Mit Benutzerinformationen schneller Brute Force Attacken ausführen?
Hallo! Ich muss ein Referat über Sicherheitsgefahren in Social Media machen. Mir ist eine Sache eingefallen wollte jedoch mal fragen ob das überhaupt möglich ist. Kann man wenn man Informationen über die Person durch Social Media hat(zb Geburtsdatum, Name des Haustieres,...) schnellere Brute Force Attacken ausführen? Gibt es solche Brute Force Arten?
Danke im voraus!
1 Antwort
Kurze Antwort auf deine Frage: Ja, das ist möglich, und das wird auch so gemacht. Grundsätzlich versuchen Angreifer so viel wie möglich über ihr Ziel herauszufinden, bevor sie etwas starten, das vom Opfer bemerkt werden könnte.
Ein Passwortknacker lässt sich oft umfangreich konfigurieren, um den Angriff soweit möglich zu beschleunigen. Ich habe (natürlich ;-) noch keinen genutzt, deshalb gebe ich hier nur wieder, was ich gelesen oder mir selbst zusammengereimt habe.
Lange Antwort:
- In einigen Bruteforce-Tools können Wörterbücher ausgewählt werden, wobei es sehr viel Zeit spart, wenn man die Muttersprache kennt. (Bei Social Media ist die meistens offensichtlich.) Der Name des Haustieres mitsamt allen möglich Schreibweisen landet also in einem benutzerdefinierten Wörterbuch, das an jeder Position zusätzlich zum Zeichensatz "A-Z, a-z, 0-9" durchgegangen wird. Das Wort "Bello" entspricht also vom Standpunkt des Passwortknackens her der Erweiterung des Alphabets um nur ein einziges Zeichen, und das Passwort "BelloXBelloYBello" ist damit ähnlich (un)sicher wie das Passwort "1XaYB", obwohl es deutlich länger ist.
- Daten können in ähnlicher Weise in verschiedenen Schreibweisen durchprobiert werden (in Deutschland übliche TT.MM.JJ oder TT.MM.JJJJ, technisch-hierarchisches JJJJ-MM-TT wie es in der IT beliebt ist, oder ein chaotisches MM/TT/JJ wie in den USA verbreitet, oder mit abgekürztem oder ausgeschriebenem Monat) .
- Die Muttersprache bzw. deren Zeichenvorrat ist auch für eine zeichenweise Brute-Force-Attacke interessant. Umlaute und das Eszett kommen bei englischsprachigen Nutzern vermutlich seltenst vor, und diakritische Zeichen wie ´`^° sind in einigen Sprachen häufiger als in anderen. Der Zeichenvorrat kann also beschränkt werden.
- Tastaturlayout: Die verwendete Tastatur setzt der Kreativität beim Festlegen des Passwortes Grenzen. (Man kann zwar auch auf der Tastatur fehlende Zeichen anhand ihres Codes eingeben, das ist aber umständlich und langsam, und wird daher seltener gemacht.)
- Verwendetes Passwortschema: Beliebt ist aus Gründen der Bequemlichkeit, einen Teil des Passworts fest vorzugeben und einen anderen fortlaufend auszutauschen, z.B. mit Monat und Jahr. Wenn zwei abgefangene Passworte "amzncm1022" und "ebyd1122" lauten, ist es naheliegend, "gtfrgnt0122" bis "gtfrgnt1222" auszuprobieren.
- Unbewusste Vorlieben, z.B. tippt das Ziel bevorzugt mit einer Hand? Dann liegen die Zeichen des Passworts eher nicht weit voneinander entfernt.
Natürlich gibt es gegen unberechtigte Anmeldeversuche auch Gegenmaßnahmen, z.B. Begrenzungen der Loginversuche pro Account, künstliche Wartezeiten, Beschränkungen für IP-Adressen, oder eine Analyse der Nutzerinteraktion auf der Webseite vor dem tatsächlichen Loginversuch. Das ist aber ein anderes Kapitel, und die Onlinedienste reden verständlicherweise nicht gerne über Details.