{"id":15107,"date":"2019-10-25T11:22:17","date_gmt":"2019-10-25T09:22:17","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15107"},"modified":"2019-10-07T11:08:07","modified_gmt":"2019-10-07T09:08:07","slug":"hacker-erraten-60-prozent-aller-passwoerter","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15107","title":{"rendered":"Hacker erraten 60 Prozent aller Passw\u00f6rter"},"content":{"rendered":"\n<p>Nach neun Monaten Penetrationstests verdeutlicht eine Studie von Rapid7 die effektivsten Methoden, mit denen Hacker Passw\u00f6rter knacken. 73 Prozent der Hackereinbr\u00fcche basieren auf gestohlenen Passw\u00f6rtern. Die H\u00e4lfte von ihnen k\u00f6nnen zu 60 Prozent ganz einfach von Hackern erraten werden. Das zeigt die <a href=\"https:\/\/www.rapid7.de\/research\/under-the-hoodie\/\">Studie \u201eUnder the Hoodie\u201c von Rapid7<\/a>, die auf den Ergebnissen von 180 in neun Monaten durchgef\u00fchrten Penetrationstests beruhen.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/09\/Rapid7.png\" alt=\"\" class=\"wp-image-15108\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/09\/Rapid7.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/09\/Rapid7-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Trotz vieler Userschulungen, die die Bedeutung\nsicherer Passw\u00f6rter zum Thema haben, konnten die Penetrationstester von Rapid7\n60 Prozent aller Passw\u00f6rter ganz einfach erraten, indem sie bekannte\nStandardwerte, Variationen des Wortes &#8222;Password&#8220;, die aktuelle Jahreszeit,\ndas aktuelle Jahr sowie leicht zu erratende, organisationsspezifische\nPassw\u00f6rter ausprobierten.<\/p>\n\n\n\n<p>Die beste Methode zur Erlangung von\nBenutzer-Anmeldeinformationen ist jedoch das Offline-Passwort-Hacking mit einer\nHash-Datei. Die h\u00e4ufigste Quelle f\u00fcr Passw\u00f6rter waren dieses Jahr erbeutete\nHash-Dateien. Auch spezifischere Urspr\u00fcnge f\u00fcr Hashes wie beispielsweise\nChallenge-Response-Traffic und \/etc\/shadow wurden gemeldet. Rapid7 stellte auch\nhier fest, dass viele der geknackten Passw\u00f6rter mit etwas mehr Zeit leicht\nh\u00e4tten erraten werden k\u00f6nnen. Besonders zu beachten sind die erbeuteten\nLM-Hashes. Diese sind extrem unsicher, laufen einigen grundlegenden empfohlenen\nMethoden der Kryptographie zuwider und wurden von Microsoft schon lange\nzugunsten st\u00e4rkerer Hashing-Mechanismen verworfen. Doch obwohl sie in\nMicrosoft-Umgebungen, die in den vergangenen zehn Jahren aktualisiert wurden,\nim Grunde keine Rolle mehr spielen, bestehen sie weiterhin hartn\u00e4ckig und\nwarten nur darauf, von Angreifern ausgenutzt zu werden. Domain-Administratoren\nwerden <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/security-policy-settings\/network-security-do-not-store-lan-manager-hash-value-on-next-password-change\">nachdr\u00fccklich aufgefordert<\/a>, diese\nLM-Hashes endg\u00fcltig auszurotten.<\/p>\n\n\n\n<p>Dies sind die Ergebnisse des j\u00e4hrlichen Rapid7 <a href=\"https:\/\/www.rapid7.com\/research\/under-the-hoodie\/\">Berichts<\/a> \u201eUnder the Hoodie\u201c, der jetzt im dritten Jahr erscheint und sich auf die Erkenntnisse aus 180 Penetrationstests \u00fcber einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 st\u00fctzt. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und pers\u00f6nlichen sowie elektronischen Social-Engineering-Angriffen werden in dem Bericht die Schwachstellen aufgedeckt, die in Unternehmen am h\u00e4ufigsten zu finden sind.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus beschreibt die Studie, warum die\nTransport-Schicht die h\u00e4ufigste Sicherheitsschwachstelle in Unternehmen ist\n(jedes f\u00fcnfte Unternehmen ist betroffen). Besonderer Fokus wird auf die Verwendung\nveralteter Verschl\u00fcsselungsstandards beziehungsweise unverschl\u00fcsselter\nKommunikation von Systemen gelegt, die von extern erreichbar sind.<\/p>\n\n\n\n<p>Tod Beardsley, Forschungsdirektor von Rapid7, sagte:\n&#8222;Es ist heute \u00fcblich, sicherzustellen, dass Passw\u00f6rter einen Gro\u00dfbuchstaben,\neinen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die\nBenutzer zu zwingen, ihr Passwort alle 90 Tage zu \u00e4ndern. Aber solche\nPasswortregularien f\u00fchren bei den Usern letztlich nur dazu, dass sie die\nKomplexit\u00e4t des Passworts reduzieren. Und so werden sie immer wieder von\nSchemata wie &#8222;Sommer2019!&#8220; oder &#8222;Herbst2019!&#8220;, einsetzen.\nUnternehmen sollten daher ernsthaft in Erw\u00e4gung ziehen, zuf\u00e4llige Passw\u00f6rter\n\u00fcber eine L\u00f6sung zur Passwortverwaltung zu vergeben, was deutlich besser w\u00e4re, als\nauf die Komplexit\u00e4t von Passw\u00f6rtern und Rotationsregeln zu bestehen.&#8220;<\/p>\n\n\n\n<p>Weitere Informationen: <a href=\"https:\/\/www.rapid7.com\/de\/research\/under-the-hoodie\">https:\/\/www.rapid7.com\/de\/research\/under-the-hoodie<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nach neun Monaten Penetrationstests verdeutlicht eine Studie von Rapid7 die effektivsten Methoden, mit denen Hacker Passw\u00f6rter knacken. 73 Prozent der Hackereinbr\u00fcche basieren auf gestohlenen Passw\u00f6rtern. Die H\u00e4lfte von ihnen k\u00f6nnen zu 60 Prozent ganz einfach von Hackern erraten werden. Das zeigt die Studie \u201eUnder the Hoodie\u201c von Rapid7, die auf den Ergebnissen von 180 in neun Monaten durchgef\u00fchrten Penetrationstests beruhen.<\/p>\n","protected":false},"author":1,"featured_media":15108,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[11580,3388,7560,12961,175,3753,7768,8215,12959,7382,12960,6267],"class_list":["post-15107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-challenge-response","tag-hacker","tag-hash","tag-lm-hash","tag-microsoft","tag-passwort","tag-penetrationstest","tag-rapid7","tag-sicheheit","tag-studie","tag-under-the-hoodie","tag-verschlusselung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15107"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15107\/revisions"}],"predecessor-version":[{"id":15109,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15107\/revisions\/15109"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15108"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}