Diese Frage ist gespeichert in:

Anzeige

Neueste Antworten

1072063
KleinerDrache
KleinerDrache (Rang: Albert Einstein)

Tag der Passwortsicherheit: Wie ist es Hackern überhaupt möglich Passworte von Usern der Online Dienste rauszufinden ?

Also die Seiten werden ja nach 3 Fehlversuchen bereits keine weiteren mehr annehmen, wie kommen die Hacker also rein? Und dass sie es können erfährt man immer wieder, wenn dann sogar 1000te Accounts auf einmal gehackt wurden. Liegt dann der Fehler bei den einzelnen Usern, oder hat der Hacker da nicht statt dessen den Onlinedienst selbst gehackt und kommt so an jegliche Userdaten mit Passworten ? Im 2ten Fall würde ja eigentlich nichts helfen, was der User machen kann --- oder irre ich mich ?

Anzeige

3 Antworten

930
Sique

Sique

Rang: Albert Einstein22 (287.033) | Sicherheit (170), Passwort (33)

5 Minuten nachdem die Frage gestellt worden ist (11.01.2017 16:11)

1

Es gibt sehr unterschiedliche Ansätze.

1. Man probiert die häufigsten Passwörter einfach durch. Es ist erstaunlich, wie oft das funktioniert!
2. Man schaut, ob die Website an irgendeiner Stelle das Passwort im Klartext überträgt und schneidet dann mit, wenn der richtige Benutzer sind anmeldet.
3. Man schaut, ob sich die URLs für eine gültige Anmeldung so manipulieren lassen, dass man plötzlich im Account eines anderen ist.
4. Man schafft es, den Server selbst unter seine Kontrolle zu bekommen und die Passwort-Datei zu stehlen.
5. Man kennt bereits ein Passwort des Benutzers aus einem anderen Zusammenhang und versucht dieses Passwort auch bei anderen Sites und Accounts.
6. ... und viele weitere Ansätze mehr.

4 Kommentare

1072063
KleinerDrache
KleinerDrache

1. geht ja nur 3 mal ... wäre schon mehr als zufall. Und bei einer seite mit gross-klein-sonderz pflicht -- was sind das die 3 häufigsten ? auf die weise wird er kaum 1000 accounts pro tag knacken.

2-4 kann nur der Webseitebetreiber bzw. server-provider was dazu

5. das wäre der grund ... aber woher soll er dann die anderne passwörter kennen, wenn für diese seite das gleiche gilt ... im endeffekt also wieder muss am anfang ein grund 2-4 vorgelegen haben.

930
Sique
Sique

Mit 1. kriegst du ungefähr 10% der Accounts gehackt - zumindest ergeben das Analysen von realen Passwort-Dateien. Hier sind die Tophits der deutschen Passwörter:
https://hpi.de/news/jahrgaenge/2016/hpi-w issenschaftler-ermitteln-die-zehn-meist.. . kopieren

Ja, für 2-4. ist meist der Site-Betreiber der Verantwortliche, aber mit 2-4. wird Lücke 5 plötzlich sehr attraktiv: Ich schaue erst mal, ob ich über 2-4. an ein Passwort herankomme, und mit dem kann ich dann 5. probieren.

Viele Lücken entstehen nämlich durch die Verkettung mehrerer Fehler, die für sich genommen nicht so problematisch wären, aber zusammengenommen sehr große Löcher reißen. Wenn jemand immer das gleiche Passwort verwendet, reicht es, dass unter den von ihm benutzten Sites eine mit schlechter Passwortsicherheit ist.

Komme ich durch eine Phishing-Attacke an seine Browser-Historie ran, kann ich schauen, für welche Sites er sein Passwort im Browser gespeichert hat.

1072063
KleinerDrache
KleinerDrache

diese liste aus deinem link funktioniert nicht wenn wie oft üblich das passwort sonderzeichen und groß-kleinbuchstaben sowie zahlen enthalten muss. Ist nun: Hallo!123 das häufigste ... aber so in der Art müssten die aussehen. Ich bezweifle dass du da auch nur an die 0,1% ran kämst. --- und wie gesagt --- nur die 3 häufigsten würden gehen, wegen 3 verscuhen max.

930
Sique
Sique

Dass es Maßnahmen gibt, die die Passwortsicherheit erhöhen, ist unbestritten. Und trotzdem sind diese 10 die häufigsten!

Und wenn ich gegen 1000 User diese Passwortliste loslasse, reicht es oft, wenn ich einen einzigen Account übernehme. Dann bin ich zumindest so weit, dass ich mit diesem Account weitermachen kann. Wie gesagt: Es ist nie die eine Lücke, die einem den Zugang verschafft, es sind viele Lücken, die ich hintereinander ausnutze.

