Wörterbuchangriff: Was, wenn ein Passwortwörterbuch die Lösung ist?

Wussten Sie, dass es im Internet frei zugängliche Wörterbücher für Passwörter gibt?

Diese Nachricht mag zwar auf den ersten Blick erschrecken, da sie bedeutet, dass Hacker darauf zurückgreifen können, aber Sie sollten wissen, dass Unternehmen auch Vorteile daraus ziehen können!

Wie kann man das tun?

In diesem Artikel gehen wir ausführlich auf das Konzept der Passwortliste ein und erklären, wie Sie sich mithilfe der Passwortliste vor Wörterbuchangriffen schützen können. Außerdem erhalten Sie einige Tipps, wie Sie die Sicherheit der in Ihrer Organisation verwendeten Passwörter weiter erhöhen können.

Alle IT-Security Software ansehen

Was ist ein Passwortwörterbuch?

Definition eines Passwortwörterbuchs

Ein Passwortwörterbuch, das auch als Passwortliste bezeichnet wird, stellt eine Reihe von Passwörtern zusammen, die in der Regel gehackt wurden oder aus Sicherheitslücken stammen.

Diese Wörterbücher haben einen doppelten Nutzen.

Erstens sind sie für Hacker nützlich, die Wörterbuchangriffe durchführen. Nach Hackerangriffen auf Konten, wie z. B. dem Hackerangriff auf LinkedIn im Jahr 2012 (bei dem die Daten von 100 Millionen Nutzern gestohlen wurden), stellen Hacker die gewonnenen Daten häufig im Internet zur Verfügung, indem sie sie im Dark Web verkaufen.

Aber die gute Nachricht ist, dass der Inhalt dieser Passwortlisten auch Privatpersonen und Unternehmen zugute kommt: Dank dieser Listen können sie überprüfen, ob ihre Passwörter darin enthalten sind.

Beispielsweise können CIOs und Sicherheitsbeauftragte von Organisationen diese Listen nutzen, um Wörterbuchangriffe zu simulieren und so die Verwundbarkeit der von den Mitarbeitern verwendeten Passwörter zu überprüfen. Auch das NIST, das amerikanische Pendant zum ANSSI, hat diese Art der Überprüfung in seine Empfehlungen aufgenommen.

Angriffe mit Wörterbüchern

Um besser zu verstehen, wie Ihnen Passwortlisten helfen können, sollten wir noch einmal auf den Begriff des Wörterbuchangriffs eingehen.

Wörterbuchangriffe gehören neben Brute-Force-Angriffen und Phishing-Versuchen zu den am weitesten verbreiteten Cyberangriffen.

Sie bestehen darin, eine Reihe potenzieller Wörter nacheinander mithilfe eines bestimmten Wörterbuchs zu testen, bis das richtige gefunden wird.

Zu diesem Zweck verwenden Hacker :

• bereits geleakte Listen mit Passwörtern,
• Begriffe, die in den gängigsten Wörterbüchern enthalten sind,
• Deklinationen:
  • Häufig verwendete Zeichenkombinationen (abc123),
  • Passwörter, die mithilfe von Leet Speak geändert wurden, einer Methode, bei der Zeichen verwendet werden, die den ursprünglichen Zeichen optisch ähneln ("MOTDEPASSE" wird zu "M07D3P4553"),
  • Wiederholungen (passworddepassword),
  • Wörter, die den Namen der Zielorganisation oder eine ähnliche Bezeichnung enthalten, etc.
• andere Arten von Listen wie :
  • Geburtsdaten oder Daten von berühmten Ereignissen,
  • Familiennamen,
  • Autokennzeichen usw.

☝️ Diese Art von Angriffen funktioniert deshalb so gut, weil viele Internetnutzer unvorsichtig sind und weiterhin gängige Begriffe oder Zeichenfolgen für ihre Passwörter verwenden, insbesondere :

• Eigennamen (Vorname, Stadt, Land usw.),
• allgemeine Namen (Tier, Adjektiv usw.),
• logische Zahlenfolgen (123 456) usw.

Wo kann man Wörterbücher für Passwörter herunterladen?

Sie sind CIO und möchten auf die berühmten Passwortwörterbücher zugreifen, um die Sicherheit in Ihrem Unternehmen zu testen?

Es gibt viele davon, lassen Sie uns einen Blick auf die wichtigsten werfen.

Das CrackStation-Passwortwörterbuch

Das CrackStation-Passwortverzeichnis wurde von dem berühmten Hacker Stun veröffentlicht ... und es enthält sage und schreibe 1.493.677.782 Wörter!

Dieses kostenlose und als Torrent verfügbare Passwortwörterbuch ist deshalb so umfassend, weil es aus verschiedenen Quellen zusammengestellt wurde:

• Vorkommen im Wörterbuch,
• Passwortlisten aus aktuellen Hackerangriffen, die im Internet gefunden wurden,
• Begriffe aus den Wikipedia-Datenbanken (in allen Sprachen),
• Wörter aus den Büchern des Projekts Gutenberg, einer elektronischen Bibliothek, in der hauptsächlich gemeinfreie Werke gesammelt werden.

