Die 8 häufigsten Tricks zum Hacken von Passwörtern

Die 8 häufigsten Tricks zum Hacken von Passwörtern

Was fällt Ihnen ein, wenn Sie „Sicherheitsverletzung“ hören? Ein böswilliger Hacker, der vor Bildschirmen sitzt, die mit digitalem Text im Matrix-Stil bedeckt sind? Oder ein Teenager im Keller, der seit drei Wochen kein Tageslicht mehr gesehen hat? Wie wäre es mit einem leistungsstarken Supercomputer, der versucht, die ganze Welt zu hacken?





Beim Hacken geht es vor allem um eines: Ihr Passwort. Wenn jemand Ihr Passwort erraten kann, braucht er keine ausgefallenen Hacking-Techniken und Supercomputer. Sie loggen sich einfach ein und agieren als Sie. Wenn Ihr Passwort kurz und einfach ist, ist das Spiel vorbei.





Es gibt acht gängige Taktiken, die Hacker verwenden, um Ihr Passwort zu hacken.





1. Wörterbuch Hack

An erster Stelle in der allgemeinen Anleitung zum Hacken von Passwörtern steht der Wörterbuchangriff. Warum wird es als Wörterbuchangriff bezeichnet? Denn es probiert automatisch jedes Wort in einem definierten 'Wörterbuch' gegen das Passwort. Das Wörterbuch ist nicht unbedingt das, was Sie in der Schule verwendet haben.

Nein. Dieses Wörterbuch ist eigentlich eine kleine Datei, die auch die am häufigsten verwendeten Passwortkombinationen enthält. Dazu gehören 123456, qwerty, password, iloveyou und der Klassiker aller Zeiten, hunter2.



wie man pdf in schwarzweiß umwandelt

Die obige Tabelle zeigt die am häufigsten durchgesickerten Passwörter im Jahr 2016. Die folgende Tabelle zeigt die am häufigsten durchgesickerten Passwörter im Jahr 2020.

Beachten Sie die Ähnlichkeiten zwischen den beiden – und stellen Sie sicher, dass Sie diese unglaublich einfachen Optionen nicht verwenden.





Vorteile: Schnell; wird normalerweise einige erbärmlich geschützte Konten entsperren.

Nachteile: Auch etwas stärkere Passwörter bleiben sicher.





Bleib sicher: Verwenden Sie für jedes Konto ein starkes Einmalpasswort in Verbindung mit a Passwortverwaltungs-App . Mit dem Passwort-Manager können Sie Ihre anderen Passwörter in einem Repository speichern. Dann können Sie für jede Site ein einziges, lächerlich starkes Passwort verwenden.

Verwandt: Google Password Manager: Erste Schritte

2. Brute Force

Als nächstes kommt der Brute-Force-Angriff, bei dem ein Angreifer jede mögliche Zeichenkombination ausprobiert. Versuchte Passwörter stimmen mit den Vorgaben für die Komplexitätsregeln überein, z.B. einschließlich eines Großbuchstabens, eines Kleinbuchstabens, Dezimalstellen von Pi, Ihrer Pizzabestellung und so weiter.

Bei einem Brute-Force-Angriff werden auch die am häufigsten verwendeten alphanumerischen Zeichenkombinationen zuerst ausprobiert. Dazu gehören die zuvor aufgeführten Passwörter sowie 1q2w3e4r5t, zxcvbnm und qwertyuiop. Es kann sehr lange dauern, ein Passwort mit dieser Methode herauszufinden, aber das hängt ganz von der Passwortkomplexität ab.

Vorteile: Theoretisch knackt es jedes Passwort, indem es jede Kombination ausprobiert.

Nachteile: Je nach Passwortlänge und Schwierigkeit kann es extrem lange dauern. Fügen Sie ein paar Variablen wie $, &, { oder ] hinzu, und es wird extrem schwierig, das Passwort herauszufinden.

Bleib sicher: Verwenden Sie immer eine variable Zeichenkombination und wenn möglich, zusätzliche Symbole einführen, um die Komplexität zu erhöhen .

3. Phishing

Dies ist nicht unbedingt ein 'Hack', aber einem Phishing- oder Spear-Phishing-Versuch zum Opfer zu fallen, endet normalerweise schlecht. Allgemeine Phishing-E-Mails werden in Milliardenhöhe an alle Arten von Internetnutzern auf der ganzen Welt gesendet.

