Alle paaren Wochen führen Sebastian und ich mindestens ein Gespräch, in welchem wir den Entscheidern erklären, warum die Aussagen wie „Wir haben komplexe und lange Kennwörter im Einsatz“, „Uns greift doch keiner an“ oder „Wir verwenden eine MFA-Lösung“ oftmals ein falsches Gefühl von Sicherheit vermitteln.
Denn die Sache ist die:
- Viele der heutigen Attacken werden automatisch durchgeführt. Ein Taschendieb bewegt sich auch in der Menge, ohne sein wirkliches Opfer zu kennen.
- Meistens spielt die Länge Ihres Kennwortes keine Rolle.
Um zu verstehen, warum dem so ist, sollten wir uns die wichtigsten Angriffe auf Kennwörter ansehen.
| Attacke | weitere Namen | Schwierigkeitsgrad | Benutzerinteraktionen | Spielt das Kennwort eine Rolle? |
|---|---|---|---|---|
| Phishing | Man-in-the-middle, Abfangen von Anmeldedaten | Einfach: Öffentlichen Hotspot bereitstellen. Links zu falschen Anmeldemasken via E-Mail, oder DNS, LLMNR, NetBios Spoofing, DHCPv6 verteilen. Einfache Tools wie Modlishka unterstützen den Angreifer | Verwendet ein x-beliebiges WLAN Meldet sich an und bestätigt die MFA | Nein, der Angreifer kann entweder das Kennwort erhalten, oder nutzt eine Pass-The-Hass und Pass-The-MFA Methode |
| Keylogger | Malware, Keystroke logging | Mittel: Malware zeichnet Benutzernamen und eingegebene Kennwörter auf und überträgt diese. | Anklicken von Links, Ausführen als Administrator, keine aktuellen Sicherheitsupdates oder Virensignaturen | Nein, sämtliche Informationen werden im Klartext übermittelt |
| Password spray | Guessing, hammering, low-and-slow | Trivial: Verwenden von öffentlichen Benutzerlisten und allgemeinen Kennwortlisten. Hierbei werden die Top 100 Kennwörter für Deutschland für eine große Anzahl an Benutzernamen verwendet. | Es werden häufige Kennwörter wie Spring123!, Winter2022, Sommer2023! etc. verwendet. Diese erfüllen häufig die Komplexitätsanforderungen | Nein, wenn das Kennwort einem Top-Kennwort, befindet sich auf einer Kennwortliste, entspricht. |
| Brute force | Database extraction, cracking | Unterschiedlich: Kann einfach sein, wenn das Zielunternehmen nur schwach geschützt ist. Hash-Cracking des Passworts. Schwieriger wenn die NTDS.DIT physisch und betrieblich geschützt ist. | Nein, außer Sie verwenden ein unbrauchbares Kennwort |
Password Spray
Passwort-Spraying ist ein Angriff, bei welchem versucht wird, mit einigen wenigen, häufig verwendeten Kennwörtern auf eine große Anzahl von Konten (Benutzernamen) zuzugreifen. Die Angreifer „sprühen“ diese gängigen Kennwörter somit über ein ganzes Unternehmen. Dieser Angriff verfolgt demnach einen Massenansatz. Der Angreifer beginnt in der Regel mit einem verbreiteten Kennwort wie P@$$w0rd123, von dem er hofft, dass es von einem Benutzer im Unternehmen verwendet wird.
Die Benutzer wählen die gleichen Kennwörter vor allem deshalb, weil sie sehr einfach zu merken sind. Die Angreifer probieren daher gezielt oft verwendete Kennwörter von veröffentlichten Kennwortlisten aus.
Phishing/Man-in-the-middle
Leider können praktisch alle heute gebräuchlichen Authentifikatoren wie Telefon, SMS, E-Mail, OTP-Token (One-Time-Passcode) oder Push-Benachrichtigungen relativ einfach über Real-Time-Phishing abgefangen und genutzt werden. Hierzu muss ein Angreifer lediglich den Kommunikationskanal (Channel-Jacking) übernehmen. Aus diesem Grund empfehlen wir auch die Nutzung von eigenen LTE-Modems für besonders schützenswerte Benutzer wie Mitglieder der Geschäftsführung, Vorstand, Aufsichtsrat etc.
Wer wählt sich nicht gerne am Flughafen in den kostenlosen Hotspot „DUS Free WiFi Airpot“ ein?
Das macht aber nicht alle Authentifikatoren gleich anfällig.
Es ist sehr wichtig zu wissen, dass nur drei der genannten Authentifikatoren Ihre Benutzer vor Phishing-Angriffen schützen.
- FIDO2
- Windows Hello for Business
- Zertifikatsbasierte Authentifizierung (CBA)
Windows 10 und Windows 11 bieten eine kostengünstige und einfache In-Box-Alternative zu Kennwörtern, Windows Hello for Business, eine starke Zwei-Faktor-Authentifizierung für Azure Active Directory und Active Directory.
Die unvermeidliche Pointe
Ihr Passwort spielt keine Rolle, außer für Passwort-Spray (vermeiden Sie die am häufigsten erratenen Passwörter mit einer Art Wörterbuch-Checker wie dem Password Protection Feature von Microsoft) oder Brute-Force (verwenden Sie mehr als 8 Zeichen, oder benutzen Sie einen Passwort-Manager, wenn Sie *wirklich* nervös sind). Das soll nicht heißen, dass Ihr Passwort sicher ist. Es ist *definitiv* nicht sicher, wenn man bedenkt, wie hoch die Wahrscheinlichkeit ist, dass es erraten, abgefangen, gefälscht oder wiederverwendet wird.
Ein Gedanke zu „Warum Kennwörter unsicher sind und selbst MFA nicht immer ausreichend ist!“