Montag, November 25, 2024

Creating liberating content

Kein Internet wegen negativer...

Gerade in einer Industrienation wie Deutschland ist es kaum vorstellbar, dass es Menschen...

Internationaler Güterverkehr: Welche sind...

Der internationale Verkehr ermöglicht die Beförderung von Waren unterschiedlicher Größe und Art zwischen...
Html code here! Replace this with any non empty raw html code and that's it.
StartWirtschaftSicherheitsaudit: 13.000 Passwörter...

Sicherheitsaudit: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt

Bei einem Audit gelang es einem Sicherheitsbeauftragten, 21 Prozent der Passwort-Hashes zu knacken, die ihm Mitarbeiter des US-Innenministeriums gegeben hatten. Darunter auch die von Führungskräften.

Den Ergebnissen der Studie zufolge könnten Angreifer eine ähnliche Erfolgsquote haben. Zudem wird die Multi-Faktor-Authentifizierung (MFA) nicht konsequent eingesetzt. Wenn MFA verwendet wird, reicht ein geknacktes Passwort für einen Angreifer nicht aus, um sich anzumelden, und er muss auch einen einmaligen Code kennen, den ein Opfer mithilfe einer Authentifizierungs-App beispielsweise auf einem Smartphone generiert.

Um die Hashes der Passwörter zu knacken, behauptet der Prüfer, Hardware im Wert von etwa 15.000 US-Dollar verwendet zu haben, die aus zwei Rigs mit 16 GPUs bestand. Weitere Informationen zum Ablauf finden Sie hier im umfassenden Bericht.

Sind Passwörter im Klartext, haben Angreifer leichtes Spiel. Um Passwörter sicherer zu speichern, werden verschiedene Hash-Methoden verwendet und das Klartextpasswort lautet Passwort-1234 A71FB31235347EA75956B6155ED36899. Eine direkte Rückabwicklung ist nicht möglich. Welcher Hash-Algorithmus in diesem Fall verwendet wurde, ist derzeit nicht bekannt.

Um die Hashes zu knacken, fütterte der Prüfer seine Cracking-Maschinen unter anderem mit Einträgen aus Wörterbüchern und Passwortlisten aus Datenpannen. Die Einträge wurden gehasht und mit den Hashes der Passwörter des US-Innenministeriums verglichen. Ein Treffer entspricht einem geknackten Passwort.

Dem Prüfer standen insgesamt 85.944 Passwort-Hashes zur Verfügung. Nach eigenen Angaben knackte er davon bereits nach 90 Minuten 16 Prozent. Insgesamt liegt die Erfolgsquote bei 21 Prozent. 288 der gehackten Konten hätten erweiterte Benutzerrechte und 362 würden hochrangigen Regierungsangestellten gehören.

Darüber hinaus ergab die Prüfung, dass 89 Prozent der kritischen Regierungssysteme in dieser Einrichtung keine MFA implementierten. Dadurch haben Angreifer einen Stein weniger im Weg, wenn sie in Systeme eindringen wollen.

Die relativ einfach zu erratenden Passwörter Password-1234 (478 Mal), Br0nc0$2012 (389 Mal) und Password123$ (318 Mal) wurden am häufigsten verwendet. Das Problem ist, dass diese Passwörter den Passwortvorgaben des Ministeriums entsprechen. Dies zeigt einmal mehr, dass solche Regeln oft wirkungslos sind.


(des)

Zur Homepage

Continue reading

Dax schließt nach einer glänzenden Woche leicht im Minus – weshalb die 16.300 Punkte entscheidend sind

Düsseldorf Nach einer fulminanten Börsenwoche hat sich die Lage am deutschen Aktienmarkt vorerst beruhigt. Zum Handelsschluss lag der Leitindex Dax 0,2 Prozent tiefer bei 16.105 Punkten. Auf Wochensicht ergibt sich ein Gewinn von mehr als drei Prozent...

Enjoy exclusive access to all of our content

Get an online subscription and you can unlock any article you come across.