Aktuelles, Branche, Studien - geschrieben von dp am Mittwoch, September 25, 2019 22:40 - noch keine Kommentare
60 Prozent aller Passwörter von Hackern zu erraten
Studie „Under the Hoodie“ für 2019 erschienen
[datensicherheit.de, 25.09.2019] Nach neun Monaten Penetrationstests verdeutlicht eine hauseigene Studie laut Rapid7 „die effektivsten Methoden, mit denen Hacker Passwörter knacken“. 73 Prozent der Hacker-Einbrüche basierten auf gestohlenen Passwörtern. Die Hälfte von ihnen könnten zu 60 Prozent ganz einfach von Hackern erraten werden – das zeige die eigene Studie „Under the Hoodie“, die auf den Ergebnissen von 180 in neun Monaten durchgeführten Penetrationstests beruhten. Trotz vieler User-Schulungen zur Bedeutung sicherer Passwörter hätten die Penetrationstester von Rapid7 60 Prozent aller Passwörter ganz einfach erraten können, „indem sie bekannte Standardwerte, Variationen des Wortes ,Password‘, die aktuelle Jahreszeit, das aktuelle Jahr sowie leicht zu erratende, organisationsspezifische Passwörter ausprobierten“.
LM-Hashes extrem unsicher
Die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen sei jedoch das Offline-Passwort-Hacking mit einer Hash-Datei. Die häufigste Quelle für Passwörter seien 2019 erbeutete Hash-Dateien gewesen. Auch spezifischere Ursprünge für Hashes wie beispielsweise Challenge-Response-Traffic und „/etc/shadow“ seien gemeldet worden. Rapid7 habe auch hierbei festgestellt, „dass viele der geknackten Passwörter mit etwas mehr Zeit leicht hätten erraten werden können“.
Besonders zu beachten seien die erbeuteten LM-Hashes. Diese seien extrem unsicher, liefen einigen grundlegenden empfohlenen Methoden der Kryptographie zuwider und seien von Microsoft schon lange zugunsten stärkerer Hashing-Mechanismen verworfen worden. Doch obwohl sie in Microsoft-Umgebungen, „die in den vergangenen zehn Jahren aktualisiert wurden, im Grunde keine Rolle mehr spielen, bestehen sie weiterhin hartnäckig und warten nur darauf, von Angreifern ausgenutzt zu werden“. Domain-Administratoren werden demnach „nachdrücklich aufgefordert, diese LM-Hashes endgültig auszurotten“.
„Under the Hoodie“ stützt sich auf Erkenntnisse aus 180 Penetrationstests
Diese Ergebnisse entstammten der aktuellen Ausgabe des alljährlich erscheinenden Rapid7-Bericht „Under the Hoodie“, der jetzt in dritter Auflage vorliege und sich auf die Erkenntnisse aus 180 Penetrationstests über einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 stütze. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und persönlichen sowie elektronischen Social-Engineering-Angriffen würden in dem Bericht die in Unternehmen am häufigsten anzutreffenden Schwachstellen aufgedeckt.
Darüber hinaus beschreibe diese Studie, „warum die Transport-Schicht die häufigste Sicherheitsschwachstelle in Unternehmen ist“ (jedes fünfte Unternehmen sei betroffen). Besonderer Fokus werde auf die Verwendung extern erreichbarer veralteter Verschlüsselungsstandards bzw. unverschlüsselter Kommunikation von Systemen gelegt.
Nutzer tendieren dazu, Komplexität der Passwörter zu reduzieren
„Es ist heute üblich, sicherzustellen, dass Passwörter einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die Benutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Aber solche Passwortregularien führen bei den Usern letztlich nur dazu, dass sie die Komplexität des Passworts reduzieren“, berichtet Tod Beardsley, Forschungsdirektor bei v.
Somit würden sie immer wieder Schemata wie „Sommer2019!“ oder „Herbst2019!“ einsetzen. Unternehmen sollten daher ernsthaft in Erwägung ziehen, zufällige Passwörter über eine Lösung zur Passwortverwaltung zu vergeben, was deutlich besser wäre, als auf die Komplexität von Passwörtern und Rotationsregeln zu bestehen.
Weitere Informationen zum Thema:
RAPID7
Under the Hoodie 2019 / Daten, Erfahrungsberichte und Erkenntnisse aus Penetrationstests von Rapid7
datensicherheit.de, 02.03.2019
Rapid7 veröffentlicht Cybersecurity-Bericht für das vierte Quartal 2018
datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren