienste und Systeme unterstützt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1211200/1211294/original.jpg "Zu Hydra gibt es auch eine grafische Oberfläche, xHydra.")
:quality(80)/images.vogel.de/vogelonline/bdb/1211200/1211295/original.jpg "Die GUI bietet alle Funktionen des Terminals, lässt sich aber für Anfänger etwas einfacher bedienen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1211200/1211296/original.jpg "PWDump kann die Nutzerdaten aus Windows-Systemen auslesen und abspeichern. Dese Daten lassen sich dann in Cracking-Tools nutzen.")
Online Passwort Attacken mit THC Hydra
Grob lassen sich Angriffsszenarien in zwei Bereiche unterteilen: Online und Offline. Bei einer Online-Attacke wird die Login-Funktion eines bestehenden Dienstes attackiert. Eins der gängigsten Tools dazu ist THC Hydra. Der vielseitige Cracker kann zahlreiche Dienste angreifen, darunter FTP, Cisco, SSH, MySQL und andere. Das Programm läuft auf Linux-Distributionen wie Kali problemlos und lässt sich mit dem Befehl
hydra -l Nutzer – P Passwortliste.txt ftp://192.168.0.1 starten. Hinter der l-Option steckt der Nutzer, alternativ lässt sich eine Textliste mit Nutzern übergeben. Ähnlich ist es bei der P-Option, hier muss eine Passwortliste übergeben werden. Genau diese beiden Listen sind der Trick: Hydra benötigt eine Liste, in der das Kennwort für den Nutzer enthalten ist. Es gibt im Web zahlreiche fertig kompilierte Listen, darunter etwa die von Daniel Miessler, der sie kostenlos auf GitHub zur Verfügung stellt. Neben der Terminal-Version gibt es von Hydra auch eine grafische Version. Diese ist Teil von Kali und lässt sich über die Eingabe des Befehls xHydra starten.
Abwehr: Online-Attacken lassen sich relativ einfach auf der Server-Seite abwehren. IT-Verantwortliche müssen lediglich die Anzahl der erlaubten Versuche begrenzen, zudem sollten Logins nach einer Eingabe von drei falschen Kennwörtern gedrosselt und der Administrator informiert werden.
Passwörter offline knacken mit John the Ripper
Offline-Attacken haben den großen Vorteil, dass sie komplett getrennt vom Internet ablaufen. Der Angreifer hat einen Hash des Kennworts, es geht „nur“ noch darum, diesen zu entschlüsseln. Ein praktisches Beispiel: Über das Tool pwdump lassen sich die Passwort-Hashes eines Windows-Computers in einer Textdatei speichern.
Um diese Hashes kümmert sich eine Klassiker der Passwort-Cracker: John the Ripper sowie seine GUI Johnny. Hier wird die Passwort-Datei mit dem zu knackenden Wert übergeben. Der Cracker kann das jeweilige Passwort über mehrere Optionen knacken.
Wortlisten: Die schnellste Option sind Wortlisten. Diese lässt sich über die Option -wordlist oder in den Optionen übergeben. Das Tool checkt diese anschließend automatisch gegen die übergebenen Hash-Werte – bei kurzen Listen gibt es nahezu sofort ein Ergebnis.
Brute-Force: Sind keine Wortlisten vorhanden, kann John the Ripper eine klassische Brute-Force-Attacke ausführen. Das geht am einfachsten über das Terminal und den Befehl
john -incremental:alpha Konten.txtDer Wert hinter incremental definiert die verschiedenen Zeichensätze, die für die Attacke genutzt werden: alpha nutzt nur Buchstaben, digits verwendet nur Zahlen. lanman kombiniert Buchstaben, Zahlen und einige spezielle Zeichen. all nutzt sämtliche verfügbaren Zeichen (dauert dann aber auch am längsten). Brute-Force-Attacken dauern enorm lang, besonders bei langen und komplexen Kennwörtern.
Sonderfall Rainbow Tables
Eine Alternative zu reinem Brute-Force und Passwort-Listen sind Rainbow Tables. Diese sind etwas kompliziert zu erklären: Im Grunde handelt es sich dabei um riesige Datenbanken, in denen Passwortsequenzen repräsentiert werden. Der Vorteil von Rainbow-Tables ist, dass sie die Crackzeit ohne Wortlisten enorm verringern können.
