Bei einem Audit gelang es einem Sicherheitsbeauftragten, 21 Prozent der Passwort-Hashes zu knacken, die ihm Mitarbeiter des US-Innenministeriums gegeben hatten. Darunter auch die von Führungskräften.
Den Ergebnissen der Studie zufolge könnten Angreifer eine ähnliche Erfolgsquote haben. Zudem wird die Multi-Faktor-Authentifizierung (MFA) nicht konsequent eingesetzt. Wenn MFA verwendet wird, reicht ein geknacktes Passwort für einen Angreifer nicht aus, um sich anzumelden, und er muss auch einen einmaligen Code kennen, den ein Opfer mithilfe einer Authentifizierungs-App beispielsweise auf einem Smartphone generiert.
Versuchsaufbau
Um die Hashes der Passwörter zu knacken, behauptet der Prüfer, Hardware im Wert von etwa 15.000 US-Dollar verwendet zu haben, die aus zwei Rigs mit 16 GPUs bestand. Weitere Informationen zum Ablauf finden Sie hier im umfassenden Bericht.
Sind Passwörter im Klartext, haben Angreifer leichtes Spiel. Um Passwörter sicherer zu speichern, werden verschiedene Hash-Methoden verwendet und das Klartextpasswort lautet Passwort-1234 A71FB31235347EA75956B6155ED36899. Eine direkte Rückabwicklung ist nicht möglich. Welcher Hash-Algorithmus in diesem Fall verwendet wurde, ist derzeit nicht bekannt.
Um die Hashes zu knacken, fütterte der Prüfer seine Cracking-Maschinen unter anderem mit Einträgen aus Wörterbüchern und Passwortlisten aus Datenpannen. Die Einträge wurden gehasht und mit den Hashes der Passwörter des US-Innenministeriums verglichen. Ein Treffer entspricht einem geknackten Passwort.
Erfolgschance
Dem Prüfer standen insgesamt 85.944 Passwort-Hashes zur Verfügung. Nach eigenen Angaben knackte er davon bereits nach 90 Minuten 16 Prozent. Insgesamt liegt die Erfolgsquote bei 21 Prozent. 288 der gehackten Konten hätten erweiterte Benutzerrechte und 362 würden hochrangigen Regierungsangestellten gehören.
Darüber hinaus ergab die Prüfung, dass 89 Prozent der kritischen Regierungssysteme in dieser Einrichtung keine MFA implementierten. Dadurch haben Angreifer einen Stein weniger im Weg, wenn sie in Systeme eindringen wollen.
Schwache Passwörter
Die relativ einfach zu erratenden Passwörter Password-1234 (478 Mal), Br0nc0$2012 (389 Mal) und Password123$ (318 Mal) wurden am häufigsten verwendet. Das Problem ist, dass diese Passwörter den Passwortvorgaben des Ministeriums entsprechen. Dies zeigt einmal mehr, dass solche Regeln oft wirkungslos sind.
(des)
