Du bist nicht mit dem Internet verbunden.
Wissen

Nach dem Hacker-Angriff: Wie du dich vor Brute Force Attacks schützen kannst

Die Schweiz ist von einem Brute-Force-Angriff heimgesucht worden. Der Bund hat reagiert und ein Tool online gestellt, mit dem du herausfinden kannst, ob dein Account betroffen ist. Da der Angriff es auf Passwörter abgesehen hat, schauen wir uns mal Passwörter und Strategien an.

Die Melde- und Analysestelle Informationssicherung Melani warnt: Ein gross angelegter Angriff ist in der Schweiz registriert worden. Die Angreifer haben eine Brute-Force-Attacke auf einen Server in der Schweiz losgelassen und 21 000 Usernamen und Passwörter kompromittiert.

Ich nehme das gerne zum Anlass, dir das Konzept des Brute-Force-Angriffs zu erklären und am Ende Ratschläge zu geben, wie du mithelfen kannst, dass solche Attacken weitestgehend wirkungslos bleiben.

Was ist eine Brute Force Attack?

Brute Force Attacks sind Angriffe, die im wesentlichen – und etwas vereinfacht ausgedrückt – folgendes tun:

  1. Ruft das Login-Formular der Site auf
  2. Gibt eine Mailadresse als Login ein
  3. Probiert Passwort um Passwort aus, folgend einem Wörterbuch
  4. Der Server antwortet entweder mit «Passwort falsch» oder mit «Login erfolgreich»
  5. Wenn «Passwort falsch» als Antwort geschickt wird, probiert der Angreifer das nächste Wort im Wörterbuch aus

Das Wörterbuch, das in so einem Angriff verwendet wird, muss nicht zwingend einem Duden gleichen, denn Hacker wissen um Passwörter wie «eCSD,827c» und versuchen natürlich, auch Accounts mit solchen Ungetümen zu brechen. Daher beginnt der Angriff bei «a», arbeitet sich weiter über «aa» bis hin zu «99999999» durch. Achtung, wir sind hier immer noch vereinfachend unterwegs. In Regular Expression – einer unheimlich praktischen, maschinenlesbaren Abstraktion von Zeichenfolgen – kann ein Wörterbuch in etwa so aussehen:

Update: User YouShook hat rausgefunden, was mich gestört hat. Ich habe den RegEx angepasst. Danke, YouShook.

[a-zA-Z0-9\w]{6,8}

Müsste passen. Wenn nicht: Hinterlasse mir doch bitte einen Kommentar mit dem korrekten RegEx. Je länger ich das Teil anstarre, desto weniger scheint [\w] korrekt zu sein.

Übersetzt heisst der RegEx Folgendes:

  • [a-zA-Z]: Das gesamte Alphabet, sowohl Gross- wie auch Kleinschreibung
  • [0-9]: Alle Ziffern
  • [\w]: Alle Satzzeichen
  • {6,8}: Zwischen sechs und acht Zeichen lang, da es keinen Sinn ergibt, kürzere Passwörter zu testen

Der RegEx testet nicht nur Ketten von Sonderzeichen, sondern auch Wörter. Also wenn dein Passwort «digitec1» ist, dann ist das im RegEx inbegriffen, denn der RegEx unterscheidet nicht nach menschlichen Wörtern und zufälligen Zeichenfolgen.

Meist geht ein Brute-Force-Bot nach einer Liste von online gekauften E-Mail-Adressen oder anderen Login-Namen vor und probiert sein Wörterbuch pro Account durch.

  • hans.muster@example.org/aaaaaa
  • hans.muster@example.org/aaaaaaa
  • hans.muster@example.org/aaaaaaaa

Je nach Rechenleistung des Bots und Latenz im Ziel kann ein solcher Angriff in Minuten vorbei sein, oder aber mehrere Stunden andauern.

Es gibt aber Varianten eines Brute-Force-Angriffs. Die oben beschriebene ist die simpelste, aber auch die aufwändigste. Hacker aber sind faul und machen sich oft die Statistik zu Nutze. Wikipedia führt eine Liste der meistgenutzten Passwörter, die nach der Analyse von Hacks mit signifikaten Datenlecks zusammengestellt worden ist.

Eine dritte Variante ist die, dass die Hacker eine Liste von Benutzernamen und Passwörtern aus einem anderen Hack kaufen und dann diese Usernamen/Passwort-Kombinationen, also die Credentials, auf eine Site anwenden. Dieser Angriff kann sehr effektiv sein, da viele Nutzer die unangenehme Angewohnheit haben, das selbe Passwort und den selben Login für mehrere Sites und auch als Zugang zu ihrer Kreditkarte zu nutzen. Es ist also möglich, dass die Credentials von Site A auch auf Site B funktionieren.

Nach der Lektüre des Berichts des Melani vermute ich, dass beim Angriff die dritte Variante zum Zuge gekommen ist. Es steht zwar nicht explizit da, aber zwischen den Zeilen lesend fühlt es sich stark so an. Vor allem weist auch ihr Checktool darauf hin, dass das Melani in Besitz der Liste ist, die von den Angreifern verwendet worden ist.

Was kann ich tun?

Melani hat prompt reagiert und ein Checktool online geschaltet, in dem Mailadressen und Login-Namen von betroffenen Accounts überprüft werden können. Da das Checktool sich aktuell aber grosser Beliebtheit bei Nutzern erfreut, kann es sein, dass der Server in die Knie geht. Die wohl umfangreichste Alternative zum Checktool des Bundes ist HaveIBeenPwned des Security Researchers Troy Hunt.

Ja, aber mein Passwort ist schon «eCSD,827c» und das ist nicht sicher?!

Passwörter sind ein leidiges Thema, das wohl so schnell nicht zu Ende diskutiert sein wird. Du und ich kennen Passwortrichtlinien wie die folgenden.

  • Mindestens acht Zeichen lang
  • Mindestens eine Zahl, wobei von der 1 abgeraten wird
  • Mindestens ein Sonderzeichen

In RegEx sieht das übrigens so aus.

[a-zA-Z0-9\w]{8,}

Am Ende hast du irgendwas wie eCSD,827c als sicheres Passwort. Oder sowas wie «d!gItec1». Funktionieren beide, sind aber mehr für Maschinen praktisch und weniger für Menschen. Denn sich so etwas zu merken ist schwierig. Der Gedanke «Es ist digitec1, aber das erste i ist ein ! und das zweite gross» ist wenig intuitiv. Daher möchte ich dir eine Alternativlösung vorschlagen, die an sich ganz gut funktioniert.

Es handelt sich um das sogenannte xkcd-Passwort, benannt nach einer Ausgabe des Webcomics xkcd.

Der Comic, der eine neue Ära des Passworts eingeläutet hat

Die Theorie hinter dem Passwort ist einfach:

  • Nimm drei oder vier menschlich lesbare Wörter und kette sie zusammen
  • Nimm eine Zahl als Trennzeichen oder ein Sonderzeichen
  • Füg was ans Ende an, entweder Trennzeichen oder eine Zahl

Am Ende dann hast du ein Passwort wie «Katze_verwirrt_London5». Lang genug, du hast es dir bereits gemerkt und das einzige Abstrakte daran ist die Zahl am Ende. Und eine 5 merkst du dir easy. Das Passwort ist 23 Zeichen lang und so wird ein Angriff, der mit acht Zeichen beginnt, zwar früher oder später an der verwirrenden Katze vorbeikommen, aber das geht sehr, sehr lange.

Das löst aber immer noch nicht das Problem mit «Mehrere Sites, ein Passwort».

«Ich will mir aber nicht hundert Passwörter merken müssen!»

Es ist verständlich, dass es mühsam ist, sich mehrere Passwörter merken zu müssen. Dazu gibt es Passwort-Manager wie KeePass – Security Researcher Veit Hailperin hat sich dem Programm detailliert angenommen – oder, wer es lieber als Browser-Plugin mag, LastPass.

Lastpass hat vor ein paar Monaten vor einem Sicherheitsleck, entdeckt von Google Researcher Tavis Ormandy, scheint das Problem jetzt aber im Griff zu haben. Kostenpunkt für die Premiumversion von LastPass ist 22.75 Franken pro Jahr. Der Preis ist auch kontrovers, da LastPass bis vor kurzem 11.37 Franken betragen hat.

Bei beiden Managern ist es möglich, Passwörter zu vergeben und zu speichern, ohne, dass du das Passwort jemals siehst. Ich finde das irgendwie unheimlich, funktioniert aber gut.

Wenn du aber trotzdem das selbe Passwort überall verwenden möchtest, dann empfiehlt das Melani folgende Massnahmen:

  • Ändern Sie das Passwort sämtlicher Online-Konten, die mit der betroffenen E-Mail-Adresse verknüpft sind (Email-Konto, Online-Shops, E-Banking, soziale Medien etc.). Verwenden Sie bei jedem Internet-Dienst/Online-Portal ein separates Passwort.
  • Aktivieren Sie wo immer möglich die 2-Faktor Authentisierung.
  • Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank resp. dem entsprechenden Unternehmen in Verbindung.
  • Alle in den E-Mail-Kontakten aufgeführten Personen dahingehend informieren, dass sie beim Empfang von E-Mails mit Ihrem Absender vorsichtig sein und im Zweifelsfall bei Ihnen rückfragen sollen.

So. Fertig. Jetzt bist du dran. Ich habe dir hier viel über einen Brute-Force-Angriff und die Verteidigung dagegen erzählt. Es liegt nun an dir, mitzuhelfen, dass du nicht getroffen wirst.

User

Dominik Bärlocher

Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

42 Kommentare

User salvatorefagone

Hi erstmals
So wie du es Beschrieben hast definierst du Regex als Wörter buch. Allerdings ist es nur ein Ausdruck um zu definieren wie ein String (zeichenkette) aussehen sollte, was für Zeichen drin sein müssen, und welche länge und reihenfolge es haben muss.

29.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User salvatorefagone

Bei einer Brutforce Attacke mittels Regex wird nun im hintergrund ein "Wörterbuch" generiert. Weil die wörter per zufall generiertt wird wird über den Regex ausdruck sichergestellt, dass das generierte Wort auch der mindest Richtlinie entspricht

29.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Ich versteh jetzt nicht ganz, was du meinst. Wenn ich die ganze Wörterbuch-RegEx-Sache aber nicht genügend gut erklärt habe, dann muss ich das noch fixen. Kannst du mir deine Bedenken ausführlicher (per Mail, vielleicht?) erklären?

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User loicschneider

@dominik was salvatore meint is das deine erkläung ein mischmasch aus bruteforce und dictionary attack beschreibt. diese "hybride" attacken gibt es in der tat natürlich auch aber eine reine bruteforce attacke arbeitet ohne wörterbuch. es wird nur ein alphabet und eine min max länge gewählt und es werden ALLE kombinationen durchprobiert. d.h wenn das alphabet richtig gewählt wird besteht eine 100% chance das passwort zu knacken. jedoch sind solche attacken langsahm und aufwändig.

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User loicschneider

bei einem Dictionary attack stellt der cracker eine list aus beliebten passwörtern oder zufälig gewählte passwörter zusammen und probiert anschliessen "nur" diese liste durch. der erfolg ist nicht gewährleistet dafür sind die listen deutlich kürzer und effizienter als bei einem brute force attack.

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Also meine Passwörter sehen etwa so aus: 8FWj7gN/3EFDcb}dY?QLb4BN*/7zZu
- 30 Zeichen
- 7 Zahlen
- 7 Sonderzeichen

Das ganze wird im Passwortmanager gespeicher.

PS: Digitec, könnt ihr das Captcha wider entfernen?

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Mannedavid

So zur Info: das bringt nichts... Passwörter werden meisten so geknackt in dem man einen bereich festlegt und danach wird jede Kombination ausprobiert. Nicht das komplizierte aussehen für den Menschen macht die Sicherheit aus, sondern einfach die länge...