Kali liefert mit Rainbow-Crack ein spezialisiertes Programm, allerdings sind gute Rainbow-Tables schwer zu finden. Die Macher von Rainbow-Crack bieten auf ihrer Homepage fertige Tabellen zum Download bzw Kauf an, die Größe der Dateien schwankt 27 GByte und 690 GByte. Rainbow Tables lassen sich auch manuell erstellen, das notwendige Programm rtgen ist Teil von Kali Linux. Der Nachteil ist, dass man hier auf kuratierte Inhalte verzichtet bzw viel Zeit für die Erstellung richtig guter Listen aufbringen muss.
Rainbow-Tables sind allerdings kein Universalschlüssel. Techniken wie der Einsatz eines Password-Salts verringern die Erfolgschancen enorm. Auf der Server-Seite sollte daher jedes Kennwort per Hash und Salt gegen Attacken geschützt werden.
Cloud-basierte Online-Cracker
Wer die notwendige Rechenleistung nicht lokal aufbringen kann, der kann auf eine ganze Reihe an Online-Crackern zugreifen, Dienste wie OnlineHashCrack haben sich auf das Knacken von Kennwörtern spezialisiert. Das gilt für die Hardware ebenso wie die Software und vor allem umfangreiche Passwortlisten. Neben zahlreichen Hashes unterstützen die Dienste WPA-Schlüssel oder Office-Dokumente. Die Cracker setzen auf hochspezialisierte Cloud-Systeme und sind Desktop-Systemen gnadenlos überlegen.
Doch auch hier kein Erfolg garantiert: Während unser Windows-Kennwort „Passwort“ innerhalb von Millisekunden geknackt wurde, biss sich der Cracker am privaten WPA-2-Kennwort des Autors die Zähne aus – auch nach mehreren Tagen konnte dieses nicht entschlüsselt werden. Natürlich gibt es ein Problem, das jedem Nutzer eines solchen Dienstes bewusst sein muss: Er übergibt seine sensiblen Daten an einen externen Anbieter. Entsprechend sollte man sich vorab genau informieren, wer hinter dem Dienst steckt. Es macht durchaus Sinn, dass alle Kennwörter geändert werden, die einem Online-Dienst zum Knacken übergeben werden - egal ob sie entschlüsselt werden oder nicht.
Fazit
Passwörter sind sicher. Also ziemlich. Lange Kennwörter mit Buchstaben, Zahlen und Sonderzeichen, die in keinen Passwortlisten auftauchen lassen sich nur mit viel Mühe und Aufwand knacken. Diese Erkenntnis ist nicht neu und ein klares Argument für den Einsatz moderner Passwort-Manager. Was allerdings wächst, sind die öffentlich verfügbaren Wortlisten mit häufig genutzten Kennwörtern. Diese machen das Knacken eines Kennworts zum Kinderspiel.
Entsprechend macht es durchaus Sinn, als Administrator die Passwörter der Nutzer auf schwache Kennwörter abzuklopfen. Dazu sollten aber in jedem Falle eigene Systeme zum Einsatz kommen. Windows AD ermöglicht das etwa über die Richtlinien für Active Directory oder über Zusatzprogramme wie „Password Firewall for Windows“ von PasswordRBL.
:quality(80)/images.vogel.de/vogelonline/bdb/1074700/1074722/original.jpg "Ein Passwort-Safe spart auf Dauer viel Mühe und Gehirnschmalz, wir stellen die gängigsten Kennwort-Manager vor. (DasWortgewand - Pixabay.com)")
Kennwortverwaltung
Beliebte Passwort-Manager im Überblick
:quality(80)/images.vogel.de/vogelonline/bdb/1092600/1092625/original.jpg "Kennwörter und Zugangsdaten sind essentiell für den Unternehmensalltag. Unsere Lösungen zeigen, wie sich diese Daten sicher verwalten lassen. (bykst - Pixabay.com)")
Enterprise Password Management
Kennwortverwaltung für Unternehmen
(ID:44617592)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1928900/1928950/original.jpg "IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden. (Gorodenkoff - stock.adobe.com)")