Es ist für jeden schlimm, wenn er Opfer eines Hackerangriffs oder von Datendiebstahl wird, doch wer sich selbst als „Hacker“ oder „Sicherheitsexperte“ betitelt, wird zum attraktiven Angriffsziel. Ein solches Ziel war auch die italienische Firma Hacking Team. Zu den ersten Sicherheitsprinzipien, die man in einer Sicherheitsschulung lernt, gehört, dass sichere Kennwörter die beste Verteidigung gegen Angriffe sind. Das zweite Prinzip lautet, dass Kennwörter niemals vollkommen sicher sind. Sichere Kennwörter sind nicht in einem Wörterbuch zu finden und bestehen nicht aus Datumsangaben oder Zahlen, die sich relativ einfach herausfinden lassen, wenn man ein paar Details über Sie und Ihr Leben weiß. Der Angriff auf die Firma Hacking Team zeigt, dass jeder ein potenzielles Ziel ist. Deshalb ist es wichtig, es den Angreifern möglichst schwer zu machen.
Die Hacker konnten rund 400 GB Daten von Hacking Team abgreifen und offenlegen. Hierzu gehörten unter anderem auch Kennwörter von Mitarbeitern. Insbesondere die Kennwörter von Christian Pozzi, einem der Sicherheitstechniker des Unternehmens, wurden im Rahmen des Angriffs veröffentlicht. Hier sind einige seiner nicht gerade klug gewählten Kennwörter:
HTPassw0rd
Passw0rd!81
Passw0rd
Passw0rd
Passw0rd!
PasSw0rd
Rite1.!!
„Es ist schon fast deprimierend, dass Sicherheitstechniker einer auf Hacking spezialisierten Firma sich offenbar keine Mühe machen, den Zugriff auf ihre Systeme angemessen zu schützen. Man macht es Hackern zu leicht, wenn man nur ein Kennwort zur Authentifizierung des Zugriffs verwendet, selbst wenn man ein sicherheitsbewusster Mitarbeiter in einer hochgradig sensiblen Branche ist und fundierte Kenntnisse besitzt. Jeder kann zum Ziel von Hackern werden und mit Kennwörtern allein kann man sich nicht wirksam vor Angriffen schützen. Angreifer setzen alles daran, Sicherheitsmaßnahmen zu umgehen, deshalb müssen Unternehmen jeder Größe den Zugriff auf ihre Anwendungen und Cloud-Dienste durch Multi-Faktor-Authentifizierung schützen.“ Claus Kotasek, CEO, SMS PASSCODE
Jeder, der aus beruflichen Gründen schon einmal eine Online-Sicherheitsschulung durchlaufen hat, weiß, dass man keine Kennwörter verwenden sollte, die den Begriff „Kennwort“ oder „Passwort“ enthalten. Solche Kennwörter lassen sich mit einem einfachen Wörterbuchangriff knacken. Auch das Ersetzen bestimmter Buchstaben durch Ziffern und Sonderzeichen ist gängige Praxis:
@ statt a
3 statt e
! statt i
0 statt o
$ statt s
Sicherheitsexperten wissen, dass solche einfachen Kennwörter selbst für unerfahrene Hacker leichte Beute sind. Sie sind die niedrig hängenden Früchte, die gerne verwendet werden, wenn man ein Honeypot-System erstellt, um Hacker zu ködern. Solche Kennwörter sind jedoch definitiv zu vermeiden, wenn man echte Sicherheit gewährleisten möchte.
Sicherheitsexperten werden nicht müde zu erklären, dass sichere Kennwörter aus einem Wort oder einer Phrase mit mindestens acht Zeiten bestehen, das bzw. die man sich gut merken kann und nur schwer zu erraten ist. Besonders sichere Kennwörter enthalten außerdem alternative Schreibweisen, eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Für Websites, die Sonderzeichen wie !@#$% nicht erlauben, sollten möglichst lange Kennwörter verwendet werden, die ausschließlich für die jeweilige Website genutzt werden. Sie sollten außerdem Ihre Kennwörter für Konten in sozialen Netzwerken regelmäßig ändern und nach Möglichkeit die zweistufige Authentifizierung aktivieren. Paypal bietet beispielsweise eine zweistufige Authentifizierung, bei der Sie sich mit einem Kennwort und einem per SMS an Ihr Handy gesendeten Code anmelden müssen.
Denken Sie daran, dass sichere Kennwörter Hacker abschrecken, die auf der Suche nach den niedrig hängenden Früchten sind. Das Knacken von Kennwörtern mit einem Wörterbuchangriff ist eine der einfachsten und schnellsten Methoden, um Sicherheitsvorkehrungen zu überwinden. Die Zeit und Mühe, die ein Hacker investieren muss, werden durch die Möglichkeiten, die sich ihm eröffnen, mehr als wettgemacht. Für die Mitarbeiter der Firma Hacking Team war der Angriff eine wertvolle Lektion: Auf sichere Kennwörter kommt es an.
.png)
 of ENG [Free Tool] short-384x406.jpg)