Best Practices für den Schutz vor Angreifern, die Anmeldedaten über Brute-Force- und Wörterbuchangriffe stehlen
2023 Mid-Year Threat Report„Ein Angriff, bei dem Cyberkriminelle eine Ausprobiertaktik anwenden, um Passwörter, persönliche Identifikationsnummern (PINs) und andere Formen von Anmeldedaten zu entschlüsseln, indem sie automatisierte Software einsetzen, um große Mengen an möglichen Kombinationen zu testen.“
„Eine Art von Brute-Force-Angriff, bei dem ein Eindringling versucht, ein passwortgeschütztes Sicherheitssystem mit einer Wörterbuchliste aus gängigen Wörtern und Phrasen zu knacken, die von Unternehmen und Privatpersonen verwendet werden.“
Beides sind häufige Arten von Cybersicherheitsangriffen bei denen ein Angreifer versucht, sich in das Konto eines Benutzers einzuloggen, indem er systematisch alle möglichen Passwörter und Passphrasen prüft und ausprobiert, bis das richtige Passwort oder die richtige Passphrase gefunden wurde. Diese Brute-Force- und Wörterbuch-Angriffe sind weit verbreitet, da eine große Anzahl von Personen gängige Passwort-Variationen wiederverwendet.
Schließlich ist der einfachste Weg, ein System anzugreifen, durch die Vordertür, und es muss eine Möglichkeit geben, sich einzuloggen. Wenn Sie Anmeldedaten haben, können Sie sich wie ein normaler Benutzer anmelden, wahrscheinlich ohne verdächtige Protokolleinträge zu erzeugen, IDS-Signaturen auszulösen oder eine nicht behobene Sicherheitslücke zu benötigen. Wenn Sie die Anmeldeinformationen für den Systemadministrator haben, ist das Leben noch einfacher. Angreifer verfügen über keine dieser Möglichkeiten; hier finden Sie einen Überblick darüber, wie sie Brute-Force- und Wörterbuchangriffe einsetzen, um sich Zugang zu verschaffen.
Angreifern fehlen die notwendigen Anmeldedaten, um sich normal anzumelden. Daher beginnen sie ihren Angriff häufig mit der Suche nach der E-Mail-Adresse oder Domäne eines Ziels in Passwort-Dumps einer kompromittierten Website. Falls die Zielperson ihr Kennwort auf einer Website wiederverwendet hat, die später kompromittiert wurde, könnte dieses Kennwort immer noch gültig sein. Aber versierte Benutzer (und hoffentlich auch Systemadministratoren) werden überall eindeutige Kennwörter verwenden. Der Angreifer muss sich nun also einem von zwei direkteren Angriffen zuwenden: Wörterbuchangriffe und Brute-Force-Angriffe.
Bei einem Wörterbuchangriff verwendet der Angreifer eine Wortliste in der Hoffnung, dass das Kennwort des Benutzers ein häufig verwendetes Wort ist (oder ein Kennwort, das auf früheren Websites gesehen wurde). Wörterbuchangriffe sind optimal für Passwörter, die auf einem einfachen Wort basieren (z. B. „Cowboys“ oder „Longhorns“). Wortlisten sind nicht auf englische Wörter beschränkt; sie enthalten oft auch gebräuchliche Kennwörter (z. B. „password“, „letmein“ oder „iloveyou“ oder „123456“). Moderne Systeme schränken ihre Benutzer aber ein und verlangen von ihnen, dass sie sich starke Passwörter ausdenken, die hoffentlich nicht in einer Wortliste zu finden sind.
Um einen Brute-Force-Angriff durchzuführen, kann ein Angreifer ein Tool verwenden, das alle Kombinationen von Buchstaben und Zahlen ausprobiert, in der Erwartung, das Passwort schließlich zu erraten. Wenn der Angreifer weiß, dass eine Organisation Sonderzeichen in ihrem Kennwort verlangt, könnte das Tool angewiesen werden, Buchstaben, Zahlen und Symbole einzubeziehen. Jedes Passwort, egal wie stark es ist, ist für diesen Angriff anfällig. Allerdings wird diese Methode eine Weile dauern (Jahre, wenn das Passwort lang genug ist).