Eine Phishing-E-Mail funktioniert im Allgemeinen so:

  1. Der Zielbenutzer erhält eine gefälschte E-Mail, die vorgibt, von einer großen Organisation oder einem großen Unternehmen zu stammen.
  2. Gefälschte E-Mails erfordern sofortige Aufmerksamkeit und enthalten einen Link zu einer Website.
  3. Dieser Link stellt tatsächlich eine Verbindung zu einem gefälschten Anmeldeportal her, das so vorgetäuscht wird, dass es genau so aussieht wie die legitime Website.
  4. Der ahnungslose Zielbenutzer gibt seine Anmeldeinformationen ein und wird entweder umgeleitet oder aufgefordert, es erneut zu versuchen.
  5. Benutzeranmeldeinformationen werden gestohlen, verkauft oder auf schändliche Weise verwendet (oder beides).

Das täglich weltweit versendete Spam-Volumen ist nach wie vor hoch und macht über die Hälfte aller weltweit versendeten E-Mails aus. Darüber hinaus ist die Menge an schädlichen Anhängen bei Kaspersky® ebenfalls hoch notieren über 92 Millionen bösartige Anhänge von Januar bis Juni 2020. Denken Sie daran, dass dies nur für Kaspersky gilt die reelle Zahl ist viel höher .

Im Jahr 2017 war der größte Phishing-Köder eine gefälschte Rechnung. Im Jahr 2020 stellte die COVID-19-Pandemie jedoch eine neue Phishing-Bedrohung dar.

Im April 2020, nicht lange nachdem viele Länder in eine Pandemie-Sperre geraten waren, hat Google angekündigt Es blockierte täglich über 18 Millionen bösartige Spam- und Phishing-E-Mails mit COVID-19-Thema. Eine große Anzahl dieser E-Mails verwendet das offizielle Branding von Regierungen oder Gesundheitsorganisationen, um Legitimität zu erlangen und die Opfer zu überraschen.

Vorteile: Der Benutzer gibt buchstäblich seine Login-Informationen einschließlich Passwörtern weiter – eine relativ hohe Trefferquote, die bei einem Spear-Phishing-Angriff leicht auf bestimmte Dienste oder bestimmte Personen zugeschnitten werden kann.

Nachteile: Spam-E-Mails werden einfach gefiltert, Spam-Domains auf die schwarze Liste gesetzt und große Anbieter wie Google aktualisieren ständig den Schutz.

Bleib sicher: Bleiben Sie skeptisch gegenüber E-Mails und erhöhen Sie Ihren Spam-Filter auf die höchste Stufe oder, noch besser, verwenden Sie eine proaktive Whitelist. Verwenden ein Link-Checker zur Feststellung wenn ein E-Mail-Link legitim ist, bevor Sie ihn anklicken.

4. Soziales Engineering

Social Engineering ist im Wesentlichen Phishing in der realen Welt, abseits des Bildschirms.

Ein zentraler Bestandteil jedes Sicherheitsaudits besteht darin, zu messen, was die gesamte Belegschaft versteht. Zum Beispiel ruft ein Sicherheitsunternehmen das Unternehmen an, das es überwacht. Der 'Angreifer' teilt der Person am Telefon mit, dass sie das neue technische Support-Team des Büros ist und das neueste Passwort für etwas Bestimmtes benötigt.

Eine ahnungslose Person kann die Schlüssel ohne nachzudenken übergeben.

Das Erschreckende ist, wie oft das funktioniert. Social Engineering gibt es seit Jahrhunderten. Sich fälschlicherweise Zugang zu einem sicheren Bereich zu verschaffen, ist eine gängige Angriffsmethode und eine, gegen die nur durch Aufklärung geschützt werden kann.

Dies liegt daran, dass der Angriff nicht immer direkt nach einem Passwort fragt. Es könnte ein falscher Klempner oder Elektriker sein, der um Zugang zu einem sicheren Gebäude bittet, und so weiter.

Wenn jemand sagt, dass er dazu gebracht wurde, sein Passwort preiszugeben, ist dies oft das Ergebnis von Social Engineering.

Vorteile: Erfahrene Social Engineers können wertvolle Informationen aus einer Reihe von Zielen extrahieren. Es kann gegen fast jeden und überall eingesetzt werden. Es ist extrem heimlich.

Nachteile: Ein Versagen des Social Engineering kann Verdacht auf einen bevorstehenden Angriff und Unsicherheit aufkommen lassen, ob die richtigen Informationen beschafft werden.