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User loicschneider

stimmt auch nur halb... den "bereich" wird durch die kombination von gross klein zahl und sonderzeichen maximiert so das pro zeichen mehr combinationen bestehen. der inhalt/aussehen ist bei einer brute force attacke tatsächlich egal...

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Ja, weg mit dem Capcha. Hatte Login Ärger da ich nur Cookies vom Originalserver akzeptiere und der Capchamist von Google kommt.
Ich verstehe ja euer Problem. Wenn es nicht anders geht, dann nehmt die Capcha Überprüfung auf den euren Server.

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User D0doooh

Oder einfach eine zwei Schritte Autifizierung hinzufügen fände ich toller und sicherer, am liebsten über SMS oder eigener Digitec App :)

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Ah das Captcha ist wegen den "Hacker"-Angriffen auf Digitec zu erklären. Wieso gibt es kein 2FA?

01.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Mr.Shin-Chan

Ist nicht oft nach "zu viel falsche Passwörter" schluss?

29.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User 0siris

Nur bei Online-Angriffen (z.B. Digitec-Login) und wenn es die Webseite implementiert hat. Wenn man jedoch offline einen Hash (z.B. von einem kompromitierten Server die Passwoertder aus der Datenbank) oder eine verschluesselte Datei (z.B. Passwortmanager-DBs, verschluesselte ZIP-Files) angreift, kann man von Sowas nicht gebremst werden, da es keinen Server gibt, der einen davon anhalten koennte.

29.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Der "Zu viele falsche Passwörter"-Mechanismus ist kein Standard. Ein Server- oder Webseitenbetreiber muss den manuell einfügen. Ein Grossteil der Sites hat das zwar getan, aber es ist nach wie vor optional. Wie 0siris unten sagt, gibt es Möglichkeiten, die ganze Sache zu umgehen.

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Mr.Shin-Chan

Interessant.. In diesemfalle Passwörter am besten nicht speichern? Denn so wie ich das sehe wäre ja auch ein langespasswort irgendwann geknackt, auch wenn es länger geht, sobald es geknackt ist, bekommt der Amgreiffer ja die Infos trotzdem. Und wenn der "Trojaner" auch erst im Idle arbeitet merkt der Normalnutzer die Auslastung des Systemes im idealfall nicht.. Hmmm, bei einem Manager holt ehr sich in diesemfall einfach nur die richtigen Container..

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User 0siris

Das stimmt in der Theorie zwar, aber in echt geht es so extrem lange, wenn das Passwort nur schon 12 oder mehr zeichen hat. Da sprechen wir bei einem Modernen algorithmus teilweise schon von Jahrzehnten bis Jahrhunderten. Das Problem ist, wenn du dich auf example.org anmeldest, die jetzt angenommen das Passwort nicht gehasht auf dem Server speichern und du das gleiche Passwort z.B. digitec benutzt. Das groesste Risiko ist Password Reuse. Drum lieber einen guten Passwort-Manager anstatt...

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User 0siris

die gleichen drei Passwoerter fuer alle deine Webseiten verwenden. Was du gemeint hast, wegen der Manager-Container stimmt in der Theorie auch, aber dafuer muesste der Angreiffer an den Container kommen und dann noch das Passwort erraten, drum bei Passwort managern ein gutes Passwort waehlen.

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User YouShook

Hey
Die Korrekte Regex wäre "[a-zA-Z0-9\w]{6,8}". Wir möchten ja, dass in einem Block alle gewünschten Zeichen möglich sind und diese eine Länge von sechs bis acht Zeichen haben.

Wer es ausprobieren möchte...: regexr.com

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User YouShook

"[a-zA-Z][0-9][\w]{6,8}" definiert:

Dass ein Buchstabe (a-z), gross oder klein egal, am Anfang steht
Nach diesem Buchstaben eine Zahl von 0 - 9 kommt
und zuletzt sechs bis acht mal ein Satzzeichen kommen muss

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Jetzt komm ich mir übel blöd vor... Ich studier ewig am \w rum, aber auf sowas Offensichtliches komme ich nicht. Danke!

