Passwort-Sicherheit: Spammer kapern GMX-Konten
Angreifer versuchen in großem Umfang, die Passwörter von GMX-Accounts zu erraten, was ihnen auch gelingt. Nutzer des Mail-Dienstes sollten ihr Postfach überprüfen.
© Tobias Felber/dpa
Archivbild eines GMX-Nutzers
Die Zeile ist rot und steht ganz oben im GMX-Postfach, über den Ordnern mit den Mails: 33 fehlgeschlagene Login-Versuche, heißt es dort beispielsweise. Oder auch 300. In einem dokumentierten Fall gar 2.832. Für Nutzer des Maildienstes GMX ist der kurze Satz der einzige Hinweis darauf, dass Kriminelle ihr Mailkonto angreifen. Das geschieht derzeit massenhaft.
Vor mehreren Tagen warnte das Unternehmen GData, das Virenscanner und andere Sicherheitssoftware entwickelt, vor einer Spam-Kampagne. Offensichtlich würden "über gekaperte E-Mail Konten von GMX Nachrichten an Freunde aus dem Online-Adressbuch verschickt". GMX hat die Angriffe inzwischen bestätigt.
Die Angreifer sind auf der Suche nach Postfächern, die nur mit einem schwachen Passwort gesichert sind. Die hohe Zahl der fehlgeschlagenen Login-Versuche deutet darauf hin, dass sie versuchen, solche Passworte durch Ausprobieren herauszufinden.
Schwache Passwörter
Eine Chance dafür besteht durchaus. Viele Menschen wollen sich keine komplizierten Passworte merken und nutzen einfache Ausdrücke wie "geheim" oder "Passwort" als Zugangsschutz. Belege dafür finden sich immer dann, wenn durch Sicherheitslecks Passwörter in großer Zahl bekannt werden. Gerade erst kamen LinkedIn sechs Millionen Passwörter von Kunden abhanden. Im Jahr 2009 machten Hacker sogar 32 Millionen Passwörter der Spieleseite RockYou bekannt. Platz eins der verwendeten Schlüsselphrasen belegte die Zahlenreihe "123456", Platz zwei war "12345".
Eine Studie des Mathematikers und Kryptografen Joseph Bonneau zeigt, dass Angreifer ungefähr ein Prozent aller angegriffenen Accounts öffnen können, wenn sie pro Account zehnmal raten.
Eigentlich sollte das nicht möglich sein. Um genau solches Erraten zu verhindern, lassen Anbieter nur wenige Versuche zu, um sich einzuloggen. Wird mehrere Male ein falsches Passwort eingegeben, werden weitere Versuche nur zugelassen, wenn beispielsweise ein Captcha gelöst wird.
wieviel kriminelle Energie aufgewendet wird um an Daten heranzukommen. Hier können Kriminelle nicht nur Spammails verschicken wenn ein Konto geknackt ist, es ist auch jederzeit möglich viel schlimmeren Schaden anzurichten. Auf einem Email Account befinden sich höchst sensible Daten, die für allerlei Missbrauch genutzt werden können. Da sind Spammails noch die harmloseste Variante.
Ich befürchte das ist erst der Anfang.
können aber auch vom automatischen Abruf über das Smartphone kommen. Vor allem wenn man dort ein falsches PW eingegeben hat, weil man sich mit dem Touchscreen vertippt, hat man plötzlich mehrere hundert Loginversuche.
Außerdem werden sicher viele Passwörter über unsichere Apps am Handy ausgelesen.
Passwörter werden - normalerweise - verschlüsselt gespeichert, d.h. selbst GMX kennt diese nicht.
Um also diese Passwörter zu knacken, muß zuerst das Verschlüsselungsverfahren herausfinden. Dann kann man sich bei einem großen Cloudanbieter einige tausend Rechner mieten. Diese probieren systematisch alle Passwörter durch. Wenn errechnetes Passwort und Kundenpasswort übereinstimmen, hat man es gefunden. Dazu muß man noch nicht einmal den Zugang des Kunden benutzen!
Ich habe für die von uns entwickelte Software zusätzlich zum Kundenpasswort noch einen etwas längeren Textstring angehängt. So entsteht ein langes Passwort, das sich mit der o.g. Methode nur sehr schwer knacken läßt.
Sehr geehrter gquell,
ich bin mir nicht ganz sicher, ob vielleicht Sie etwas nicht verstanden haben. Bei dem Angriff wurde nicht die Datenbank mit den Passworten bei GMX gehackt. Sondern einzelne Accounts durch Erraten des betreffenden Passwortes - ein sogenannter Brute-Force-Angriff. Daher hat der von Ihnen beschriebene Weg in diesem Fall keine Relevanz.
Beste Grüße
Kai Biermann
Wenn man nur papageienartig Standardwissen unter Artikel wie diesen ballern kann, ohne ihn überhaupt verstanden zu haben, sollte man echt die Klappe halten. Das war ja echt nix.
Sehr geehrter gquell,
ich bin mir nicht ganz sicher, ob vielleicht Sie etwas nicht verstanden haben. Bei dem Angriff wurde nicht die Datenbank mit den Passworten bei GMX gehackt. Sondern einzelne Accounts durch Erraten des betreffenden Passwortes - ein sogenannter Brute-Force-Angriff. Daher hat der von Ihnen beschriebene Weg in diesem Fall keine Relevanz.
Beste Grüße
Kai Biermann
Wenn man nur papageienartig Standardwissen unter Artikel wie diesen ballern kann, ohne ihn überhaupt verstanden zu haben, sollte man echt die Klappe halten. Das war ja echt nix.
Die sichersten, und recht leicht zu merkenden Passwörter ergeben sich, wenn man einen Merksatz bildet und die Anfangsbuchstaben nimmt.
"Der Urlaub im Jahr 2006 in Portugal hat mir besonders gut gefallen" ergibt das Passwort "DUiJ2006iPhmbgg".
Einfach einen Satz als Passwort zu nehmen.
DerUrlaubimJahr2006 wäre dann ein Passwort mit 16 Stellen und für heutige Bruteforceattacken nur unter hohem Aufwand überwindbar.
Einfach einen Satz als Passwort zu nehmen.
DerUrlaubimJahr2006 wäre dann ein Passwort mit 16 Stellen und für heutige Bruteforceattacken nur unter hohem Aufwand überwindbar.
http://www.passwort-gener...
der Browser speichert die Passwörter (für Firefox gibt es MOZILLA BACKUP um alle Daten des Browser zu speichern - immerhin dürfte die Festplatte oder ein USB Stick genügend sicher sein dafür)
deshalb braucht man diese langen Wörter odr Buchstaben nicht immer wieder neu eingeben.
wird das umgangen." Wer hat sich das denn ausgedacht? Kann mir jemand den Sinn erklären, dass Versuche nur für eine IP gezählt werden?
Sehr geehrter gquell,
ich bin mir nicht ganz sicher, ob vielleicht Sie etwas nicht verstanden haben. Bei dem Angriff wurde nicht die Datenbank mit den Passworten bei GMX gehackt. Sondern einzelne Accounts durch Erraten des betreffenden Passwortes - ein sogenannter Brute-Force-Angriff. Daher hat der von Ihnen beschriebene Weg in diesem Fall keine Relevanz.
Beste Grüße
Kai Biermann
Soweit ich mich recht entsinne wird bei Bruteforce einfach systematisch durchprobiert. Ein Passwort erraten ist doch aber etwas anderes?
"Belege dafür finden sich immer dann, wenn durch Sicherheitslecks Passwörter in großer Zahl bekannt werden."
gqeull sagte "Passwörter werden - normalerweise - verschlüsselt gespeichert, d.h. selbst GMX kennt diese nicht."
Tja, normalerweise wird das Passwort zur Authentifizierung durch einen Algorithmus gejagt. Das Ergebnisses wird dann mit den hinterlegten Daten verglichen. Nur andersrum geht das eben nicht so einfach: Ergebnis => Algorithmus => Passwort benötigt viel viel mehr Rechenpower als Passwort => Algorithmus => Ergebnis.
ABER manche Firmen speichern die Passwörter eben auch unprofessionell als Textdatei (ohne den Umweg über den nur in einer Richtung einfach zu lösenden Algorithmus) und genau diese werden dann immer wieder veröffentlicht und diesen als Grundlage zu Aussagen wie "12345" sei das beliebteste Passwort. Wer seine Passwörter allerdings ordentlich speichert der *kann* das Passwort selbst bei bestem Willen nicht herausfinden...
GMX ist allerdings auch doof wenn es die Einlogversuche nur an Hand der IP Adresse loggt. Würde gmx sich erfolglose Einlogversuche an Hand des Accounts merken anstatt an Hand der IP Adresse so könnte man nach zu vielen erfolglosen Einlogversuchen in einem bestimmten Zeitraum zuerst ein Captcha dazwischenschalten und dann einfach eine Zeitspanne die man abwarten muss um es noch einmal zu versuchen (zuerst 5 Minuten, dann zehn, dann zwanzig, ...) und schon haben Brute Force Angriffe kaum eine Chance mehr...
Richtig
Soweit ich mich recht entsinne wird bei Bruteforce einfach systematisch durchprobiert. Ein Passwort erraten ist doch aber etwas anderes?
"Belege dafür finden sich immer dann, wenn durch Sicherheitslecks Passwörter in großer Zahl bekannt werden."
gqeull sagte "Passwörter werden - normalerweise - verschlüsselt gespeichert, d.h. selbst GMX kennt diese nicht."
Tja, normalerweise wird das Passwort zur Authentifizierung durch einen Algorithmus gejagt. Das Ergebnisses wird dann mit den hinterlegten Daten verglichen. Nur andersrum geht das eben nicht so einfach: Ergebnis => Algorithmus => Passwort benötigt viel viel mehr Rechenpower als Passwort => Algorithmus => Ergebnis.
ABER manche Firmen speichern die Passwörter eben auch unprofessionell als Textdatei (ohne den Umweg über den nur in einer Richtung einfach zu lösenden Algorithmus) und genau diese werden dann immer wieder veröffentlicht und diesen als Grundlage zu Aussagen wie "12345" sei das beliebteste Passwort. Wer seine Passwörter allerdings ordentlich speichert der *kann* das Passwort selbst bei bestem Willen nicht herausfinden...
GMX ist allerdings auch doof wenn es die Einlogversuche nur an Hand der IP Adresse loggt. Würde gmx sich erfolglose Einlogversuche an Hand des Accounts merken anstatt an Hand der IP Adresse so könnte man nach zu vielen erfolglosen Einlogversuchen in einem bestimmten Zeitraum zuerst ein Captcha dazwischenschalten und dann einfach eine Zeitspanne die man abwarten muss um es noch einmal zu versuchen (zuerst 5 Minuten, dann zehn, dann zwanzig, ...) und schon haben Brute Force Angriffe kaum eine Chance mehr...
Richtig
Soweit ich mich recht entsinne wird bei Bruteforce einfach systematisch durchprobiert. Ein Passwort erraten ist doch aber etwas anderes?
Nein, ein Passwort errät man eben indem man systematisch alle möglichen Passwörter durchprobiert.
Bzw. können mit 'erraten' verschiedene Methoden gemeint sein. Zum einen durch das Abarbeiten einer vorgegebenen Liste aus möglichen Passwörtern, was zu besonders schnellen Erfolgen bei schwachen Passwörtern führen kann aber eher 'sinnlose' oder kryptisch gehaltene Codes nicht finden wird.
Um die Letzteren aufzudecken, auch wenn es insgesamt aufwändiger ist, rät man keine speziellen Begriffe wie '1234' oder 'Lausi' oder was weiß ich, sondern testet einfach systematisch verschiedene Kombinationen von Zeichen aus einem vorgegebenen Alphabet, zum Beispiel einem eingeschränkten ASCII-Zeichensatz.
Beides gilt als Brute-Force-Ansatz.
Ein Brute-Force Verfahren errät auch Passwörter, halt deterministisch. Im Gegensatz kann man auch probabilistische Verfahren benutzen, was bei Angriffen ohne weitere Hintergrundinfos aber keine Verbesserung bringt. Denkbar ist aber eine Verbesserung wenn man Hintergrundinformationen hat (wie wahrscheinlicher kultureller Hintergrund, Ausbildung, Familienstand usw.).
Viele Grüße
Nein, ein Passwort errät man eben indem man systematisch alle möglichen Passwörter durchprobiert.
Bzw. können mit 'erraten' verschiedene Methoden gemeint sein. Zum einen durch das Abarbeiten einer vorgegebenen Liste aus möglichen Passwörtern, was zu besonders schnellen Erfolgen bei schwachen Passwörtern führen kann aber eher 'sinnlose' oder kryptisch gehaltene Codes nicht finden wird.
Um die Letzteren aufzudecken, auch wenn es insgesamt aufwändiger ist, rät man keine speziellen Begriffe wie '1234' oder 'Lausi' oder was weiß ich, sondern testet einfach systematisch verschiedene Kombinationen von Zeichen aus einem vorgegebenen Alphabet, zum Beispiel einem eingeschränkten ASCII-Zeichensatz.
Beides gilt als Brute-Force-Ansatz.
Ein Brute-Force Verfahren errät auch Passwörter, halt deterministisch. Im Gegensatz kann man auch probabilistische Verfahren benutzen, was bei Angriffen ohne weitere Hintergrundinfos aber keine Verbesserung bringt. Denkbar ist aber eine Verbesserung wenn man Hintergrundinformationen hat (wie wahrscheinlicher kultureller Hintergrund, Ausbildung, Familienstand usw.).
Viele Grüße
Bitte melden Sie sich an, um zu kommentieren