Unternehmen, die nicht besonders auf passwortgeschützte Dateien und Konten achten, werden häufig Opfer von Passwort-Angriffen. Im Jahr 2021 nutzten Hacker verschiedene Arten von Passwort-Angriffen, aber Brute-Force wurde bei mehr als 60% der Verstöße eingesetzt.
Dieser Prozentsatz ist signifikant genug, um ein tieferes Verständnis der Definition von Passwort-Angriffen, Beispielen, Verfahren, Präventivmethoden und mehr zu erzwingen. In diesem Artikel behandeln wir alle oben genannten Themen, also lesen Sie weiter.
Was ist ein Passwort-Angriff?
Aber das Wichtigste zuerst: Was ist ein Passwort-Angriff? Dabei handelt es sich um eine Art von Cyberangriff, bei dem Hacker versuchen, auf eine Datei, einen Ordner, ein Konto oder einen Computer zuzugreifen, die mit einem Passwort geschützt sind.
Dies geschieht in der Regel mit Hilfe von Software, die das Knacken oder Erraten von Passwörtern beschleunigt. Deshalb ist es wichtig, bei der Erstellung von Passwörtern eine sichere Praxis zu befolgen, z. B. nicht den Namen Ihres Haustiers, Spitznamen, die Adresse Ihrer Wohnung usw. zu verwenden. Diese gängigen Passwörter sind zu offensichtlich, leicht zu erraten und erfolgreich zu knacken, insbesondere von Personen, die Sie persönlich kennen.
Wie funktioniert ein Passwort-Angriff?
Passwort-Angriffe in der Cybersicherheit erfordern spezielle Techniken und Software. Wenn ein Hacker Ihnen nahe steht, kann er versuchen, Ihr Kennwort mit einer Kombination aus Namen, Hobbys, wichtigen Jahren oder Zahlen zu erraten.
Wenn das nicht klappt, verwenden die Hacker spezielle Anwendungen, die eine Liste von Wörtern durchsuchen, die viele Menschen als Passwörter verwenden. Überraschenderweise setzen über 75% der Internetbevölkerung Passwörter fest, die nur aus den ersten 500 Wörtern bestehen.
Stellen Sie sich vor, wie einfach es für böswillige Akteure ist, sich Zugang zu Ihren wichtigen Daten zu verschaffen!
Aus diesem Grund ist die Zwei-Faktor-Authentifizierung zu einer Notwendigkeit geworden, da sie eine zusätzliche Sicherheitsebene darstellt.
Beispiel für einen Passwort-Angriff
Im Januar 2021 wurde die Quiz-Website DailyQuiz (ehemals ThisCrush) Opfer eines Passwort-Angriffs, bei dem Angreifer eine Datenbank mit mehr als 13 Millionen Konten ausnutzten. Die Hacker stahlen Klartext-Passwörter, E-Mail-Adressen und IP-Adressen und stellten sie öffentlich zum Verkauf zur Verfügung.
Ein Klartextpasswort ist eine Möglichkeit, Passwörter in einem eindeutig lesbaren Format zu versenden oder zu speichern. Es ist äußerst riskant, sensible Benutzerdaten im Klartextformat zu speichern.
Welche verschiedenen Arten von Passwort-Angriffen gibt es?
Jedes Jahr wird am ersten Donnerstag im Mai weltweit der Welt-Passwort-Tag begangen. Diese Initiative zielt darauf ab, das Bewusstsein für die Notwendigkeit zu schärfen, sichere Passwörter zu erstellen, um Passwort-Bedrohungen und -Angriffe zu entschärfen.
Hier ist eine Liste der häufigsten Arten von Passwort-Angriffen.
Phishing
Phishing ist eine der Passwort-Angriffstechniken, bei der Hacker betrügerische Nachrichten oder E-Mails versenden, die scheinbar von einer echten Quelle stammen. Dies kann ein Freund, ein Kollege oder ein renommiertes Unternehmen sein. Es gibt zwei Arten von Phishing-Angriffen:
Reguläres Phishing
Die Opfer erhalten eine Phishing-E-Mail, in der sie aufgefordert werden, ihre Passwörter aus Sicherheitsgründen zurückzusetzen. Die Hacker sind erfolgreich, wenn die Opfer die Authentizität des Absenders nicht bestätigen, bevor sie ihre Passwörter ändern.
Spear-Phishing
Sie werden aufgefordert, auf einen Link in einer E-Mail eines bekannten Absenders zu klicken oder ihn herunterzuladen. Der Link führt Sie zu einer bösartigen, ähnlich aussehenden Website, auf der Sie sich anmelden und versehentlich Ihr Passwort an Bedrohungsakteure weitergeben.
Brute-Force-Angriffe
Bei einem Brute-Force-Angriff stehlen Hacker Passwörter mit der Hit-and-Try-Methode unter Verwendung einer speziellen Software. Sie können dies verhindern, indem Sie einen sicheren Passwort-Manager verwenden.
Hier sind zwei Varianten solcher Cyberangriffe:
Passwort-Spraying
Bei einem Passwort-Spray-Angriff verwenden die Angreifer eine Auswahl gängiger Passwörter für eine große Anzahl von Konten. Sie versuchen, die Passwörter von Konten in großen Mengen zu knacken, um das Risiko, aufgespürt zu werden, zu verringern.