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User salvatorefagone

"[a-zA-Z0-9\w]{6,8} ist auch nicht ganz korrekt. Das in den brackets [] ist als character class definiert und wird durch ein OR unterschieden. Das heisst wenn jetzt das Pattern auf den String "XYZ" angewendet wird, wird geprüft, ob XYZ ein Kleinbuchstabe beinhaltet (a-z) ODER ein Grossbuchstabe (A-Z) ODER eine zahl (0-9) usw. Das heisst nur eine Bedingung muss in Erfüllung gehen. Sprich XYZ würde ein Match geben (Sollte in diesem Fall ja aber kein Match geben.

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User salvatorefagone

Ein korrekter Regex würde in etwa so aussehen:
^(?:(?=.*[a-z])(?:(?=.*[A-Z])(?=.*[\d\W])|(?=.*\W)(?=.*\d))|(?=.*\W)(?=.*[A-Z])(?=.*\d)).{6,8}$
Was aber nich effizient sein würde.
Performanter hingegen wäre es den String mit jedem den verschiedenen Pattern nacheinander zu prüfen

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User salvatorefagone

Also zum Beispiel (Pseudocode)
String value = "XYZ"

Value auf Pattern [a-z] prüfen
Value auf Pattern [A-Z] prüfen
Value auf Pattern [0-9] prüfen
usw...
+ länge des strings grösser als 6

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User reecube

Ich finde es sehr schön, dass du den zxcvbn-Algorithmus ansprichst. Leider gibt es noch zu viele Anbieter, welche diesen scheinbar noch nicht "kennen" und immer noch auf die Sonderzeichen und Gross-/Kleinschreibung setzen und diese auch verlangen. Finde ich persönlich echt nervig!

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User reecube

Mehr Informationen zum zxcvbn-Algorithmus findet ihr hier: blogs.dropbox.com/tech/2012...

Hättest du im Artikel auch erwähnen dürfen ;) Dennoch finde ich diesen Artikel sehr gut, weiter so! :)

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User ChriZ86

Ich hab mein Passwort (natürlich nicht exakt meinst, aber gleich aufgebaut) von einer Security Seite checken lassen. Mit einem Bot Netzwerk von 1000 Computer würde es 2 Jahre es zu knacken. Es sind 13 Zeichen mit 2 kleinen Buchstaben 2 Grossbuchstaben 8 Zahlen und ein Sonderzeichen ;-) Peace Out

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Flavio Piagno

Und mit genügend Glück in 2 Minuten :)

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User ChriZ86

Benutzte mein PW seit 10 Jahren. Noch nie gewechselt und noch nie geknackt. Na was sagst du jetzt ?

03.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Flavio Piagno

Ich sage jetzt: Meins wurde auch noch nicht geknackt :D

04.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User ChriZ86

und meins wird nicht in 2 Minuten geknackt ;-) sonst wäre es schon seit 10 Jahren schon gewesen *gg*

04.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User D0doooh

Der iCloud Schlüsselbund wäre unter iPhone und Mac Benutzer sicher nicht zu vergessen als Passwortmanager.

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Krono

Als ich begann zu lesen kam mir gleich der correcthorsebatterystaple in den Sinn. Meine Passwörter sind auch überall unterschiedlichen und alle ab 15 Zeichen. (für die ganz sicheren auch gerne mal 80) Lustig finde ich es ja, dass bei einigen Seiten die Maximallänge vom Passwort bei 15 Zeichen liegt

31.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Schaut euch mal den Passwort Manager an: safe-in-cloud.com/en/.
Und @Digitec: bitte implementiert endlich 2FA.

04.09.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User SinaVPS.ch

Ich benutze Enpass.io als Passwortmanager. Ist super und es werden ständig neue Funktionen entwickelt. Die Desktopversionen sind kostenlos, nur die mobilen Apps kosten etwas.

30.08.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo