{"id":7370,"date":"2014-12-19T21:17:54","date_gmt":"2014-12-19T20:17:54","guid":{"rendered":"http:\/\/www.presalesmarketing-blog.com\/?p=7370"},"modified":"2014-12-19T21:45:24","modified_gmt":"2014-12-19T20:45:24","slug":"sichere-passworte-verwenden-den-hackern-entgegentreten-neue-erkenntnisse-teil-1","status":"publish","type":"post","link":"https:\/\/nabenhauer-consulting.com\/blog\/sichere-passworte-verwenden-den-hackern-entgegentreten-neue-erkenntnisse-teil-1\/","title":{"rendered":"Sichere Passworte verwenden, den Hackern entgegentreten – neue Erkenntnisse, Teil 1"},"content":{"rendered":"

Gastartikel von Christian Perst<\/em><\/p>\n

Sichere Passw\u00f6rter dienen dazu, Hackern das Leben schwer zu machen. Sie werden \"\"<\/a>verwendet, um den Zugang zu E-Mail-Konten und Konten auf sozialen Netzwerken abzusichern, um Zug\u00e4nge zu Computersystemem zu reglementieren genauso wie Online-Banking-Zug\u00e4nge. Aber eine etwas bessere Alternative ist die Zwei-Faktor-Authentifizierung, bei der zwei Mechanismen verwendet werden. Ein Passwort sowie eine Chipkarte dienen dazu, diese Zwei-Faktor-Authentifizierung m\u00f6glich zu machen.
\nTrotzdem verlieren sichere Passw\u00f6rter auch zuk\u00fcnftig nicht ihre Bedeutung. Hacker versuchen st\u00e4ndig, diese mit Trojanischen Pferden auszuspionieren, zu stehlen oder zu knacken. 5 Dollar kostet eine geknackte Identit\u00e4t von Facebook mittlerweile nur noch auf dem Schwarzmarkt.<\/p>\n

Wie Hacker Passworte knacken
\nHacker probieren zun\u00e4chst die wahrscheinlichsten Kombinationen aus. Wenn der Benutzername beispielsweise Hans123 ist, wird als Passwort Hans123, Hans321, 123 Haus usw. getestet. Diese Passwortm\u00f6glichkeiten k\u00f6nnen sogenannte Passwort-Cracker testen, Programme also, die daf\u00fcr geschrieben wurden, um Zug\u00e4nge zu knacken. Aber leicht zu erratenden Passw\u00f6rter wie diese erleichtern Hackern ihre Arbeit. Statistiken haben bewiesen, dass gerade solche Passw\u00f6rter relativ oft von Nutzern eingesetzt werden.
\nWenn es mit dem Erraten des Passwortes nicht geklappt hat, werden als n\u00e4chstes h\u00e4ufig verwendete Kennw\u00f6rter getestet. Wenn der Zugang dann immer noch nicht geknackt wurde, kommt eine spezielle W\u00f6rterbuch-Methode an die Reihe. Cyber-Kriminelle testen alle Passw\u00f6rter aus einem bestimmten W\u00f6rterbuch \u2013 das ist ein sogenannter Dictionary-Attack, eine W\u00f6rterbuchattacke also. W\u00f6rterb\u00fccher in vielen Sprachen und zu diversen Themen stehen im Internet frei zur Verf\u00fcgung.
\nDie M\u00f6glichkeiten der Hacker sind allerdings nicht unbegrenzt. Denn wenn auch die W\u00f6rterbuchattacke erfolglos bleibt, gehen sie zur Brute-Force-Attacke \u00fcber. Dabei werden alle theoretisch m\u00f6glichen Kombinationen ausprobiert. Der Hacker beginnt mit der schnellsten Variante, indem er hofft, dass der Nutzer kein aufwendiges Passwort eingesetzt hat. Die Brute-Force-Attacke beginnt mit einstelligen Passw\u00f6rtern mit Gro\u00df- und Kleinbuchstaben, den Zahlen 0 bis 9 und sogar Sonderzeichen. Es folgen die zweistelligen und dreistelligen Passw\u00f6rter, usw.<\/p>\n

Die Attacke setzt nicht viel Wissen voraus, denn wenn nur Kleinbuchstaben das Passwort bilden, gibt es beim einstelligen Kennwort nur 26 M\u00f6glichkeiten. Bei Gro\u00df- und Kleinbuchstaben und Zahlen sind es schon 62 m\u00f6gliche Passw\u00f6rter. Schlie\u00dft man auch die Sonderzeichen mit ein, ergeben sich 95 Passw\u00f6rter. Samt den l\u00e4nderspezifischen Umlauten und nicht druckbaren Zeichen sind es bis zu 256 Varianten. Die Anzahl der unterschiedlichen Zeichen nennt man Zahlenraum.
\nJe l\u00e4nger das Passwort ist und je gr\u00f6\u00dfer der Zahlenraum, umso mehr Passwort-M\u00f6glichkeiten gibt es. Der Hacker ben\u00f6tigt also sehr viel Zeit, um dieses Passwort zu knacken, theoretisch k\u00f6nnten es sogar Jahre sein. Dieses Unterfangen ist f\u00fcr den Hacker dann nicht mehr attraktiv \u2013 ein leichteres Ziel muss her.<\/p>\n

Die folgende Tabelle zeigt die Anzahl der Passwort-Varianten an, die von der L\u00e4nge des Passwortes und von dem Zahlenraum abh\u00e4ngig sind. Es wird von einer Geschwindigkeit von 250.000 Versuche pro Sekunde ausgegangen. [1]<\/p>\n

Dem Hacker stehen zwei Alternativen zur Wahl, um einen Zugang zu knacken. Er kann sie direkt am Server austesten, z.B. bei Facebook. Eine relativ nervenaufreibende Variante, denn der Hacker muss geduldig auf die Reaktionen des Servers warten. Der Versuch, das Passwort herauszufinden, dauert unterschiedlich lange, je nachdem, von welchem System aus (Facebook, Internet, FTP-Konto eines Serverzugangs) dieses geknackt wird.
\nDie zweite M\u00f6glichkeit gibt dem Cyber-Kriminellen Zugriff auf eine Datei mit sogenannten \u201egehashten\u201c Passw\u00f6rtern. Das Hashing ist eine Sonderform der Verschl\u00fcsselung, in der eine mathematische Einwegfunktion auf einen Text angewandt wird. Dieser Text ist in diesem Fall das Passwort (Klartext-Passwort). Aus dem gehashten Kennwort kann man das Klartext-Passwort nicht wieder herstellen. Wenn man das Passwort finden will, das mit dem gehashten Passwort \u00fcbereinstimmt, so muss die Einwegfunktion auf die m\u00f6glichen Klartext-Passw\u00f6rter angewandt werden. Wenn der Hash-Text \u00fcbereinstimmt, so stimmt auch das Passwort.
\nDie zweite Methode hat also den Vorteil, dass der Hacker nicht mehr auf die Reaktionen \"\"<\/a>des Facebook-Servers oder eines entfernten E-Mail-Kontos warten muss, sondern er vergleicht einfach das m\u00f6gliche Passwort mit dem gehashten. Oft ist dieser Weg um den Faktor 1000 schneller. Um das Passwort zu knacken, ist nur noch die Geschwindigkeit seines eigenes Systems das ausschlaggebendes Kriterium.
\nUnverschl\u00fcsselte Zugangsdaten werden weiterhin von Cyber-Kriminellen erbeutet. Es ist ein gro\u00dfer Fehler, wenn unverschl\u00fcsselte Zugangsdaten einfach auf einem Computer gespeichert werden, der eine Verbindung zum Internet hat.
\nDie Passw\u00f6rter k\u00f6nnen unterschiedlich schnell ausgetestet werden, wie z.B.:
\nWLAN WEP Verschl\u00fcssungen: 4.600.000 Versuche pro Sekunde (Intel i5, 4 CPUs mit 3,4 GHz und 8 GB Ram)
\nVerschl\u00fcsselte Zip-Datei: 115.000 Versuche pro Sekunde (PC wie oben)
\nEin Hacker kann die Passwortsuche parallel auf mehreren Computern verteilen und hat es damit viel leichter, sein Ziel zu erreichen. Somit muss ein sicheres Passwort her, das nicht geknackt werden kann.
\nIn Teil 2 zeigen wir Ihnen, wie Sie ein sicheres Passwort erstellen und verwalten k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Gastartikel von Christian Perst Sichere Passw\u00f6rter dienen dazu, Hackern das Leben schwer zu machen. Sie werden…<\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_edit_last":["9"],"_edit_lock":["1515013446:9"],"_av_alb_posts_elements_state":["a:0:{}"],"_av_el_mgr_version":["1.0"],"_av_alb_element_mgr_version":["1.0.1"],"penci_post_views_count":["1824"],"penci_post_week_views_count":["0"],"penci_post_month_views_count":["19"],"_oembed_92e0f51be67c1e4f707ae09dcae0f7f2":["