Die einfachste Gegenmaßnahme gegen Brute-Force Attacken ist, keine Passwörter zu verwenden. Smart-Cards, Token oder Einmal-Passwörter hebeln Brute-Force-Angriffe effektiv aus. „Jedes beliebige Passwort, welches Format es auch immer haben mag, kann letztlich geknackt werden“, mahnt Mike Puglia, Product Manager beim Sicherheitshersteller Bluesocket. Wenn es nicht ohne Passwort geht, ist eine strenge Policy vonnöten, die lange Passwörter erzwingt, sie häufig wechseln lässt und Zahlen, Sonderzeichen und Groß- und Kleinschreibung durchsetzt. Es gibt im Internet kleine Trainingstools, um Mitarbeitern beizubringen, wie man solche Ungetüme entwirft und sich merkt. Am einfachsten mit der guten, alten Eselsbrücke: Der Satz: „Am 14. ist Valentinstag, nicht vergessen!“ ergäbe zum Beispiel „A14iVnv!“.
Man kann Hacker auch mit ihren eigenen Waffen schlagen. Zum Beispiel indem man die eigenen Passwörter mit ihren Tools testet. Das geht unter anderem mit „John the Ripper“. der mit Unix, Windows, DOS, BeOS und Open VMS arbeitet. Die Software führt eine Brute Force-Attacke durch, loggt sich jedoch nie ein, so dass der Account nicht gesperrt wird. Auf der gleichen Website gibt es eine OSS-Software, die nur Passwörter zulässt, die John nicht knacken konnte.
Die Software „Hydra“ ist ein Login-Cracker für Telnet, FTP, HTTP, HTTPS, HTTP-Proxy, LDAP, SMB, SMBNT, MS-SQL, MYSQL und viele Protokolle und Anwendungen mehr. Wer die eigenen Passwörter damit checkt, wird schnell feststellen, wo noch Nachholbedarf ist. Dort findet sich auch der „pptp-Bruter“, der gegen den TCP-Port 1723 eingesetzt werden kann, um VPN-Endpunkte zu knacken. das Tool nutzt eine Lücke in Microsofts Anti-Brute-Force-Maßnahmen und erlaubt dem Angreifer 300 Login-Versuche pro Sekunde. Toralv Dirro von McAfee hat entnervt zu einer ganz anderen Maßnahme gegriffen: Er hat seinen SSH-Zugang auf einen anderen als den Standard-Port gelegt, damit automatisierte Attacken ihn nicht mehr finden. Es ist zwar ein Rückzug, aber das ist ihm gleich: „Ich war es einfach leid“, seufzt der Sicherheitsexperte. Doch mit „AMAP“ ist der nächste VPN-Server schnell gefunden. Die Software testet, welcher Dienst sich hinter welchem Port verbirgt, indem es die Antworten auf Anfragen interpretiert.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.