Das Richelieu-Projekt

Das Richelieu-Projekt hat ein kostenloses Passwortwörterbuch hervorgebracht, das auf GitHub unter der Creative Commons Attribution-Lizenz verbreitet wird.

Es bietet eine Liste der 20.000 am häufigsten verwendeten französischen Passwörter der letzten Jahre, die aus Datenlecks stammen und mit E-Mail-Adressen mit dem Domainnamen ". fr" verknüpft sind.

Das Kali Linux Passwortwörterbuch.

Kali Linux ist eine Open-Source-Lösung, die zahlreiche Tools im Bereich der Computersicherheit umfasst, die insbesondere zur Durchführung von Penetrationstests dienen.

Dazu gehört auch Crunch, das die Erstellung von Passwortwörterbüchern ermöglicht, um Wörterbuchangriffe testen zu können.

💡 Beachten Sie auch, dass Sie mit der Kali-Linux-Umgebung auf Hydra zugreifen können, ein Passwortknacker, der dabei hilft, Wörterbuch- und Brute-Force-Angriffe zu simulieren.

Die Specops Password Policy Software

Die Software Specops Password Policy unterstützt Unternehmen, die sich im Rahmen des Active Directory bewegen, bei der Verwaltung ihrer Passwortpolitik.

Um Organisationen zu ermöglichen, sich gegen Wörterbuchangriffe zu schützen, enthält die Lösung ein Passwortfiltersystem, das aus einem Wörterbuch mit mehreren Milliarden Entitäten aus den wichtigsten Angriffen entwickelt wurde:

• das Leck Collection #1-5,
• die Have I Been Pwned-Liste, die von dem Sicherheitsexperten Troy Hunt zusammengestellt wurde, usw.

Wenn also ein Mitarbeiter ein Passwort aus dieser Liste wählt, wird er von der Software gewarnt, damit er auf eine sicherere Option umsteigt.

Alle IT-Security Software ansehen

Unsere Tipps zum Schutz vor Wörterbuchangriffen

Neben der Verwendung von Passwortlisten gehört zu einem guten Schutz vor Wörterbuchangriffen auch die Annahme grundlegender Sicherheitsverhaltensweisen, wie sie von der ANSSI empfohlen werden.

Bewährte Verfahren im Umgang mit Passwörtern anwenden

Zuallererst sollten Sie die Komplexität Ihres Passworts erhöhen, um sich vollständig vor Wörterbuchangriffen zu schützen und einen starken Schutz vor Brute-Force-Angriffen zu bieten.

Das ideale Passwort setzt sich wie folgt zusammen:

• zwischen 8 und 12 Zeichen umfassen (wenn möglich sogar noch mehr),
• eine Kombination aus Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Zahlen enthalten.

Und natürlich darf es sich nicht auf etwas bereits Bestehendes beziehen, wie z. B.Das gilt für Wörter aus dem Wörterbuch ebenso wie für "logische" Reihenfolgen, z. B. Daten von berühmten Ereignissen.

Schließlich gibt es noch weitere gute Praktiken, die beachtet werden sollten:

• Ihr Passwort regelmäßig erneuern (laut ANSSI alle 90 Tage),
• nicht das gleiche Passwort für mehrere Konten verwenden,
• die Anzahl der zulässigen Anmeldeversuche begrenzen, z. B. auf drei.

Verwenden Sie das Salzen von Passwörtern.

Um Passwörter nicht im Klartext in Anwendungen zu speichern, werden sie oft in gehashter Form gespeichert.

Das Problem ist, dass Hacker über Wörterbücher, sogenannte Rainbow Tables, verfügen, die dieses System umgehen können.

Hier kommt das Salzen von Passwörtern ins Spiel: Dabei wird dem verwendeten Passwort eine zufällige Bitfolge hinzugefügt, was die Verwendung der Rainbow-Tabellen komplexer macht.

Einen Passwortmanager verwenden

Wir wollen uns nichts vormachen: Es erweist sich oft als schwierig, einprägsame Passwörter zu generieren, die sowohl komplex als auch einzigartig sind.

Aus diesem Grund empfehlen wir Ihnen, einen Passwortmanager zu verwenden. Mit einem solchen Programm können Sie sich einfach ein Masterpasswort merken und sich sicher in Ihre verschiedenen Konten einloggen.

Sie kennen nun den Nutzen von Passwortwörterbüchern. Nun liegt es an Ihnen, sie sinnvoll zu nutzen und alle grundlegenden Regeln der Computersicherheit zu beachten, um Ihr Unternehmen bestmöglich vor Cyberangriffen zu schützen.