Wörterbuch-Angriffe
Hier verwenden die Angreifer eine Liste mit gängigen Wörtern und Ausdrücken aus einem Wörterbuch. Dies ist das Gegenteil eines Brute-Force-Angriffs auf Passwörter, die Angreifer sie nicht Zeichen für Zeichen versuchen.
Diese Listen enthalten oft Namen berühmter Filmfiguren, Haustiernamen und öffentliche Online-Informationen wie Geburtstage usw.
Credential Stuffing
Beim Credential Stuffing verwenden Cyberkriminelle gestohlene Zugangsdaten, um die für die Cybersicherheit festgelegten Passwörter zu knacken. Diese Methode basiert auf einfacher menschlicher Psychologie: Wir können uns nicht zu viele Passwörter merken, also sollten wir für alle Konten das gleiche Passwort verwenden, oder?
Sobald es den Hackern gelungen ist, eines Ihrer Konten zu knacken, verwenden sie dieselben Passwörter für Ihre anderen Konten.
Keylogger-Angriffe
Angreifer verwenden Malware, um Keylogger- oder Keystroke-Logger-Passwortangriffe zu starten. Diese Angriffe gehören zu den gefährlichsten im Bereich der Cybersicherheit, da sie selbst die stärksten und sichersten Passwörter offenlegen. Hacker zeichnen die Tastenanschläge auf, wenn Sie sie eingeben.
Auf diese Weise können sie auch an andere Informationen gelangen. Daher müssen Sie Verschlüsselungsmethoden verwenden, um die Sicherheit Ihrer digitalen und physischen Daten insgesamt zu gewährleisten.
MitM-Angriffe
In der Regel sind drei Parteien an Man-in-the-Middle- oder MitM-Passwort-Angriffen beteiligt: Ein Benutzer, ein Hacker und eine Plattform, auf die ein Benutzer zuzugreifen versucht. Die Angreifer positionieren sich zwischen diesen beiden Parteien und geben sich als legitime Website aus, leiten die Benutzer jedoch auf eine betrügerische Website um.
Die Opfer geben ihre Passwörter auf dieser gefälschten Website ein und ihre Konten werden gehackt. Das Abfangen des Datenverkehrs ist eine Form des MitM-Angriffs.
Abfangen von Datenverkehr
Das Ziel dieser Passwort-Angriffstechnik ist es, ein System abzuschalten, damit die Benutzer keinen Zugriff darauf haben. Dann lesen und fangen Hacker heimlich Informationen ab, die über ungesicherte WLAN- oder unverschlüsselte Netzwerkverbindungen ausgetauscht werden.
Wie kann man einen Passwort-Angriff verhindern?
Passwort-Bedrohungen können schwerwiegende Folgen haben. Daher sollten Sie die folgenden Präventivmaßnahmen ergreifen, um Ihre Passwörter zu schützen und Schaden abzuwenden.
Befolgen Sie strenge Richtlinien für Passwörter
Achten Sie darauf, dass Ihr Passwort aus mindestens 8 Zeichen besteht und Sonderzeichen, Groß- und Kleinbuchstaben enthält. Sie sollten keine Wörter oder Namen verwenden, die man erraten kann, wie z. B. Ihren Spitznamen, den Namen Ihres Haustiers, Ihr Lieblingsessen, Ihr Urlaubsziel, Ihr Geburtsdatum usw. Personen, die Sie persönlich kennen, könnten solche Passwörter knacken.
Verwenden Sie außerdem einmalige Passwörter für jedes Konto, jedes Gerät und jede Datei. Andernfalls könnten Hacker die Technik des Credential Stuffing verwenden, um Passwort-Angriffe zu starten.
Schulen Sie Ihre Mitarbeiter
Führen Sie unternehmensweite Schulungen durch, in denen Sie alles über Passwort-Angriffe im Bereich der Cybersicherheit und die Möglichkeiten zu deren Verhinderung erklären.
Aktivieren Sie die Zwei-Faktoren-Authentifizierung
Die Zwei-Faktor-Authentifizierung fügt Ihren Konten eine zusätzliche Sicherheitsebene hinzu, indem sie OTPs, biometrische Authentifizierung, Software-Token und Verhaltensanalysen einsetzt. Auf diese Weise können Hacker nicht auf Ihr Konto zugreifen, auch wenn sie das Passwort erhalten haben.
Verwenden Sie einen Passwort-Manager
Passwort-Manager helfen Webadministratoren bei der Speicherung und Verwaltung von Benutzeranmeldedaten. Sie generieren auch Passwörter für Benutzer nach strengen Richtlinien und bewährten Verfahren.
Fazit
Hacker wenden immer neue Techniken an, um Angriffe auf Passwörter zu starten. Sie müssen für jedes Konto unmissverständliche und eindeutige Passwörter festlegen. Schulen Sie Ihre Mitarbeiter in bewährten Passwort-Praktiken und aktivieren Sie die unternehmensweite Zwei-Faktor-Authentifizierung für mehr Sicherheit.