Dein Kommentar zu dieser Antwort

Noch nicht registriert bei COSMiQ?
Melde dich hier an!

Bewertung des Fragestellers:

nicht bewertet

Gute Antwort meinen:

letzte 10 Meinungen:

[Fenster schließen]
5

Als gute Antwort bewerten

Kommentare zur Antwort:

4

4 Kommentare

Anzeige
830
heirote

heirote

Rang: Albert Einstein10 (128.938) | Sicherheit (89), Passwort (9)

28 Minuten nachdem die Frage gestellt worden ist (11.01.2017 16:34)

2

2 Kommentare

1072063
KleinerDrache
KleinerDrache

du bruachst 3 passworte die die häufigtsten sind aber sowohl gross-klein-buchstaben, sonderzeichen und auch zahlen beinhalten. ein einfaches wäre Hallo!123 ---- aber ob das wirklich so häufig ist --- und wie die anderen zwei häufigen sind ... ich denk das funktioniert so nicht. Warum nur 3 häufige -- siehe kommentar oben bei Sique.

1072063
KleinerDrache
KleinerDrache

Rechenleistung, wie diese Seiten zur Passwortsicherheit suggerieren, nutzt bei Onlineseiten gar nichts. Es kommt da auf die Antwortzeit des Servers an -- und die dürfte bei einem 200 Euro PC genauso schnell sein wie wenn du eine 20000 Euro Anlage benutzt (auch deine Internet-Bandbreite spielt da kaum eine Rolle .. die Antwortzeit ist meist so lahm, dass du egal ob 1Kbit oder 100kbit das selbe rauskommt). Allenfalls durch verteilte Angriffe: also mehrere vernetzte Computer, die die Daten zusammentragen, kann man etwas speed gewinnen. Das wäre dann ein Bot-Netz.

Dein Kommentar zu dieser Antwort

Noch nicht registriert bei COSMiQ?
Melde dich hier an!

Bewertung des Fragestellers:

nicht bewertet

Gute Antwort meinen:

letzte 10 Meinungen:

[Fenster schließen]
1

Als gute Antwort bewerten

Kommentare zur Antwort:

2

2 Kommentare

1075171
Donnerheil

Donnerheil

Rang: Doktor (2.848)

42 Minuten nachdem die Frage gestellt worden ist (11.01.2017 16:48)

3

Macht euch nichts vor, der Normalfall ist der, die Server werden kompromitiert und dann ausgelesen. Auch das dauert Monate bis es klappt.

3 Kommentare

1072063
KleinerDrache
KleinerDrache

und was kann der user dagegen machen? gibts da einen alarm, bei dem man merkt wenn einer in den account rein will und kann dann schneller als der hacker selbst rein und das passwort umstellen ---- so ginge es vielleich.

1072063
KleinerDrache
KleinerDrache

also hacker hat server gehackt mit 1000ten passworten -- auch deins. diese infodatei ist aber 1 tag alt. jetzt geht er mit dem gehackten passwort bei dir (und bei dutzenden anderen rein). du merkst das, gehst auch rein stellst dein passwort um. nun kommt er mit seinem veralteten hackdaten nicht mehr rein. zwischenzeitlich ist der serverbetreiber aktiv geworden, so dass er auch nicht erneut die passwortliste auslesen kann. so wärst du also außer 1 einziges mal nicht betroffen .... nur dieses eine mal kann der hacker natürlich alles mögliche an "automatischen" schaden anstellen. also irgendwie hab ich da immer noch keinen plan, was man dagegen machen soll ?

1075171
Donnerheil
Donnerheil

Häufig das Passwort konsequent ändern. Mehr geht nicht. mfg Don

Dein Kommentar zu dieser Antwort

Noch nicht registriert bei COSMiQ?
Melde dich hier an!

Bewertung des Fragestellers:

nicht bewertet

Gute Antwort meinen:

letzte 10 Meinungen:

[Fenster schließen]
1

Als gute Antwort bewerten

Kommentare zur Antwort:

3

3 Kommentare

Anzeige

Antwort schreiben

4096
Achtung, dieses Formular wurde vermutlich mehrfach abgesendet. Bitte überprüfe deine Inhalte, bevor du das Formular ein weiteres Mal absendest.
Diese Frage:

  • Kommentare

 

Das könnte Dich auch interessieren:

Nicht gefunden wonach Du suchst?

Dann stelle Deine Frage doch schnell und kostenlos!