Passwortangriffe auf eBay & Co
Gegen normale Angriffe auf sein Benutzerkonto ist der einzelne scheinbar recht gut geschützt: Selbst ein typisches Vornamens-Passwort bietet schließlich Schutz, wenn nach der dritten Fehleingabe eine PIN einzutippen ist oder minutenlange Login-Sperren einsetzen. Doch genau dieses Konzept lässt sich leicht aushebeln, wenn der Angreifer andere Ziele verfolgt.
Administratoren dürften immer wieder an "luschigen" weil halt einprägsamen Passwörtern ihrer Schäfchen verzweifeln: Wer interessiert sich denn bitte ausgerechnet für meinen eBay-Account? Ich hab da doch gar nichts Geheimnisvolles gespeichert, dürfte eine Standard-Meinung zum Thema lauten. Das ist so lange richtig, wie die Intention des Angreifers tatsächlich darin besteht, einen einzelnen, zuvor ausgewählten Account zu knacken. Wenn es aber nur darum geht, Zugriff zu irgendeinem Account zu bekommen, etwa um unter falscher Flagge bei eBay zu betrügen, dann ist das leider erschreckend einfach möglich.
Wie das funktioniert, sei im Folgenden dargelegt und selbstverständlich, wie der Einzelne sich dagegen schützen kann. Bei Online-Dienstleistern wie Amazon, eBay und vielen anderen ist in der Regel eine vorherige Anmeldung erforderlich. Neben dem Benutzernamen muss der Anwender noch ein Passwort eingeben: Fertig ist das Nutzerkonto. Um das Konto vor unautorisierten Zugriffen zu schützen, sollte das Passwort zum einen geheim bleiben und zum anderen nicht leicht zu erraten sein. Doch obwohl Passwort-Angriffe eigentlich ein alter Hut sind, stellen viele Anbieter keine besonderen Komplexitätsanforderungen an Passwörter. Einige erlauben sogar Passwörter, die genau so lauten wie der Benutzername. Sonderzeichen, Großbuchstaben oder Zahlen im Kennwort, die das Erraten schwerer machen, sind selten Pflicht. Der Angreifer hat hier meist leichtes Spiel.
Theorie ...
Die klassische Methode, um Passwörter zu knacken, sind so genannte Brute-Force-Angriffe. Dabei probiert ein Angreifer systematisch alle möglichen Buchstaben-, Zahlen- und Sonderzeichenkombinationen eines Passworts durch. Mit jeder möglichen Zeichenkombination unternimmt er einen Login-Versuch. Gelingt der, ist das Passwort erraten. Das größte Hindernis hierbei ist die riesige Anzahl von Kombinationsmöglichkeiten der Passwortzeichen.
Probiert man nur 26 Kleinbuchstaben für das Passwort, so ergeben sich bei sechs Zeichen schon 309 Millionen verschiedene Kombinationen. Mit Groß- und Kleinbuchstaben, Ziffern und acht Sonderzeichen kommt man auf einen Zeichenvorrat von 70 Zeichen, was bei einer Passwortlänge von sechs Stellen rund 118 Milliarden verschiedene Kombinationen ergibt. Schafft man es, pro Sekunde zehn Passwörter auszuprobieren, nimmt das Durchprobieren aller Möglichkeiten 373 Jahre in Anspruch.
... und Praxis
Leider neigt der Mensch dazu -- wenn man ihn nur lässt -- sich eben nicht völlig kryptische Passwörter aus wirren Zeichenkombinationen auszudenken, sondern einfach normale Wörter wie Hawaii oder Hasso zu benutzen -- ohne Sonderzeichen oder Zahlen. Hier setzen so genannte Dictionary- oder Wörterbuch-Angriffe an. Anstatt alle möglichen Zeichenkombinationen durchzuprobieren, nimmt man nur Begriffe aus Wörterbüchern und Verzeichnissen. Entsprechende Listen umfassen zwischen wenigen Tausend bis zu rund 200 000 Wörtern, womit es sich für den Angreifer schon leichter rechnet: Selbst bei 200 000 Wörtern wäre er in oben genanntem Beispiel so in unter sechs Stunden mit dem Probieren durch.
Wenn der Anwender so triviale Wörter mit Sonderzeichen, Zahlen und Kombinationen aus Groß- und Kleinbuchstaben kombiniert, erhöht er die Möglichkeiten deutlich. Doch meist wird nur ein Sonderzeichen oder eine Zahl vorangestellt oder hinten angehängt, Silben werden vertauscht oder die Wörter rückwärts buchstabiert. Und darauf haben sich die Cracker längst eingestellt: Programme wie John the Ripper oder crack sind in der Lage, solche Variationsmuster nachzubilden und aus einfachen Wortlisten die entsprechenden Permutationen zu generieren.
GreeTs
@JAcK:pfct: