Aktuelles, Branche, Studien - geschrieben von dp am Mittwoch, September 25, 2019 22:40 - noch keine Kommentare
60 Prozent aller Passwörter von Hackern zu erraten
Studie „Under the Hoodie“ für 2019 erschienen
[datensicherheit.de, 25.09.2019] Nach neun Monaten Penetrationstests verdeutlicht eine hauseigene Studie laut Rapid7 „die effektivsten Methoden, mit denen Hacker Passwörter knacken“. 73 Prozent der Hacker-Einbrüche basierten auf gestohlenen Passwörtern. Die Hälfte von ihnen könnten zu 60 Prozent ganz einfach von Hackern erraten werden – das zeige die eigene Studie „Under the Hoodie“, die auf den Ergebnissen von 180 in neun Monaten durchgeführten Penetrationstests beruhten. Trotz vieler User-Schulungen zur Bedeutung sicherer Passwörter hätten die Penetrationstester von Rapid7 60 Prozent aller Passwörter ganz einfach erraten können, „indem sie bekannte Standardwerte, Variationen des Wortes ,Password‘, die aktuelle Jahreszeit, das aktuelle Jahr sowie leicht zu erratende, organisationsspezifische Passwörter ausprobierten“.
LM-Hashes extrem unsicher
Die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen sei jedoch das Offline-Passwort-Hacking mit einer Hash-Datei. Die häufigste Quelle für Passwörter seien 2019 erbeutete Hash-Dateien gewesen. Auch spezifischere Ursprünge für Hashes wie beispielsweise Challenge-Response-Traffic und „/etc/shadow“ seien gemeldet worden. Rapid7 habe auch hierbei festgestellt, „dass viele der geknackten Passwörter mit etwas mehr Zeit leicht hätten erraten werden können“.
Besonders zu beachten seien die erbeuteten LM-Hashes. Diese seien extrem unsicher, liefen einigen grundlegenden empfohlenen Methoden der Kryptographie zuwider und seien von Microsoft schon lange zugunsten stärkerer Hashing-Mechanismen verworfen worden. Doch obwohl sie in Microsoft-Umgebungen, „die in den vergangenen zehn Jahren aktualisiert wurden, im Grunde keine Rolle mehr spielen, bestehen sie weiterhin hartnäckig und warten nur darauf, von Angreifern ausgenutzt zu werden“. Domain-Administratoren werden demnach „nachdrücklich aufgefordert, diese LM-Hashes endgültig auszurotten“.
„Under the Hoodie“ stützt sich auf Erkenntnisse aus 180 Penetrationstests
Diese Ergebnisse entstammten der aktuellen Ausgabe des alljährlich erscheinenden Rapid7-Bericht „Under the Hoodie“, der jetzt in dritter Auflage vorliege und sich auf die Erkenntnisse aus 180 Penetrationstests über einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 stütze. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und persönlichen sowie elektronischen Social-Engineering-Angriffen würden in dem Bericht die in Unternehmen am häufigsten anzutreffenden Schwachstellen aufgedeckt.
Darüber hinaus beschreibe diese Studie, „warum die Transport-Schicht die häufigste Sicherheitsschwachstelle in Unternehmen ist“ (jedes fünfte Unternehmen sei betroffen). Besonderer Fokus werde auf die Verwendung extern erreichbarer veralteter Verschlüsselungsstandards bzw. unverschlüsselter Kommunikation von Systemen gelegt.
Nutzer tendieren dazu, Komplexität der Passwörter zu reduzieren
„Es ist heute üblich, sicherzustellen, dass Passwörter einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die Benutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Aber solche Passwortregularien führen bei den Usern letztlich nur dazu, dass sie die Komplexität des Passworts reduzieren“, berichtet Tod Beardsley, Forschungsdirektor bei v.
Somit würden sie immer wieder Schemata wie „Sommer2019!“ oder „Herbst2019!“ einsetzen. Unternehmen sollten daher ernsthaft in Erwägung ziehen, zufällige Passwörter über eine Lösung zur Passwortverwaltung zu vergeben, was deutlich besser wäre, als auf die Komplexität von Passwörtern und Rotationsregeln zu bestehen.
Weitere Informationen zum Thema:
RAPID7
Under the Hoodie 2019 / Daten, Erfahrungsberichte und Erkenntnisse aus Penetrationstests von Rapid7
datensicherheit.de, 02.03.2019
Rapid7 veröffentlicht Cybersecurity-Bericht für das vierte Quartal 2018
datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen
Aktuelles, Experten, Studien - Nov 29, 2024 19:21 - noch keine Kommentare
TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
weitere Beiträge in Experten
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
Aktuelles, Branche, Studien - Nov 30, 2024 20:46 - noch keine Kommentare
KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
weitere Beiträge in Branche
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren