25.07.2003, 11:43
Immer wieder höre ich, dass User-Accounts "gehackt" wurden. Sei es im Chat, oder bei E-Mail Postfächern. Aus
diesem Anlass will ich hier nun einmal die Angriffsmöglichkeiten aufzählen. Denn wenn ich meinen Feind (ich
nenne ihn ab nun Cracker - böswilliger Hacker) kenne, kann ich mich besser vor ihm schützen.
Lokale Attacke
Dies ist die simpelste Version ein Passwort zu knacken. Der Cracker ist ein Bekannter des Angegriffenen.
Er besucht ihn und sieht, was auf den Zettelchen, die am oder um den PC sind, draufsteht. Oder der
Cracker schaut dem Angegriffenen beim Login über die Schulter (dies kann auch in einem Internet-Café
geschehen). Man mag es kaum glauben und diese Form der Attacke als hirnrissig ansehen, aber die
meisten Hacks auf Firmennetze geschehen intern, ergo auf diese Weise!
Server-Attacke
Der Cracker nutzt eine Sicherheitslücke des Webservers, um sich Zugang zu dessen administrativen
Bereichen zu beschaffen. Dies wird "exploiten" (engl. ausnutzen) genannt.
Zu bedenken wäre hierbei, dass, wenn ein Cracker den Webserver (Chatserver, Mailserver, ...) knackt, er
bestimmt besseres zu tun hat, als einen pisseligen Account zu hacken. Damit ist diese Form mehr als
unwahrscheinlich und kann getrost ad acta geführt werden.
Trojaner-Attacke
Der Cracker versendet an den Angegriffenen eine Mail die einen Trojaner beinhaltet. Sollte dieser nun den
Mailanhang blauäugig starten, nistet sich der Trojaner auf dessen System ein. Der Cracker hat nun Zugriff
auf das System des Angegriffenen, sobald dieser ins Internet geht. Trojaner beinhalten meist auch so
genannte Keylogger, ein kleines Unterprogramm, das Tastendrücke speichert (in denen findet sich ja dann
auch das Passwort).
Social Engineering-Attacke
Menschen sind von Natur aus faul. Auch bei der Wahl Ihrer Passwörter sind sie nicht sehr kreativ, sondern
wählen meist Sachen, die ihnen nahe sind. Sei es der Name des Dackels, der Freundin, oder das geliebte
Auto.
Der Cracker verwickelt den Angegriffenen in einen Gespräch, in dem er sich sehr interessiert zeigt
(besonders wirksam, wenn man sich als das andere Geschlecht ausgibt). Natürlich freut sich der
Angegriffene über soviel Interesse und taut immer weiter auf. Es geht immer mehr ins Detail. Da wird von
Hund gesprochen und plötzlich kommt die Frage "Oh, das ist ja toll. Ich liebe Hunde. Wie heißt der denn?".
Die gegebenen Antworten werden aufgeschrieben, oder sogar ein ganzer Mitschnitt vom Gespräch
gemacht. Die Antworten werden dann später als Passwörter ausprobiert.
Fazit: Man sollte niemals Sachen, Personen, oder was auch immer aus seiner näheren Umgebung als
Passwort wählen. Oder jedenfalls nicht in der reinen Form (dazu später). Bei Gesprächen sollte man
immer auf der Hut sein und nicht zu schnell zu viel erzählen von sich.
Fakemail-Attacke
Der Cracker sendet eine E-Mail mit einem gefälschten Header (Mailkopf). Dies bedeutet, die
Absenderadresse der Mail ist nicht die echte. Als Beispiel bekommt der Angegriffene eine Mail von
[EMAIL]???@???.de[/EMAIL] in der steht "Hallo XYZ, aufgrund einer böswilligen Hackerattacke gestern Nacht gegen
unseren Server kam unsere Datenbank durcheinander. Um Deinen Account komplett wiederherzustellen
benötigen wir Dein Passwort. Ich bitte Dich hiermit, diesen uns zu melden. Viel Spaß noch auf unserem
Board. BlaXioN" (Mein Beispiel ist nicht sehr ausgefeilt, aber ich hoffe, Ihr versteht, was ich meine).
Worauf viele nicht achten, man kann bei einer Mail eine andere "Replyadresse" einstellen. Also die
Antwortadresse zu einer Mail kann eine andere sein, als die Absenderadresse. Der Cracker registriert sich
zum Beispiel vorher die Mailadresse [EMAIL]???@???.de[/EMAIL] und stellt diese als Replyadresse ein. Der
Angegriffene bekommt die Mail, sieht den Absender der echt erscheint und klickt auf "Antworten". Er
übersieht dann meist, dass die Antwort nun an eine andere Adresse geht und sendet sein Passwort als Mail
zurück.
Fazit: Kein Chat, kein echter Anbieter jeglicher Art, würde jemals Passwörter per Mail erfragen. Niemals
kann ein Datensatz durch den Versand eines Passworts gerettet werden. Wenn auf Antworten geklickt
wird, genau auf die Adresse achten, an die geantwortet wird. Ist sie eine andere, solltet Ihr hellhörig
werden. Außerdem würde ein echter Crash auch bestimmt auf den Pages des Anbieters groß gemeldet
werden (muss aber nicht immer sein).
Dictionary-Attacke
Wie oben schon erwähnt, wählen Menschen meist Passwörter, die sie sich leicht merken können. Im Netz
sind so genannte Dictionaries (Wörterbücher) zu finden, in denen ein Großteil der häufigsten Passwörter
einer Sprache drinsteht. Es gibt sogar Dictionaries für Arabisch oder Suaheli (kein Scherz). Diese Dateien
sind reine Textdateien, in denen die Wörter einfach untereinander stehen und sind meist mehrere
Megabyte groß. Ihr könnt Euch demnach ausrechnen, wieviele tausend Wörter oder Kombinationen sie
beinhalten. Der Cracker nimmt ein kleines Programm, was die Wörter in dem ausgewählten Dictionary
einzeln ausliest und als Passwort probiert. Das Programm arbeitet selbstständig alle Möglichkeiten in der
Datei durch und meldet beim erfolgreichen Login das Passwort.
Fazit: Keine Wörter benutzen, die in Wörterbüchern vorkommen oder zu simple Kombinationen (1234,
abc123, sweetheart, angel, ...).
Bruteforce-Attacke
Sollte die Dictionary-Attacke zu keinem Erfolg geführt haben, kann der Cracker auch zu einer so
genannten Bruteforce-Attacke (engl. rohe Gewalt) greifen. Bei dieser Angriffsform testet ein Programm
einfach alle Buchstaben-Zahlen-Kombinationen aus, die möglich sind. Es fängt bei einer Stelle an und
"zählt" einfach hoch. Damit dies schneller vonstatten geht, versuchen solche Programme (wie auch meist
der Dictionary-Attacker) gleich 10-50 Mal auf einmal einzuloggen. Das beschleunigt den Ablauf. Wenn
eine Kombination dann die richtige ist, wird sie gemeldet.
Fazit: Die Anzahl der Möglichkeiten ist leicht zu errechnen. Wir gehen davon aus, dass der Beispielsserver
a-z, A-Z und 0-9 als Eingabe beim Passwort akzeptiert. Das würden 62 verschiedene Möglichkeiten für ein
einstelliges Passwort ergeben. Bei zwei Stellen wäre es 62², bei drei Stellen schon 62³ usw. Es wird meist
vorgeschlagen, dass das Passwort nicht weniger als 8 Stellen haben sollte. Je länger, desto sicherer!
Sicherheitsabfrage
Einige Anbieter geben Ihren Kunden die Möglichkeit, beim Vergessen Ihres Passworts, mittels
beantworten einer Sicherheitsfrage einzuloggen. Hier sind viele Leute unachtsam und wählen eine sehr
einfach erratbare Sicherheitsfrage ("Was ist meine Lieblingsfarbe?" "Wie heißt meine Mutter?" "Welche
Automarke fahre ich?"). Der Cracker geht demnach zur Sicherheitsfrage und versucht diese zu erraten.
Fazit: Das beste Passwort ist wertlos, wenn die Sicherheitsfrage binnen einiger Versuche herausgefunden
werden kann.
1 Passwort für alles
Dies ist keine richtige Attacke, sondern beruht eher auf der Gemütlichkeit vieler Menschen. Wer will sich
schon zich verschiedene Passwörter merken? Also wird sich ein Passwort ausgedacht und dieses überall,
wo man sich anmeldet, verwendet. Eines solltet Ihr immer bedenken, der Admin einer Site kann Eure
Passwörter einsehen (ist ja auch klar, denn es ist seine Datenbank). Bei großen Websites von
Gesellschaften ergeben sich dadurch wohl kaum Probleme. Aber was geschieht, wenn derjenige sich nun
bei einem kleinen Forum eines Users anmeldet, oder einem kleinen privaten Chat und dort auch dasselbe
Passwort benutzt? Der Admin dort ist kein Angestellter einer großen Gesellschaft, sondern einfach nur ein
Freak. Doch Admin ist Admin. Er kann die Passwörter der User seiner Site natürlich einsehen.
Fazit: Ich bin dazu übergegangen, ein Passwort für Websites zu nutzen, wo mir Sicherheit nicht so wichtig
ist und andere Passwörter für Sites, bei denen Sicherheit an erster Stelle steht (zum Beispiel E-Mail).
Resümee:
Wenn Ihr nun das obige durchgegangen seid und versteht, erkennt Ihr auch, den Weg, den man
einschlagen muss, um eine Sicherheit für seinen Account bekommen. Ich will noch einmal die Punkte hier
aufzählen:
1.Keine Zettelchen mit Passwörtern an oder um den PC herumliegen lassen.
2.Bei Eingabe des Passwortes darauf achten, dass niemand zusieht.
3.Mailanhänge nicht blauäugig starten. Lieber immer erst mit Virenscanner prüfen!
4.Keine Passwörter nutzen von Sachen oder Personen des näheren Umkreises.
5.Bei Gesprächen nicht zuviel des guten erzählen. *g*
6.Mails auf Echtheit prüfen und niemals Passwörter per Mail senden.
7.Keine Passwörter wählen, die in Wörterbüchern drinstehen können.
8.Keine kurzen Passwörter wählen.
9.Die Sicherheitsfrage nicht simpel gestalten.
10.Nicht bloß ein Passwort für alles haben, sondern differenzieren.
Zu guter letzt gebe ich Euch noch einige Tipps, wie ich sichere Passwörter genieren würde. Wir nehmen dazu
einen langen Satz "Schneewittchen geht zu den 7 Zwergen auf den 7 Bergen." Nun picken wir einfach nur die
Anfangsbuchstaben der einzelnen Wörter heraus (Zahlen bleiben Zahlen). Dies ergibt dann "Sgzd7Zad7B". Für
Menschen, die unsere Eselsbrücke nicht kennen, ist unser Passwort nun ein Buchstaben-/Zahlen-Wirrwarr. Für
uns jedoch leicht zu merken. Netterweise sind hier nun auch Zahlen im Passwort enthalten und auch
Großbuchstaben (viele schreiben Ihr Passwort einfach nur in Kleinbuchstaben).
Ein anderer Weg zum Beispiel wäre es, in einem Satz (oder Wort) die Vokale (oder Konsonanten) durch Zahlen zu
ersetzen. Beispiel: Aus "IchliebemeinAuto" wird "1chl23b4m56n78t9" (Ob wir nun nur eine Ziffer nehmen, oder
hochzählen/herunterzählen, bleibt uns selber überlassen). Auch wäre es denkbar, einfach Wörter umzudrehen.
Aus "Automobile" wird "elibomotuA". Dies kann auch in einem Satz geschehen.
Mit solch einfachen Tricks erzeugen wir ein schwer knackbares Passwort, das wir uns aber recht simpel merken
können. Gar nicht so schwer, wenn man den Weg kennt, oder?
diesem Anlass will ich hier nun einmal die Angriffsmöglichkeiten aufzählen. Denn wenn ich meinen Feind (ich
nenne ihn ab nun Cracker - böswilliger Hacker) kenne, kann ich mich besser vor ihm schützen.
Lokale Attacke
Dies ist die simpelste Version ein Passwort zu knacken. Der Cracker ist ein Bekannter des Angegriffenen.
Er besucht ihn und sieht, was auf den Zettelchen, die am oder um den PC sind, draufsteht. Oder der
Cracker schaut dem Angegriffenen beim Login über die Schulter (dies kann auch in einem Internet-Café
geschehen). Man mag es kaum glauben und diese Form der Attacke als hirnrissig ansehen, aber die
meisten Hacks auf Firmennetze geschehen intern, ergo auf diese Weise!
Server-Attacke
Der Cracker nutzt eine Sicherheitslücke des Webservers, um sich Zugang zu dessen administrativen
Bereichen zu beschaffen. Dies wird "exploiten" (engl. ausnutzen) genannt.
Zu bedenken wäre hierbei, dass, wenn ein Cracker den Webserver (Chatserver, Mailserver, ...) knackt, er
bestimmt besseres zu tun hat, als einen pisseligen Account zu hacken. Damit ist diese Form mehr als
unwahrscheinlich und kann getrost ad acta geführt werden.
Trojaner-Attacke
Der Cracker versendet an den Angegriffenen eine Mail die einen Trojaner beinhaltet. Sollte dieser nun den
Mailanhang blauäugig starten, nistet sich der Trojaner auf dessen System ein. Der Cracker hat nun Zugriff
auf das System des Angegriffenen, sobald dieser ins Internet geht. Trojaner beinhalten meist auch so
genannte Keylogger, ein kleines Unterprogramm, das Tastendrücke speichert (in denen findet sich ja dann
auch das Passwort).
Social Engineering-Attacke
Menschen sind von Natur aus faul. Auch bei der Wahl Ihrer Passwörter sind sie nicht sehr kreativ, sondern
wählen meist Sachen, die ihnen nahe sind. Sei es der Name des Dackels, der Freundin, oder das geliebte
Auto.
Der Cracker verwickelt den Angegriffenen in einen Gespräch, in dem er sich sehr interessiert zeigt
(besonders wirksam, wenn man sich als das andere Geschlecht ausgibt). Natürlich freut sich der
Angegriffene über soviel Interesse und taut immer weiter auf. Es geht immer mehr ins Detail. Da wird von
Hund gesprochen und plötzlich kommt die Frage "Oh, das ist ja toll. Ich liebe Hunde. Wie heißt der denn?".
Die gegebenen Antworten werden aufgeschrieben, oder sogar ein ganzer Mitschnitt vom Gespräch
gemacht. Die Antworten werden dann später als Passwörter ausprobiert.
Fazit: Man sollte niemals Sachen, Personen, oder was auch immer aus seiner näheren Umgebung als
Passwort wählen. Oder jedenfalls nicht in der reinen Form (dazu später). Bei Gesprächen sollte man
immer auf der Hut sein und nicht zu schnell zu viel erzählen von sich.
Fakemail-Attacke
Der Cracker sendet eine E-Mail mit einem gefälschten Header (Mailkopf). Dies bedeutet, die
Absenderadresse der Mail ist nicht die echte. Als Beispiel bekommt der Angegriffene eine Mail von
[EMAIL]???@???.de[/EMAIL] in der steht "Hallo XYZ, aufgrund einer böswilligen Hackerattacke gestern Nacht gegen
unseren Server kam unsere Datenbank durcheinander. Um Deinen Account komplett wiederherzustellen
benötigen wir Dein Passwort. Ich bitte Dich hiermit, diesen uns zu melden. Viel Spaß noch auf unserem
Board. BlaXioN" (Mein Beispiel ist nicht sehr ausgefeilt, aber ich hoffe, Ihr versteht, was ich meine).
Worauf viele nicht achten, man kann bei einer Mail eine andere "Replyadresse" einstellen. Also die
Antwortadresse zu einer Mail kann eine andere sein, als die Absenderadresse. Der Cracker registriert sich
zum Beispiel vorher die Mailadresse [EMAIL]???@???.de[/EMAIL] und stellt diese als Replyadresse ein. Der
Angegriffene bekommt die Mail, sieht den Absender der echt erscheint und klickt auf "Antworten". Er
übersieht dann meist, dass die Antwort nun an eine andere Adresse geht und sendet sein Passwort als Mail
zurück.
Fazit: Kein Chat, kein echter Anbieter jeglicher Art, würde jemals Passwörter per Mail erfragen. Niemals
kann ein Datensatz durch den Versand eines Passworts gerettet werden. Wenn auf Antworten geklickt
wird, genau auf die Adresse achten, an die geantwortet wird. Ist sie eine andere, solltet Ihr hellhörig
werden. Außerdem würde ein echter Crash auch bestimmt auf den Pages des Anbieters groß gemeldet
werden (muss aber nicht immer sein).
Dictionary-Attacke
Wie oben schon erwähnt, wählen Menschen meist Passwörter, die sie sich leicht merken können. Im Netz
sind so genannte Dictionaries (Wörterbücher) zu finden, in denen ein Großteil der häufigsten Passwörter
einer Sprache drinsteht. Es gibt sogar Dictionaries für Arabisch oder Suaheli (kein Scherz). Diese Dateien
sind reine Textdateien, in denen die Wörter einfach untereinander stehen und sind meist mehrere
Megabyte groß. Ihr könnt Euch demnach ausrechnen, wieviele tausend Wörter oder Kombinationen sie
beinhalten. Der Cracker nimmt ein kleines Programm, was die Wörter in dem ausgewählten Dictionary
einzeln ausliest und als Passwort probiert. Das Programm arbeitet selbstständig alle Möglichkeiten in der
Datei durch und meldet beim erfolgreichen Login das Passwort.
Fazit: Keine Wörter benutzen, die in Wörterbüchern vorkommen oder zu simple Kombinationen (1234,
abc123, sweetheart, angel, ...).
Bruteforce-Attacke
Sollte die Dictionary-Attacke zu keinem Erfolg geführt haben, kann der Cracker auch zu einer so
genannten Bruteforce-Attacke (engl. rohe Gewalt) greifen. Bei dieser Angriffsform testet ein Programm
einfach alle Buchstaben-Zahlen-Kombinationen aus, die möglich sind. Es fängt bei einer Stelle an und
"zählt" einfach hoch. Damit dies schneller vonstatten geht, versuchen solche Programme (wie auch meist
der Dictionary-Attacker) gleich 10-50 Mal auf einmal einzuloggen. Das beschleunigt den Ablauf. Wenn
eine Kombination dann die richtige ist, wird sie gemeldet.
Fazit: Die Anzahl der Möglichkeiten ist leicht zu errechnen. Wir gehen davon aus, dass der Beispielsserver
a-z, A-Z und 0-9 als Eingabe beim Passwort akzeptiert. Das würden 62 verschiedene Möglichkeiten für ein
einstelliges Passwort ergeben. Bei zwei Stellen wäre es 62², bei drei Stellen schon 62³ usw. Es wird meist
vorgeschlagen, dass das Passwort nicht weniger als 8 Stellen haben sollte. Je länger, desto sicherer!
Sicherheitsabfrage
Einige Anbieter geben Ihren Kunden die Möglichkeit, beim Vergessen Ihres Passworts, mittels
beantworten einer Sicherheitsfrage einzuloggen. Hier sind viele Leute unachtsam und wählen eine sehr
einfach erratbare Sicherheitsfrage ("Was ist meine Lieblingsfarbe?" "Wie heißt meine Mutter?" "Welche
Automarke fahre ich?"). Der Cracker geht demnach zur Sicherheitsfrage und versucht diese zu erraten.
