Nach neun Monaten Penetrationstests verdeutlicht eine Studie von Rapid7 die effektivsten Methoden, mit denen Hacker Passwörter knacken. 73 Prozent der Hacker-Einbrüche basieren auf gestohlenen Passwörtern. Die Hälfte von ihnen lässt sich demnach ganz einfach von Hackern erraten. Dies zeigt die Studie „Under the Hoodie“ von Rapid7, die auf den Ergebnissen von 180 in neun Monaten durchgeführten Penetrationstests beruht.

Trotz vieler User-Schulungen, die die Bedeutung sicherer Passwörter zum Thema haben, konnten die Penetrationstester von Rapid7 60 Prozent aller Passwörter ganz einfach erraten, indem sie bekannte Standardwerte, Variationen des Worts „Password“, die aktuelle Jahreszeit, das aktuelle Jahr sowie leicht zu erratende, organisationsspezifische Passwörter ausprobierten.

Die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen ist jedoch das Offline-Passwort-Hacking mit einer Hash-Datei. Die häufigste Quelle für Passwörter waren dieses Jahr erbeutete Hash-Dateien.

Auch spezifischere Ursprünge für Hashes, beispielsweise Challenge-Response-Traffic und /etc/shadow wurden gemeldet. Rapid7 stellte auch hier fest, dass viele der geknackten Passwörter sich mit etwas mehr Zeit leicht hätten erraten lassen können. Besonders zu beachten sind die erbeuteten LM-Hashes. Diese sind extrem unsicher, laufen einigen grundlegenden empfohlenen Methoden der Kryptographie zuwider und wurden von Microsoft schon lange zugunsten stärkerer Hashing-Mechanismen verworfen. Doch obwohl sie in Microsoft-Umgebungen, die in den vergangenen zehn Jahren aktualisiert wurden, im Grunde keine Rolle mehr spielen, sind sie sie weiter hartnäckig im Einsatz und warten nur darauf, von Angreifern ausgenutzt zu werden. Die Experten fordern Domain-Administratoren nachdrücklich dazu auf, diese LM-Hashes endgültig zu verwerfen, wobei zur Deaktivierung von LM-Hash-Speicher helfen können.

Alle Ergebnisse beziehen sich auf den jährlichen Rapid7-Bericht „Under the Hoodie“ , der jetzt im dritten Jahr erschienen ist und sich auf die Erkenntnisse aus 180 Penetrationstests über einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 stützt. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und persönlichen sowie elektronischen Social-Engineering-Angriffen soll der Bericht die Schwachstellen aufdecken, die in Unternehmen am häufigsten zu finden sind.

Darüber hinaus beschreibt die Studie, warum die Transport-Schicht die häufigste Sicherheitsschwachstelle in Unternehmen ist (jedes fünfte Unternehmen ist betroffen). Besonderer Fokus liegt auf der Verwendung veralteter Verschlüsselungsstandards und der unverschlüsselten Kommunikation von Systemen, die von extern erreichbar sind.

Tod Beardsley, Forschungsdirektor von Rapid7, sagte: „Es ist heute üblich, sicherzustellen, dass Passwörter einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die Benutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Aber solche Passwortregularien führen bei den Usern letztlich nur dazu, dass sie die Komplexität des Passworts reduzieren. Und so werden sie immer wieder von Schemata wie ‚Sommer2019!‘ oder ‚Herbst2019!‘, einsetzen. Unternehmen sollten daher ernsthaft in Erwägung ziehen, zufällige Passwörter über eine Lösung zur Passwortverwaltung zu vergeben, was deutlich besser wäre, als auf die Komplexität von Passwörtern und Rotationsregeln zu bestehen.“

Weitere Informationen stehen auf www.rapid7.com zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.