Animierte Navigation Hoher Kontrast
Animierte Navigation Hoher Kontrast

  • Wie werden Passwörter gehackt?

    • Einige der häufigsten Angriffe auf Passwörter sind recht simpel: Hacker:innen probieren alle möglichen Buchstaben- und Zahlenkombinationen aus, bis die richtige Zusammensetzung gefunden ist. Diese Art von Angriffen wird Brute-Force-Angriff genannt, auf Deutsch bedeutet das „rohe Gewalt“ und führt durch die hohe Leistungsfähigkeit heutiger Computer oft schnell zum Erfolg. Zusätzlich macht sich der:die Angreifer:in zunutze, dass die meisten Anwender:innen leicht zu merkende Buchstaben- und Zahlenkombinationen verwenden.

      Diese Möglichkeiten werden von Angreifer:innen als Erstes unter die Lupe genommen, z.B. indem sie alle Wörter aus dem Duden automatisiert durchprobieren (Wörterbuchattacke). Das Grundproblem ist der Internetnutzer oder die Internetnutzerin selbst. Denn die meisten Menschen neigen dazu, einfache und kurze Passwörter zu benutzen. In Bezug auf die Sicherheit ist aber besonders die Länge des Passwortes wichtig. Der Rechenaufwand bei einem Brute-Force-Angriff steigt mit jedem weiteren Zeichen, das verwendet wird, stark an.

      Zeit-BruteForce

       

      Von Social Engineering („soziale Manipulation“) spricht man immer dann, wenn ein:e Angreifer:in versucht, z.B. an den Email-Account einer anderen Person zu kommen und dafür menschliche Eigenschaften ausnutzt, um sein:ihr Ziel zu erreichen. Social Engineering Angriffe sind eine extrem effiziente Methode eines Angriffs gegen Firmen und zwar sehr oft ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, z.B. positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis. Ein Beispiel ist der sogenannte Chef-Trick (CEO-Fraud). Ein:e Angreifer:in gibt sich dabei als Vorgesetzte:r aus und fordert die sofortige Herausgabe einer bestimmten Information (z.B. eines Passworts) oder die Überweisung von Geld.

      Die klassischen Techniken sind

      verlocken

      • überreden
      • schmeicheln
      • verführen
      • bestechen

      täuschen

      • vorspiegeln falscher Tatsachen
      • hochstapeln
      • betrügen

      unter Druck setzten

      • einschüchtern
      • bedrohen
      • erpressen

      Phishing

      Eine bekannte Variante des Social Engineering ist das Phishing. Bei dieser Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann z.B. sein, dass ein bestimmter Dienst, den man nutzt einen auffordert einem Link zu folgen und sich einzuloggen. Es wird eine neue URL angeboten über die man sich zukünftig einloggen soll, wenn man den Dienst weiterhin in Anspruch nehmen will. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des:der Serviceanbieters:in. Oder der Inhalt der E-Mail soll eine:n dazu bringen, einen Link anzuklicken oder eine Datei zu öffnen. Das sind Möglichkeiten Schadsoftware auf den Computer zu laden.

      Hier kannst du dich zu einer Phishing-Simulation anmelden. Du bekommst dann Phishingmails zugesandt.

      www.onlinebetrug.aknoe.at

      Auch ganze Datenbanken von massenweise genutzten Diensten werden gestohlen. Nicht immer werden diese durch technische Hilfsmittel geknackt. Oft sind Datenbanken durch einen Fehler der Betreiber:innen nicht ausreichend geschützt und deshalb leichte Beute. Diese Daten können weiterverkauft und/oder für weitere Angriffe genutzt werden.

      Du solltest deshalb ein Passwort nur für einen einzigen Zweck verwendet und vor allem nicht für mehr als ein Online-Konto einsetzten.

      Bin ich bereits betroffen?

      Hier kannst du ausprobieren, ob ein Account von dir in einem der bekannten Leaks auftaucht. Jedoch Vorsicht: Gib hier oder bei ähnlichen Seiten niemals deine Passwörter ein!

      www.haveibeenpwned.com

      In Österreich kann man nicht per Gesetz gezwungen werden sein Passwort herausuzugeben. In anderen Ländern gibt es aber gesetzliche Grundlagen, die z.B. eine Beugehaft zulassen, wenn man Passwörter nicht herausgibt. In totalitären Regimen ist natürlich auch ein Erzwingen der Herausgabe durch Schläge und Folter üblich. Und ein Finger ist weltweit schnell mit Gewalt auf den Sensor deines Smartphones gedrückt.

      Mehrfach verwendete Passwörter erhöhen das Risiko massiv, da, wenn ein Passwort einmal in fremde Hände gelangt ist, auch mehrere Accounts betroffen sind. Manchmal werden Webseiten von Angreifern manipuliert, um an Passwörter zu gelangen oder Passwortdatenbanken zu stehlen. Wenn du ein Passwort mehrfach verwendest und dieses bei einer Datenpanne oder auf andere Weise in fremde Hände gelangt ist, kann es für den Zugriff auf deine anderen Konten verwendet werden.

    • Icon Textseite
      Wie vorgehen wenn dein Account betroffen ist?
    • Icon H5P
      Übung: Wie vorgehen wenn dein Account betroffen ist?
      Teilnehmer/innen müssen
      Eine Bewertung erhalten