Bleib sicher : Dies ist eine schwierige Frage. Ein erfolgreicher Social-Engineering-Angriff ist abgeschlossen, wenn Sie feststellen, dass etwas nicht stimmt. Aufklärung und Sicherheitsbewusstsein sind eine der wichtigsten Maßnahmen zur Risikominderung. Vermeiden Sie es, personenbezogene Daten zu veröffentlichen, die später gegen Sie verwendet werden könnten.

5. Regenbogentisch

Ein Rainbow Table ist normalerweise ein Offline-Passwortangriff. Ein Angreifer hat beispielsweise eine Liste mit Benutzernamen und Kennwörtern erlangt, die jedoch verschlüsselt sind. Das verschlüsselte Passwort wird gehasht. Dies bedeutet, dass es völlig anders aussieht als das ursprüngliche Passwort.

Dein Passwort ist zum Beispiel (hoffentlich nicht!) logmein. Der bekannte MD5-Hash für dieses Passwort lautet „8f4047e3233b39e4444e1aef240e80aa“.

Unsinn für Sie und mich. Aber in bestimmten Fällen führt der Angreifer eine Liste von Klartext-Passwörtern durch einen Hashing-Algorithmus aus und vergleicht die Ergebnisse mit einer verschlüsselten Passwortdatei. In anderen Fällen ist der Verschlüsselungsalgorithmus angreifbar und die meisten Passwörter sind bereits geknackt, wie MD5 (daher kennen wir den spezifischen Hash für 'logmein'.

Hier kommt der Regenbogentisch zur Geltung. Anstatt Hunderttausende potenzieller Passwörter verarbeiten und ihren resultierenden Hash abgleichen zu müssen, ist eine Rainbow-Tabelle ein riesiger Satz vorberechneter algorithmusspezifischer Hash-Werte.

Die Verwendung einer Rainbow-Tabelle verkürzt die Zeit zum Knacken eines gehashten Passworts drastisch – aber sie ist nicht perfekt. Hacker können vorgefüllte Regenbogentabellen kaufen, die mit Millionen von möglichen Kombinationen gefüllt sind.

Vorteile: Kann komplexe Passwörter in kurzer Zeit herausfinden; gibt dem Hacker viel Macht über bestimmte Sicherheitsszenarien.

Nachteile: Benötigt sehr viel Speicherplatz, um die riesige (manchmal Terabyte große) Rainbow-Tabelle zu speichern. Außerdem sind Angreifer auf die in der Tabelle enthaltenen Werte beschränkt (andernfalls müssen sie eine weitere ganze Tabelle hinzufügen).

So stellen Sie gelöschte Konversationen auf Facebook wieder her

Bleib sicher: Noch ein kniffliger. Rainbow-Tische bieten ein breites Angriffspotential. Vermeiden Sie Websites, die SHA1 oder MD5 als Kennwort-Hashing-Algorithmus verwenden. Vermeiden Sie Websites, die Sie auf kurze Passwörter oder die Zeichen, die Sie verwenden können, beschränken. Verwenden Sie immer ein komplexes Passwort.

Verwandte: So erkennen Sie, ob eine Site Passwörter als Klartext speichert (und was zu tun ist)

6. Malware/Keylogger

Eine weitere sichere Möglichkeit, Ihre Anmeldeinformationen zu verlieren, besteht darin, mit Malware infiziert zu werden. Malware ist überall und kann massiven Schaden anrichten. Wenn die Malware-Variante einen Keylogger enthält, könnten Sie Folgendes finden: alle Ihrer Konten kompromittiert.

Alternativ könnte die Malware gezielt auf private Daten abzielen oder einen Remote-Access-Trojaner einführen, um Ihre Anmeldeinformationen zu stehlen.

Vorteile: Tausende von Malware-Varianten, viele davon anpassbar, mit mehreren einfachen Bereitstellungsmethoden. Eine gute Chance, dass eine hohe Anzahl von Zielen mindestens einer Variante erliegt. Es kann unentdeckt bleiben, was das weitere Sammeln privater Daten und Anmeldeinformationen ermöglicht.

Nachteile: Wahrscheinlichkeit, dass die Malware nicht funktioniert oder unter Quarantäne gestellt wird, bevor auf Daten zugegriffen wird; keine Garantie, dass die Daten nützlich sind.