Die Zeit, die benötigt wird, um ein kurzes Passwort (z. B. eine vierstellige PIN) zu knacken, kann unter einer Minute liegen. Das Erweitern auf sechs Zeichen könnte eine Stunde dauern. Die Verlängerung auf acht Zeichen mit Buchstaben und Sonderzeichen könnte Tage dauern. Beachten Sie, dass jedes neue Zeichen die Zeit, die ein Brute-Force-Angriff benötigt, um das Passwort zu entdecken, exponentiell erhöht. Ein starkes, langes Passwort kann also Wochen oder Monate in Anspruch nehmen. Aber mit genügend Rechenleistung und einem besonders engagierten Angreifer würde das Passwort schließlich entdeckt werden.
Die Verwendung eines starken, ungewöhnlichen Passworts macht die Arbeit eines Angreifers schwieriger, aber nicht unmöglich. Glücklicherweise gibt es weitere vorbeugende Maßnahmen, die Endbenutzer und Systemadministratoren ergreifen können, um diese Angriffsversuche zu verhindern (oder zu erkennen):
Verlangsamung wiederholter Anmeldungen: Dies ist die einfachste verfügbare Gegenmaßnahme. Ein Endbenutzer wird eine Verzögerung von 0,1 Sekunden bei der Anmeldung wahrscheinlich nicht bemerken, aber für einen Angreifer würde sich diese Verzögerung schnell summieren, insbesondere wenn er seine Anmeldeversuche nicht parallelisieren kann.
Nach mehreren fehlgeschlagenen Anmeldungen Captchas einrichten: Auch wenn ein Benutzer einfach vergessen haben könnte, welches Passwort er für das Konto verwendet hat, kann dies einen Angreifer erheblich bremsen. Dies ist eine ausgezeichnete Form der Abschreckung, denn moderne Captchas sind mit Computern nur schwer zu überwinden. Viele Captchas benötigen manuelle Eingaben, um gelöst zu werden.
Konten sperren: Besser noch, ein System kann so konfiguriert werden, dass ein Konto nach einer bestimmten Anzahl von Anmeldeversuchen gesperrt wird. Viele Websites lösen zusätzliche Schutzmaßnahmen für Konten mit wiederholten falschen Passwortversuchen aus. Im Extremfall wird z. B. ein iPhone nach 10 Versuchen selbstzerstörend (alle Daten werden gelöscht).
Passwörter aktualisieren: Moderne Systeme erfordern in der Regel, dass Benutzer ihre Passwörter regelmäßig aktualisieren. In einigen Unternehmensumgebungen müssen Benutzer ihre Passwörter alle 90 Tage oder sogar alle 30 Tage ändern. Der Grund dafür ist, dass ein Angreifer, der einen Brute-Force-Angriff gegen ein komplexes Passwort versucht, Wochen für einen Erfolg benötigen würde. Wenn sich das Passwort in diesem Zeitraum ändert, muss der Angreifer von vorne beginnen. Wie viele Benutzer jedoch zugeben würden, können diese strengen Passwortanforderungen nach hinten losgehen, da die Benutzer schwächere, sequenzielle Passwörter wählen („longhorns2018“, „longhorns2019“ und so weiter). Ein Angreifer würde schnell versuchen, das Passwort zu inkrementieren.
Überwachung auf Unregelmäßigkeiten: Schließlich sollte ein sicherheitsbewusstes Unternehmen die Benutzerkonten auf Anomalien überwachen, wie z. B. Anmeldungen von nicht erkannten Standorten oder Geräten oder wiederholte Anmeldefehler. Ein besetztes Security Operations Center (SOC) kann diese Ereignisse in Echtzeit erkennen und schnell reagieren, indem es ein Konto sperrt, eine IP-Adresse blockiert, einen Benutzer kontaktiert und nach weiteren Aktivitäten dieses bestimmten Angreifers sucht.
Gegen einfache Systeme sind Wörterbuchangriffe und Brute-Force-Attacken ein einfacher, garantierter Weg durch die Vordertür. In komplexeren Umgebungen sind diese Angriffe nur dann sinnvoll, wenn sich die Versuche in normale Aktivitäten einfügen oder auf eine Offline-Kennwortdatenbank abzielen, um Kennwort-Hashes zu knacken. Dennoch sind diese Techniken ausgezeichnete Ergänzungen für den Tool-Satz eines jeden Sicherheitsexperten, und sie unterstreichen die Wichtigkeit der regelmäßigen Aktualisierung von starken Passwörtern für Endbenutzer.