Hacking-Experte: Vertrauen in Passwörter ist das größte Sicherheitsrisiko

Passwort-Systeme sind unsicher und stellen für Organisationen das größte Sicherheitsrisiko dar. Ein früherer Hacker berichtet.

Passwort-Systeme sind inhärent unsicher und stellen für Organisationen das größte Sicherheitsrisiko überhaupt dar. Das sagt Jason Hart, Senior Vice President für Europa bei der Sicherheitsfirma Cryptocard.

Gern demonstriert Hart, ein früherer ethischer, also nicht kommerziell motivierter Hacker, wie sich Hacker mit leicht verfügbarer Software Nutzernamen und Passwort von jedem beliebigen Nutzer in einem Netzwerk verschaffen können. Dies gilt für E-Mail-Konten und Geschäftssysteme ebenso wie für Cloud-Dienste, selbst wenn dafür ein sicheres Internet-Protokoll (HTTPS) oder Verschlüsselung eingesetzt wird. Laut Hart ist es unmöglich, irgendetwas, das über das Internet verbunden ist, auf irgendeine Weise gegen solche Angriffe auf Protokoll-Ebene zu schützen.

Ebenso zeigt Hart, wie sich über die Google-Suche das Administrator-Passwort für die Datenbank eines Cloud-basierten Dienstes oder Backups mit Listen von Login-Namen und Passwörtern finden lassen. Eine weitere Methode für das Stehlen solcher Informationen besteht darin, auf dem Computer von Opfern unauffällige Keylogger zu installieren, die jeden Tastendruck aufzeichnen. „Weil die Hacker hier im Geheimen wirken und vielleicht nie entdeckt werden, glaube viele Leute, ihre Passwörter seien sicher“, sagt Hart dazu.

Bei Keyloggern handele es sich im Prinzip um Zero-Day-Angriffe, die noch nicht veröffentlicht sind. Aus diesem Grund, so Hart, werden sie fast jede Sicherheitssoftware überwinden, um Passwörter zu belauschen, egal wie lang und komplex diese sind. „Komplexe Passörter mögen schwieriger zu erraten sein, aber auch sie sind kein Schutz gegen Keylogger oder andere Spionage-Werkzeuge“.

Auf YouTube gibt es laut Hart Schritt-für-Schritt-Anleitungen, wie man Nutzern derartige Software mit scheinbar harmlosen E-Mails unterjubeln kann. Außerdem gibt es mehrere Social-Engineering-Techniken, bei denen sich Hacker zum Beispiel als Mitglied des Sicherheitsteams ausgeben. In diesem Szenario schicken sie E-Mails an neue Mitarbeiter und leiten sie zu offiziell aussehenden Seiten, wo sie Nutzernamen und Passwort bestätigen sollen.

„Eine simple Twitter-Suche ist eine sehr einfache Methode, um potenzielle Opfer zu finden“, sagt Hart, „Millionen von Menschen berichten hier, wenn sie einen neuen Job bei einer großen Organisation haben“.

Wenn ein Hacker über einen gültigen Namen samt Passwort verfügt, kann er unerkannt auf IT-Geschäftssysteme zugreifen und sich dann mehr Nutzerrechte für den Zugriff auch auf sensible Informationen verschaffen, so Hart weiter. Trotz dieser Gefahr hätten aber erst weniger als fünf Prozent aller Organisationen Verfahren zur Authentifizierung mittels zwei Faktoren eingeführt. Dabei gebe es die schon für weniger als zwei britische Pfund pro Monat. Und je mehr Organisationen Cloud-basierte Rechen-Dienste nutzen, die als Schutz weiter Passwörter verwenden, desto größer werde die Bedrohung.

Auch William Beer, Leiter Informationssicherheit im Bereich Risikobewertung bei PricewaterhouseCoopers, warnt: Die Verwendung von Passwörtern könne zu einer gewissen Sorglosigkeit führen. „Es gibt Möglichkeiten, Passwörter und Verschlüsselung zu umgehen, also sind das keine magischen Kugeln“, sagt er. Zudem werde in vielen Organisationen Passwort-Schutz mit Verschlüsselung verwechselt. Dabei bedeute ein Passwort keineswegs automatisch, dass Inhalte oder Dienste dahinter auch verschlüsselt sind.

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close