Bleib sicher : Installieren und aktualisieren Sie Ihre Antiviren- und Antimalware-Software regelmäßig Software. Betrachten Sie Ihre Download-Quellen sorgfältig. Klicken Sie sich nicht durch Installationspakete, die Bundleware und mehr enthalten. Finger weg von schändlichen Seiten (leichter gesagt als getan). Verwenden Sie Tools zum Blockieren von Skripten, um schädliche Skripte zu stoppen.

7. Spinnen

Spidering knüpft an den Wörterbuchangriff an. Wenn ein Hacker auf eine bestimmte Institution oder ein Unternehmen abzielt, versucht er möglicherweise eine Reihe von Passwörtern, die sich auf das Unternehmen selbst beziehen. Der Hacker könnte eine Reihe verwandter Begriffe lesen und zusammenstellen – oder eine Suchspinne verwenden, um die Arbeit für sie zu erledigen.

Vielleicht haben Sie den Begriff „Spinne“ schon einmal gehört. Diese Suchspinnen sind denen sehr ähnlich, die durch das Internet kriechen und Inhalte für Suchmaschinen indizieren. Die benutzerdefinierte Wortliste wird dann gegen Benutzerkonten verwendet, in der Hoffnung, eine Übereinstimmung zu finden.

Vorteile: Kann möglicherweise Konten für hochrangige Personen innerhalb einer Organisation entsperren. Relativ einfach zusammenzustellen und fügt einem Wörterbuchangriff eine zusätzliche Dimension hinzu.

Nachteile: Könnte erfolglos enden, wenn die Netzwerksicherheit des Unternehmens gut konfiguriert ist.

Bleib sicher: Verwenden Sie auch hier nur starke Einweg-Passwörter, die aus zufälligen Zeichenfolgen bestehen. nichts, das mit Ihrer Person, Ihrem Geschäft, Ihrer Organisation usw. in Verbindung steht.

Wie erstelle ich Mods in Minecraft?

8. Schultersurfen

Die letzte Option ist eine der grundlegendsten. Was ist, wenn Ihnen jemand bei der Passworteingabe nur über die Schulter schaut?

Shoulder Surfing klingt ein wenig lächerlich, kommt aber vor. Wenn Sie in einem belebten Café in der Innenstadt arbeiten und nicht auf Ihre Umgebung achten, könnte jemand nahe genug kommen, um Ihr Passwort während der Eingabe zu notieren.

Vorteile: Niedriger Technologieansatz zum Stehlen eines Passworts.

Nachteile: Muss das Ziel identifizieren, bevor das Passwort herausgefunden wird; könnten sich beim Diebstahl offenbaren.

Bleib sicher: Achten Sie bei der Eingabe Ihres Passworts auf Ihre Umgebung. Decken Sie Ihre Tastatur ab und verdecken Sie Ihre Tasten während der Eingabe.

Verwenden Sie immer ein starkes, einzigartiges Einmalpasswort

Wie können Sie also verhindern, dass ein Hacker Ihr Passwort stiehlt? Die wirklich kurze Antwort ist das Sie können nicht wirklich 100-prozentig sicher sein . Die Tools, mit denen Hacker Ihre Daten stehlen, ändern sich ständig und es gibt unzählige Videos und Tutorials zum Erraten von Passwörtern oder zum Lernen, wie man ein Passwort hackt.

Eines ist sicher: Die Verwendung eines starken, einzigartigen Einmalpassworts hat noch niemandem geschadet.

Teilen Teilen Tweet Email 5 Passwort-Tools, um starke Passphrasen zu erstellen und Ihre Sicherheit zu aktualisieren

Erstellen Sie ein sicheres Passwort, an das Sie sich später erinnern können. Verwenden Sie diese Apps, um Ihre Sicherheit noch heute mit neuen starken Passwörtern zu verbessern.

Weiter lesen
Verwandte Themen
  • Sicherheit
  • Passwort-Tipps
  • Online-Sicherheit
  • Hacken
  • Sicherheitstipps
Über den Autor Gavin Phillips(945 veröffentlichte Artikel)

Gavin ist Junior Editor für Windows and Technology Explained, schreibt regelmäßig am Really Useful Podcast und ist regelmäßiger Produktrezensent. Er hat einen BA (Hons) Contemporary Writing with Digital Art Practices, der aus den Hügeln von Devon geplündert wurde, sowie über ein Jahrzehnt an professioneller Schreiberfahrung. Er genießt reichlich Tee, Brettspiele und Fußball.

Mehr von Gavin Phillips

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um sich zu abonnieren