Fazit: Das beste Passwort ist wertlos, wenn die Sicherheitsfrage binnen einiger Versuche herausgefunden
werden kann.
1 Passwort für alles
Dies ist keine richtige Attacke, sondern beruht eher auf der Gemütlichkeit vieler Menschen. Wer will sich
schon zich verschiedene Passwörter merken? Also wird sich ein Passwort ausgedacht und dieses überall,
wo man sich anmeldet, verwendet. Eines solltet Ihr immer bedenken, der Admin einer Site kann Eure
Passwörter einsehen (ist ja auch klar, denn es ist seine Datenbank). Bei großen Websites von
Gesellschaften ergeben sich dadurch wohl kaum Probleme. Aber was geschieht, wenn derjenige sich nun
bei einem kleinen Forum eines Users anmeldet, oder einem kleinen privaten Chat und dort auch dasselbe
Passwort benutzt? Der Admin dort ist kein Angestellter einer großen Gesellschaft, sondern einfach nur ein
Freak. Doch Admin ist Admin. Er kann die Passwörter der User seiner Site natürlich einsehen.
Fazit: Ich bin dazu übergegangen, ein Passwort für Websites zu nutzen, wo mir Sicherheit nicht so wichtig
ist und andere Passwörter für Sites, bei denen Sicherheit an erster Stelle steht (zum Beispiel E-Mail).
Resümee:
Wenn Ihr nun das obige durchgegangen seid und versteht, erkennt Ihr auch, den Weg, den man
einschlagen muss, um eine Sicherheit für seinen Account bekommen. Ich will noch einmal die Punkte hier
aufzählen:
1.Keine Zettelchen mit Passwörtern an oder um den PC herumliegen lassen.
2.Bei Eingabe des Passwortes darauf achten, dass niemand zusieht.
3.Mailanhänge nicht blauäugig starten. Lieber immer erst mit Virenscanner prüfen!
4.Keine Passwörter nutzen von Sachen oder Personen des näheren Umkreises.
5.Bei Gesprächen nicht zuviel des guten erzählen. *g*
6.Mails auf Echtheit prüfen und niemals Passwörter per Mail senden.
7.Keine Passwörter wählen, die in Wörterbüchern drinstehen können.
8.Keine kurzen Passwörter wählen.
9.Die Sicherheitsfrage nicht simpel gestalten.
10.Nicht bloß ein Passwort für alles haben, sondern differenzieren.
Zu guter letzt gebe ich Euch noch einige Tipps, wie ich sichere Passwörter genieren würde. Wir nehmen dazu
einen langen Satz "Schneewittchen geht zu den 7 Zwergen auf den 7 Bergen." Nun picken wir einfach nur die
Anfangsbuchstaben der einzelnen Wörter heraus (Zahlen bleiben Zahlen). Dies ergibt dann "Sgzd7Zad7B". Für
Menschen, die unsere Eselsbrücke nicht kennen, ist unser Passwort nun ein Buchstaben-/Zahlen-Wirrwarr. Für
uns jedoch leicht zu merken. Netterweise sind hier nun auch Zahlen im Passwort enthalten und auch
Großbuchstaben (viele schreiben Ihr Passwort einfach nur in Kleinbuchstaben).
Ein anderer Weg zum Beispiel wäre es, in einem Satz (oder Wort) die Vokale (oder Konsonanten) durch Zahlen zu
ersetzen. Beispiel: Aus "IchliebemeinAuto" wird "1chl23b4m56n78t9" (Ob wir nun nur eine Ziffer nehmen, oder
hochzählen/herunterzählen, bleibt uns selber überlassen). Auch wäre es denkbar, einfach Wörter umzudrehen.
Aus "Automobile" wird "elibomotuA". Dies kann auch in einem Satz geschehen.
Mit solch einfachen Tricks erzeugen wir ein schwer knackbares Passwort, das wir uns aber recht simpel merken
können. Gar nicht so schwer, wenn man den Weg kennt, oder?
![[Bild: boldluck468603.gif]](http://www.boldluck.at/mystuff/boldluck468603.gif)
</a>