Ohne Passwörter geht im Internet nicht viel – doch ob man immer die gleichen Passwörter verwendet, wird nur sehr selten geprüft. Auch Kriminelle sind längst auf den Geschmack gekommen und führen deshalb die sogenannten “Credential Reuse Attacks” durch. Haben Angreifer im Netz einmal die Login Daten und die E-Mail in alten gestohlenen Datensätzen gefunden, oder diese erspähen können, kommt dieser Angriff gerne zum Einsatz.
Passwörter sind ein Problem – immer die gleichen Passwörter sind ein viel größeres Problem!
Schon des Öfteren wurde das Problem der Passwörter in diesem Blog diskutiert. Sich spontan lange Passwörter auszudenken, die zufällig und lang sind, ist nicht einfach. Dass man die Passphrase zusätzlich nicht vergessen sollte, ist selbstverständlich, aber eben auch nicht einfach. Aus diesem Grund gibt es zahlreiche Angriffsmöglichkeiten auf das Passwort.
Diese sind besonders effektiv, wenn die gleichen Passwörter mehrfach verwendet werden. Ein Beispiel hierfür ist der Credential Reuse Attack. Bei diesem Angriff werden verschiedene Onlinedienste mit einem von den Angreifern selbst geschriebenem Tool innerhalb von Sekunden getestet. Ist ein Login erfolgreich, wird dies Protokolliert. Tools zu verwenden ist schneller, da so nicht jede Webseite manuell geprüft werden muss.
Ein ehemaliges Tool, mit dem man dies zeigen konnte, war beispielsweise Cr3d0v3r, welches weiterhin frei auf Github zu Verfügung steht, allerdings nicht mehr funktioniert. Cr3d0v3r ist ein kleines Tool, welches nur wenige Informationen von dem Benutzer haben möchte und anschließend den Credential Reuse Attack ausführt. Früher durchlief die hier besprochene Software folgende Schritte:
- Es wird in öffentlichen Datendiebstählen nach der angegebenen E-Mail Adresse gesucht
- Darüber hinaus wird in Datenbanken und Pastebins nach dem Passwort geschaut, welches damals gestohlen worden ist
- Die gefundenen Informationen können genutzt werden, um den Zugang auf anderen Webseiten zu prüfen
Falls ihr im Rahmen eines Penetrationstest Gebrauch von dem Tool machen dürft, können sich folgende Szenarios für euch ergeben, hierfür muss das Tool jedoch erst durch eigenes Programmieren auf einen funktionsfähigen Stand gebracht werden:
- Überprüfe ob die gefundenen oder übergebenen E-Mails in Datenleaks auftauchen
- Schaue nach, wo die E-Mail Adresse noch registriert ist um herauszufinden ob immer die gleiche E-Mail verwendet wird
- Wenn Passwörter gefunden werden, kannst du schauen, ob diese bei anderen Websites oder Services genutzt werden
Programmierkenntnisse sind notwendig!
Leider funktioniert diese jedoch nicht mehr, da die Suche, ob Leaks zu eigner gegebenen E-Mail-Adresse vorhanden sind oder nicht, keine Funktionalität mehr bietet. Das liegt daran, dass der Betreiber der Webseite haveibeenpwned.com die API-Funktionalität auf eine neuere Version aktualisiert hat. Weiter sind nun Kosten für die Nutzung der API vorgesehen, da einige Nutzer mit zu vielen Anfragen die API missbraucht haben. Der Schlüssel zur Nutzung kostet 3,50$ pro eine Million Anfragen.
Auch ist es möglich Cr3d0v3r ohne die vorherige Überprüfung mit einer eigenen Passwortliste zu nutzen. Diese muss als TXT-Datei übergeben werden. Auch die einfache eigene Eingabe des Passworts ist möglich. Anschließend prüft das Tool die häufigsten Webseiten durch und testet, ob eine E-Mail / Passwort Kombination erfolgreich war.
Es zeigt sich, dass Nutzer, die überall die gleichen Passwörter verwenden, schnell gehackt werden können. Das macht es den Angreifern besonders leicht auf den verschiedenen Plattformen Ihren Account zu übernehmen. Haben die Angreifer ebenfalls Zugang zum E-Mail-Account ist es meist unmöglich den Account wieder herzustellen.