Awareness

Überall die gleichen Passwörter? So schnell wirst du gehackt!

Aktualisiert am

Ohne Passwörter geht im Internet nicht viel – doch ob man immer die gleichen Passwörter verwendet, wird nur sehr selten geprüft. Auch Kriminelle sind längst auf den Geschmack gekommen und führen deshalb die sogenannten “Credential Reuse Attacks” durch. Haben Angreifer im Netz einmal die Login Daten und die E-Mail in alten gestohlenen Datensätzen gefunden, oder diese erspähen können, kommt dieser Angriff gerne zum Einsatz.

Passwörter sind ein Problem – immer die gleichen Passwörter sind ein viel größeres Problem!

Schon des Öfteren wurde das Problem der Passwörter in diesem Blog diskutiert. Sich spontan lange Passwörter auszudenken, die zufällig und lang sind, ist nicht einfach. Dass man die Passphrase zusätzlich nicht vergessen sollte, ist selbstverständlich, aber eben auch nicht einfach. Aus diesem Grund gibt es zahlreiche Angriffsmöglichkeiten auf das Passwort.

Diese sind besonders effektiv, wenn die gleichen Passwörter mehrfach verwendet werden. Ein Beispiel hierfür ist der Credential Reuse Attack. Bei diesem Angriff werden verschiedene Onlinedienste mit einem von den Angreifern selbst geschriebenem Tool innerhalb von Sekunden getestet. Ist ein Login erfolgreich, wird dies Protokolliert. Tools zu verwenden ist schneller, da so nicht jede Webseite manuell geprüft werden muss.

Ein ehemaliges Tool, mit dem man dies zeigen konnte, war beispielsweise Cr3d0v3r, welches weiterhin frei auf Github zu Verfügung steht, allerdings nicht mehr funktioniert. Cr3d0v3r ist ein kleines Tool, welches nur wenige Informationen von dem Benutzer haben möchte und anschließend den Credential Reuse Attack ausführt. Früher durchlief die hier besprochene Software folgende Schritte:

  • Es wird in öffentlichen Datendiebstählen nach der angegebenen E-Mail Adresse gesucht
  • Darüber hinaus wird in Datenbanken und Pastebins nach dem Passwort geschaut, welches damals gestohlen worden ist
  • Die gefundenen Informationen können genutzt werden, um den Zugang auf anderen Webseiten zu prüfen

Falls ihr im Rahmen eines Penetrationstest Gebrauch von dem Tool machen dürft, können sich folgende Szenarios für euch ergeben, hierfür muss das Tool jedoch erst durch eigenes Programmieren auf einen funktionsfähigen Stand gebracht werden:

  • Überprüfe ob die gefundenen oder übergebenen E-Mails in Datenleaks auftauchen
  • Schaue nach, wo die E-Mail Adresse noch registriert ist um herauszufinden ob immer die gleiche E-Mail verwendet wird
  • Wenn Passwörter gefunden werden, kannst du schauen, ob diese bei anderen Websites oder Services genutzt werden

Programmierkenntnisse sind notwendig!

Leider funktioniert diese jedoch nicht mehr, da die Suche, ob Leaks zu eigner gegebenen E-Mail-Adresse vorhanden sind oder nicht, keine Funktionalität mehr bietet. Das liegt daran, dass der Betreiber der Webseite haveibeenpwned.com die API-Funktionalität auf eine neuere Version aktualisiert hat. Weiter sind nun Kosten für die Nutzung der API vorgesehen, da einige Nutzer mit zu vielen Anfragen die API missbraucht haben. Der Schlüssel zur Nutzung kostet 3,50$ pro eine Million Anfragen.

Auch ist es möglich Cr3d0v3r ohne die vorherige Überprüfung mit einer eigenen Passwortliste zu nutzen. Diese muss als TXT-Datei übergeben werden. Auch die einfache eigene Eingabe des Passworts ist möglich. Anschließend prüft das Tool die häufigsten Webseiten durch und testet, ob eine E-Mail / Passwort Kombination erfolgreich war.

CREDOVER Screenshot für gleiche Passwörter
Ein Screenshot des Cr3dOv3r Tools mit den 15 vorgefertigten Webseiten und einem selbst eingegebenen Passwort.

Es zeigt sich, dass Nutzer, die überall die gleichen Passwörter verwenden, schnell gehackt werden können. Das macht es den Angreifern besonders leicht auf den verschiedenen Plattformen Ihren Account zu übernehmen. Haben die Angreifer ebenfalls Zugang zum E-Mail-Account ist es meist unmöglich den Account wieder herzustellen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.