60 Prozent aller Passwörter von Hackern zu erraten

Studie „Under the Hoodie“ für 2019 erschienen

[datensicherheit.de, 25.09.2019] Nach neun Monaten Penetrationstests verdeutlicht eine hauseigene Studie laut Rapid7 „die effektivsten Methoden, mit denen Hacker Passwörter knacken“. 73 Prozent der Hacker-Einbrüche basierten auf gestohlenen Passwörtern. Die Hälfte von ihnen könnten zu 60 Prozent ganz einfach von Hackern erraten werden – das zeige die eigene Studie „Under the Hoodie“, die auf den Ergebnissen von 180 in neun Monaten durchgeführten Penetrationstests beruhten. Trotz vieler User-Schulungen zur Bedeutung sicherer Passwörter hätten die Penetrationstester von Rapid7 60 Prozent aller Passwörter ganz einfach erraten können, „indem sie bekannte Standardwerte, Variationen des Wortes ,Password‘, die aktuelle Jahreszeit, das aktuelle Jahr sowie leicht zu erratende, organisationsspezifische Passwörter ausprobierten“.

LM-Hashes extrem unsicher

Die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen sei jedoch das Offline-Passwort-Hacking mit einer Hash-Datei. Die häufigste Quelle für Passwörter seien 2019 erbeutete Hash-Dateien gewesen. Auch spezifischere Ursprünge für Hashes wie beispielsweise Challenge-Response-Traffic und „/etc/shadow“ seien gemeldet worden. Rapid7 habe auch hierbei festgestellt, „dass viele der geknackten Passwörter mit etwas mehr Zeit leicht hätten erraten werden können“.
Besonders zu beachten seien die erbeuteten LM-Hashes. Diese seien extrem unsicher, liefen einigen grundlegenden empfohlenen Methoden der Kryptographie zuwider und seien von Microsoft schon lange zugunsten stärkerer Hashing-Mechanismen verworfen worden. Doch obwohl sie in Microsoft-Umgebungen, „die in den vergangenen zehn Jahren aktualisiert wurden, im Grunde keine Rolle mehr spielen, bestehen sie weiterhin hartnäckig und warten nur darauf, von Angreifern ausgenutzt zu werden“. Domain-Administratoren werden demnach „nachdrücklich aufgefordert, diese LM-Hashes endgültig auszurotten“.

„Under the Hoodie“ stützt sich auf Erkenntnisse aus 180 Penetrationstests

Diese Ergebnisse entstammten der aktuellen Ausgabe des alljährlich erscheinenden Rapid7-Bericht „Under the Hoodie“, der jetzt in dritter Auflage vorliege und sich auf die Erkenntnisse aus 180 Penetrationstests über einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 stütze. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und persönlichen sowie elektronischen Social-Engineering-Angriffen würden in dem Bericht die in Unternehmen am häufigsten anzutreffenden Schwachstellen aufgedeckt.
Darüber hinaus beschreibe diese Studie, „warum die Transport-Schicht die häufigste Sicherheitsschwachstelle in Unternehmen ist“ (jedes fünfte Unternehmen sei betroffen). Besonderer Fokus werde auf die Verwendung extern erreichbarer veralteter Verschlüsselungsstandards bzw. unverschlüsselter Kommunikation von Systemen gelegt.

Nutzer tendieren dazu, Komplexität der Passwörter zu reduzieren

„Es ist heute üblich, sicherzustellen, dass Passwörter einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die Benutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Aber solche Passwortregularien führen bei den Usern letztlich nur dazu, dass sie die Komplexität des Passworts reduzieren“, berichtet Tod Beardsley, Forschungsdirektor bei v.
Somit würden sie immer wieder Schemata wie „Sommer2019!“ oder „Herbst2019!“ einsetzen. Unternehmen sollten daher ernsthaft in Erwägung ziehen, zufällige Passwörter über eine Lösung zur Passwortverwaltung zu vergeben, was deutlich besser wäre, als auf die Komplexität von Passwörtern und Rotationsregeln zu bestehen.

Weitere Informationen zum Thema:

RAPID7
Under the Hoodie 2019 / Daten, Erfahrungsberichte und Erkenntnisse aus Penetrationstests von Rapid7

datensicherheit.de, 02.03.2019
Rapid7 veröffentlicht Cybersecurity-Bericht für das vierte Quartal 2018

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen