Angreifer wollen euer Paßwort für irgendwelche Online-Dienste herausfinden - normalerweise aus monetären Beweggründen. Dazu haben sie verschiedene Möglichkeiten und Vorgehensweisen, auf die ich hier kurz eingehen möchte. Da sich diese Seite aber im Wesentlichen um die Sicherheit von Paßwörtern dreht, fasse ich mich hier eher kurz. Wenn ihr mehr Informationen zu den genannten Szenarien haben wollt, nutzt die Suchmaschine eurer Wahl, fragt den IT-Sicherheits-Nerd in eurem Umfeld, schaut auf die Seiten vom BSI oder fragt den Informationssicherheitsbeauftragten^[1] in eurem Unternehmen.

Angriffsszenarien

Offline-Angriffe

Mit Offline-Angriffen werden Angriffe bezeichnet, bei denen Angreifer an bestehenden Systemen vorbei versuchen kann, Paßwörter herauszufinden. Dies kann beispielsweise passieren, wenn eine Userdatenbank erfolgreich kopiert wurde und die Angreifer sich in aller Ruhe auf eigenen Systemen an die Entschlüsselung der erbeuteten Daten machen können.

Online-Angriffe

Online-Angriffe bezeichnen Angriffe, die direkt auf bestehenden Webseiten oder Systemen versuchen, Kennwörter zu knacken. Für einen Online-Angriff wird beispielsweise das Login-Formular einer Webseite wieder und wieder abgeschickt, bis es zu einem erfolgreichen Login kommt. Dies geschieht natürlich nicht manuell, sondern wird sehr effizient automatisiert.

An dieser Stelle wäre der Anbieter eines Login-Dienstes gefragt, den Account nach einer bestimmten Anzahl von Fehlversuchen mindestens temporär zu sperren, leider geschieht das nur sehr selten. Auch ein Captcha wäre eventuell eine Möglichkeit, wenngleich dies in Zeiten von KI auf einen Angreifer eher albern wirken könnte.

Angriffsmethoden

Es gibt unzählige Methoden, wie Angreifer an euer Paßwort kommen können. Ein paar wenige und (für Angreifer) leicht durchzuführende Methoden möchte ich hier kurz anreißen - ebenso wie Verteidigungen dagegen.

Brute Force

Auf deutsch "rohe Gewalt". Hier wird einfach der Reihe nach durchprobiert, ob ein Paßwort korrekt ist. Diese Methode ist sehr, sehr rechenintensiv, wenn (WENN!) ein Paßwort lang genug ist (siehe Mathematik) oder wenn entsprechende Hashingverfahren eingesetzt werden (siehe Schutz von Paßwörtern).
Meist wird diese Methode gegen bereits erfolgte Kopien von Datenbanken oder Dateien angewendet, denn es ist auf Anbieterseite leicht, derartige Angriffe zu erkennen und zu blockieren.

Gegenmaßnahme: lange, lange Paßwörter

Credential Stuffing

Dem Credential Stuffing geht ein erfolgreicher Angriff auf eine andere Webseite oder einen anderen Dienst voraus, bei dem Username und Passwort erbeutet wurden. Da viele Menschen immer noch ihr Paßwort auf anderen Seiten wiederverwenden, werden diese nun einfach in hunderten anderer Webseiten eingegeben. Wenn es irgendwo erfolgreich ist, ist dies ein weiterer Gewinn. Mehr Informationen bietet OWASP.

Gegenmaßnahme: keine Wiederverwendung von Paßwörtern, keine einfachen Algorithmen zur Generierung von Paßwörtern. Einsatz eines Paßwortmanagers samt Paßwortgenerator. Zweiten Faktor zur Authentifizierung nutzen.

Rainbow Tables

Wenn der Anbieter Hashing-Verfahren nutzt, um Paßwörter zu speichern, kommen mitunter veraltete Verfahren zum Einsatz. Werden Verfahren ohne Salt genutzt, können die Berechnungen, um auf einen bestimmten Hash zu kommen, bereits im Vorfeld durchgeführt und gespeichert werden; die Suche nach einem Paßwort ist dann nur noch ein Lookup in der Datenbank.

Mehr Infos bei Wikipedia.

Gegenmaßnahmen: mindestens 12 Zeichen lange Paßwörter verwenden (besser 15 und mehr)

Phishing

Der Angreifer schickt einen Link, ihr klickt darauf, eine Seite sagt, daß ihr euch mit eurem Microsoft/Google/Facebook/sonstwas-Account anmelden sollt. Diese Seite ist aber nicht das Original, sondern vom Angreifer. Ihr tippt die Daten ein, es erscheint eine Fehlermeldung, dass das leider nicht geklappt hat - und ihr werdet danach auf die echte Seite weitergeleitet. Der Angreifer hat dann euer Paßwort von euch persönlich übermittelt bekommen.

Gegenmaßnahme: vergleichen, ob der Link, der geöffnet wird, mit dem Link, der in der E-Mail angezeigt wird, identisch ist und sicherstellen, daß das der Link ist, auf den ihr gehen wollt. Im Zweifel lieber die Adresse von Hand in die Adreßzeile eintippen. Zweiten Faktor zur Authentifizierung nutzen.

MITM

Wenn der Angreifer es schafft, euren Traffic im Netzwerk (beispielsweise im Hotel oder in freien WLANs) derart umzuleiten, daß ihr nicht direkt auf der Seite landet, wo ihr eigentlich hin wolltet, sondern durch dessen Equipment geleitet werdet, kann er den Traffic mitlesen, der von euch generiert wird. Seit nahezu alle Kommunikation im Internet über HTTPS (also verschlüsselt) läuft, wird dieser Angriff komplexer und braucht deutlich mehr Vorbereitung und Zeit.

Gegenmaßnahme: Auf verschlüsselte Verbindungen achten (TLS, HTTPS). Zertifikatswarnungen ernst nehmen (und im Zweifelsfall den Nerd in eurem Umfeld fragen, was da genau passiert).

Keylogger

Keylogger sind Systeme, die speichern können, welche Daten ihr in die Tastatur tippt. Wenn ihr dann euer Paßwort von Hand eintippt, kann das an den Angreifer übermittelt werden. Keylogger können in 2 Varianten eingesetzt werden: als Hardware, die zwischen euren PC und euer Keyboard gesteckt wird oder als Software, die irgendwo im Hintergrund läuft.

Gegenmaßnahme: Paßwörter via Paßwortmanager füllen lassen, nicht per Tastatur. Zweiten Faktor zur Authentifizierung nutzen.