Brute-Force: Passwörter knacken mit roher Gewalt

Die einfachste Gegenmaßnahme gegen Brute-Force Attacken ist, keine Passwörter zu verwenden. Smart-Cards, Token oder Einmal-Passwörter hebeln Brute-Force-Angriffe effektiv aus. „Jedes beliebige Passwort, welches Format es auch immer haben mag, kann letztlich geknackt werden“, mahnt Mike Puglia, Product Manager beim Sicherheitshersteller Bluesocket. Wenn es nicht ohne Passwort geht, ist eine strenge Policy vonnöten, die lange Passwörter erzwingt, sie häufig wechseln lässt und Zahlen, Sonderzeichen und Groß- und Kleinschreibung durchsetzt. Es gibt im Internet kleine Trainingstools, um Mitarbeitern beizubringen, wie man solche Ungetüme entwirft und sich merkt. Am einfachsten mit der guten, alten Eselsbrücke: Der Satz: „Am 14. ist Valentinstag, nicht vergessen!“ ergäbe zum Beispiel „A14iVnv!“.

Man kann Hacker auch mit ihren eigenen Waffen schlagen. Zum Beispiel indem man die eigenen Passwörter mit ihren Tools testet. Das geht unter anderem mit „John the Ripper“. der mit Unix, Windows, DOS, BeOS und Open VMS arbeitet. Die Software führt eine Brute Force-Attacke durch, loggt sich jedoch nie ein, so dass der Account nicht gesperrt wird. Auf der gleichen Website gibt es eine OSS-Software, die nur Passwörter zulässt, die John nicht knacken konnte.

Die Software „Hydra“ ist ein Login-Cracker für Telnet, FTP, HTTP, HTTPS, HTTP-Proxy, LDAP, SMB, SMBNT, MS-SQL, MYSQL und viele Protokolle und Anwendungen mehr. Wer die eigenen Passwörter damit checkt, wird schnell feststellen, wo noch Nachholbedarf ist. Dort findet sich auch der „pptp-Bruter“, der gegen den TCP-Port 1723 eingesetzt werden kann, um VPN-Endpunkte zu knacken. das Tool nutzt eine Lücke in Microsofts Anti-Brute-Force-Maßnahmen und erlaubt dem Angreifer 300 Login-Versuche pro Sekunde. Toralv Dirro von McAfee hat entnervt zu einer ganz anderen Maßnahme gegriffen: Er hat seinen SSH-Zugang auf einen anderen als den Standard-Port gelegt, damit automatisierte Attacken ihn nicht mehr finden. Es ist zwar ein Rückzug, aber das ist ihm gleich: „Ich war es einfach leid“, seufzt der Sicherheitsexperte. Doch mit „AMAP“ ist der nächste VPN-Server schnell gefunden. Die Software testet, welcher Dienst sich hinter welchem Port verbirgt, indem es die Antworten auf Anfragen interpretiert.

Themenseiten: Hacker, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Brute-Force: Passwörter knacken mit roher Gewalt

Kommentar hinzufügen
  • Am 20. Oktober 2006 um 23:03 von double

    BWas sind das für Maßnahmen
    In der Regel sperrt man einen Account nach 3-5 versuchen.
    Dann ist er erst entweder nach einer Benachrichtigung des Besitzers wieder verwendbar oder nach einer gewissen vorgegebenen Zeit.
    Also verstehe ich nicht ganz was das für massnahmen sein sollen?

  • Am 25. Oktober 2006 um 10:16 von Jan R.

    Ab nächstem Jahr verboten
    Hi.
    Wäre es nicht so, dass ab dem nächsten Jahr, wenn die Verschärfung der "Computergesetze" der Bundesregierung durchgesetzt werden, dieser Artikel verboten wäre!? Immerhin werden ja konkrete Programme genannt, die Passwörter knacken könnten und somit schaden könnten.

    • Am 30. Juni 2010 um 17:27 von Julisnake

      AW: Ab nächstem Jahr verboten
      Ich habe mal eine frage danke im vorraus und bitte privat zurück schrieben
      ich verstehe das nicht das ist doch alles illegal so dumm hier gehen welche drauf dan wissen die das man damit pw knacken kann und auch bei browsergamse wie bei mir bei die stämme hat jetzt auch einer mein pw gehackt das ist nicht okey sowas ich habe mich richtig geärgert solange dafür gespielt bis ich mal 933.000 punkte hatte und nun naja ist er futsch der typ hat mich sogar angeschrieben!nene.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *