How do hackers guess passwords

Wie deduzieren Hacker Passwörter ohne Hilfe von KI?

Reading Time: 3 minutes

In der Ära der Cybersicherheit legen die meisten Organisationen Wert auf Regeln zur Passwortkomplexität oder auf komplexe Lösungen wie künstliche Intelligenz zum Schutz von Konten. Dennoch benötigen Angreifer nicht unbedingt KI, um Passwörter zu erraten; klassische, gut verstandene und kontextangepasste Methoden bleiben äußerst effektiv.

Warum Angriffe, die auf Passworterraten basieren, ohne KI funktionieren

Entgegen der allgemeinen Wahrnehmung beinhalten die meisten Passworterrat-Angriffe keine Modelle der künstlichen Intelligenz oder fortschrittliche Techniken des maschinellen Lernens. Stattdessen verwenden Angreifer Passwortlisten, die auf der Sprache und den öffentlich verfügbaren Informationen über die angegriffene Organisation basieren.

Dieser Ansatz nutzt eine einfache Tatsache aus: Benutzer neigen dazu, Passwörter zu erstellen, die leicht zu merken sind. Anstatt völlig zufällige Zeichenkombinationen zu verwenden, fügen sie in Passwörter vertraute Begriffe ein. Zum Beispiel den Namen des Unternehmens, Produkte, Standorte oder andere mit der Organisation verbundene Details.

Was sind kontextualisierte Passwortlisten (targeted wordlists)

Kontextangepasste Passwortlisten werden durch das Sammeln von Wörtern und Ausdrücken aus öffentlichen Quellen der angegriffenen Organisation erstellt. Dazu gehören Websites, Blogs, Dienstleistungsbeschreibungen usw. Die gesammelten Informationen werden dann in mögliche Passwortkombinationen umgewandelt.

Ein sehr beliebtes Werkzeug für diese Aufgabe ist CeWL (Custom Word List Generator), ein Open-Source-Crawler, der sowohl von Pentestern als auch von Angreifern weit verbreitet genutzt wird. CeWL extrahiert Begriffe von Webseiten und erstellt dann eine Liste von Wörtern, die die spezifische Sprache der Organisation widerspiegeln.

Diese „kontextuellen“ Begriffe umfassen in der Regel:

  • Name des Unternehmens oder der Organisation
  • Dienstleistungen, Produkte oder interne Akronyme
  • Namen von Standorten oder Projekten
  • Branchenrelevante Begriffe.

Die resultierende Liste mag für einen „generischen“ Cyberangriff ungewöhnlich erscheinen, ist aber für einen gezielten Angriff besonders effektiv, da sie genau die in der Organisation verwendete Sprache widerspiegelt.

Wie Passwörter praktisch deduziert werden

Eine einfache Liste von Wörtern, die von der Website extrahiert wurden, reicht nicht für einen effektiven Angriff. Diese „Datenbank“ wird dann einer „Behandlung“ mit Permutationen und Kombinationen unterzogen, um Passwörter zu generieren. Beispiele für Transformationen sind:

  • Hinzufügen von Zahlen am Ende der Wörter (z.B. Unternehmen123)
  • Änderungen der Großschreibung (unternehmenUnternehmenUNTERNEHMEN)
  • Hinzufügen von Symbolen wie !, @, #
  • Kombinieren mehrerer Begriffe in einem einzigen String.

Werkzeuge wie Hashcat ermöglichen dann die Verwendung dieser Mutationsregeln im großen Maßstab, wodurch eine effektive Prüfung von Millionen von Kombinationen auf der Grundlage derselben thematischen Liste möglich wird.

Warum klassische Komplexitätsregeln nicht ausreichen

Die meisten Passwortgenehmigungsrichtlinien verlangen immer noch:

  • Mindestens ein Großbuchstabe
  • Mindestens eine Zahl
  • Mindestens ein Sonderzeichen.

Das Problem ist, dass diese Regeln leicht zu erfüllen sind und sogar Passwörter, die aus sensiblen Begriffen bestehen, aber oberflächlich verändert wurden, können die Anforderungen an die Komplexität erfüllen. Zum Beispiel das Passwort

NumeCompanie123! ist lang und erfüllt alle technischen Kriterien, bleibt jedoch äußerst vorhersehbar, wenn der Angreifer über eine Informationsbasis zur betreffenden Organisation verfügt.

Analysen von Milliarden von kompromittierten Passwörtern zeigen, dass solche Entscheidungen häufig und leicht ausnutzbar sind.

Wie man sich effektiv verteidigen kann

1. Vermeide kontextbasierte Passwörter

Richtlinien sollten über die grundlegenden Komplexitätsanforderungen hinausgehen und die Verwendung von:

  • Name des Unternehmens oder Systems
  • Namen interner Projekte
  • Branchenbegriffe
  • Klare Variablen oder leicht mit der Organisation assoziierbare Begriffe.

2. Blockiere bereits kompromittierte Passwörter

Eine moderne Praxis ist das Blockieren von Passwörtern, die bereits in bekannten Datenlecks gefunden wurden. Dies verhindert die Wiederverwendung derselben kompromittierten Passwörter, selbst wenn sie die Anforderungen an die Komplexität erfüllen.

3. Erstelle lange und echte Passwörter (Passphrase)

Passwörter in Form einer langen Phrase (15+ Zeichen), die aus nicht verwandten Wörtern bestehen, sind erheblich schwerer zu erraten, selbst bei gezielten Angriffen.

4. Aktiviere die Multi-Faktor-Authentifizierung (MFA)

MFA verhindert nicht die Kompromittierung eines Passworts, reduziert jedoch erheblich das Risiko, dass ein Angreifer das kompromittierte Passwort verwendet, um Zugang zu erhalten.

Fazit

Angriffe, die auf der Deduktion von Passwörtern basieren, beruhen nicht immer auf fortschrittlichen KI-Algorithmen; manchmal sind die effektivsten Methoden die einfachen, aber gut kontextangepassten. Durch die Generierung von Wortlisten, die spezifisch für die Sprache und Terminologie einer Organisation sind, können Angreifer Passwörter mit einer viel höheren Erfolgsquote erraten, als wenn sie nur generische Passwortlisten verwenden.

Um sich korrekt zu schützen, ist es entscheidend, dass du Sicherheitsrichtlinien implementierst, die darauf abzielen, die Verwendung vorhersehbarer Passwörter zu verhindern, kompromittierte Passwörter zu blockieren und wo immer möglich Multi-Faktor-Authentifizierung anzuwenden.

Quelle: bleepingcomputer.com

Dell Latitude 5520, Intel Core i5-1135G7
Post Views: 42
Tutorials
Von Alex
, , , , , , , , , ,

Related Posts

Was ist ein VPN und wie funktioniert es?

Reading Time: 3 minutesIn einer digitalen Welt, in der immer mehr Aktivitäten online stattfinden, sind Datensicherheit und der Schutz der Privatsphäre zu wesentlichen Prioritäten geworden. Egal, ob du von zu Hause aus arbeitest, auf Cloud-Anwendungen zugreifst oder ein öffentliches WLAN-Netzwerk nutzt, deine Informationen … Weiterlesen

Wie viele Ressourcen verbraucht KI in Windows 11

Reading Time: 3 minutesKünstliche Intelligenz ist ein wichtiger Bestandteil der Erfahrung, die Windows bietet. Microsoft integriert ständig KI-Funktionen in Windows 11: im Betriebssystem selbst, im Edge-Browser und in verschiedenen zugehörigen Anwendungen. Viele dieser Funktionen sind nützlich und versprechen eine höhere Produktivität. Es gibt … Weiterlesen

Wie man einen bootfähigen USB-Stick erstellt Windows 11

Reading Time: 6 minutesDie Installation von Windows 11 von einem bootfähigen USB-Stick ist die schnellste und sicherste Methode im Jahr 2026. Egal, ob du das Betriebssystem neu installieren, auf einen neuen PC umsteigen oder einen Computer reparieren möchtest, der nicht mehr startet, ein … Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert