Strategien zum Schutz gegen das Passwort-Hacking

Rapid7 verfügt über einen Satz von etwa 130.000 anonymen Organisations- bzw. Mitarbeiter-Passwörtern. Sie sind frei von persönlichen und organisationsspezifischen Informationen, stammen aus den internen Domainverwaltungen und sind nur wenigen Personen zugänglich. Die gesammelten Daten sind relativ neu: die meisten der Passwörter wurden von den Benutzern 2017 oder 2018 ausgewählt. Auch doppelte Passwörter wurden aufbewahrt, damit analysiert werden kann, wie oft bestimmte Passwörter und Passwortmuster in den verschiedenen Organisationen verwendet werden. Der Wert dieses Datensatzes liegt darin, dass es sich um echte Passwörter handelt, die von echten Personen an ihren persönlichen Arbeitsplätzen verwendet wurden und werden. Diese Passwörter oder Passwortmuster sollten komplex und sicher sein. Tatsächlich aber sind das die meisten nicht.

Passwörter sind meist einfach zu erraten

Die drei gängigsten Passwortmuster

Es gibt drei sehr gebräuchliche Passwörter. Das erste würden die meisten Leute schnell erraten, denn es ist: „Password“! Um fair zu sein, gibt es viele Varianten von „Password“ wie Password1, Password123, Password2, Password1! und viele andere. Password1 ist das häufigste. Samt aller Variationen und einigen kleinen Dekorationen stellt es das am häufigsten verwendete Passwortmuster dar mit 4.001 von 129.812 Einträgen, was rund 3% aller Passwörter sind.

Das nächste Passwortmuster ist vielleicht nicht so offensichtlich, aber wenn man an den Denkprozess des Benutzers denkt, dann macht es Sinn. Die gängigsten Firmen-Passwortrichtlinien verlangen, dass die Mitarbeiter ihr Passwort alle 90 Tage ändern. Und was ändert sich noch alle drei Monate? Die Jahreszeit! Viele Menschen haben also ein System „erfunden“, bei dem sie ein Passwort verwenden, das leicht zu merken ist und sich nie wiederholt, da sie einfach die aktuelle Jahreszeit wählen und das Jahr anhängen: Winter2018, Summer2017! und Spring16! Wir zählen insgesamt 1.788 solcher Passwörter, sprich 1,4% aller Passwörter.

Das dritte Passwortmuster enthält kein bestimmtes Wort, ist aber mit knapp 5% die häufigste Namensgebung, nämlich der Name der Organisation. Wir haben insgesamt 6.332 Passwörter gefunden, die den Namen der Firma enthielten. Sie sind in der Regel zusammen gesetzt aus dem Firmennamen und den Variationen wie bei „Password“. Beispiele sind Company123!, Company1, C0mp@ny1 oder Company2018.

Diese drei Passwortmuster machen rund 10 Prozent der Passwörter aus. Oder anders gesagt: jedes 10 Passwort entspricht diesen Mustern. Ein bösartiger Akteur braucht möglicherweise nur ein einziges Passwort, um Zugang zu einem Netzwerk zu erhalten. Bei einer Organisation mit 100 Mitarbeitern besteht also eine gute Chance, dass fünf den Firmennamen verwenden, drei mit dem Wort „Password“ herumspielen und ein oder zwei die aktuelle Jahreszeit und das aktuelle Jahr einsetzen. Die Gefahr einer korrekten Passwortverifizierung und eines unbefugten Eindringens wird somit unmittelbar.

Einfache Passwortmuster machen es Hackern leicht

Bei den Penetrationstests wird häufig festgestellt, dass die minimale Passwortlänge in der Firma auf acht Zeichen festgelegt ist. Eine Sache, die auffällt, ist, dass sich oft ein Mitarbeiter genau an diese Mindestlänge hält. Eine Auswertung der Passwortlänge ergibt folgendes Bild:

• 8 Buchstaben: 46,0 %
• 10 Buchstaben: 17,9 %
• 9 Buchstaben: 17,2 %
• 11 Buchstaben: 6,4 %
• 7 Buchstaben: 4,2 %
• 12 Buchstaben: 3,5 %
• 6 Buchstaben: 2,2 %
• 13 Buchstaben: 1,6 %
• 14 Buchstaben: 0,9 %
• 15 Buchstaben: 0,2 %

Es stellt sich heraus, dass die acht Zeichen nicht nur am häufigsten verwendet werden, sondern auch häufiger vorkommen als die nächsten vier zusammen! Ein cleverer Passwort-Hacker wird sich mit ziemlicher Sicherheit auf Passwörter mit acht Buchstaben konzentrieren.

Eine Analyse der in beiden Datensätzen verwendeten Zeichenmuster zeigt, welche Zeichen an jeder Position verwendet werden, wo jemand lieber den Großbuchstaben, die Ziffer, das Sonderzeichen und die Kleinbuchstaben platziert. Menschen neigen dazu, ihr Passwort mit einer Ziffer zu beenden. Acht der zehn wichtigsten Passwortmuster enden mit einer Ziffer. Aber welche Ziffer?

• 0: rd. 23.000 Personen
• 1: rd. 45.000 Personen
• 2: rd. 30.000 Personen
• 3: rd. 32.000 Personen
• 4: rd. 28.000 Personen
• 5: rd. 27.000 Personen
• 6: rd. 25.000 Personen
• 7: rd. 29.000 Personen
• 8: rd. 25.000 Personen
• 9: rd. 22.000 Personen

Wenn sie eine Ziffer verwenden sollen, kleben die meisten Mitarbeiter einfach eine „1“ ans Ende. Wir haben das bereits bei Password1 und Firma1 gesehen. Doch was ist, wenn es am Ende mehr als eine Ziffer gibt, was verwenden sie dann?

• 23: 2,60 %
• 09: 2,47 %
• 18: 2,32 %
• 17: 1,59 %
• 12: 1,56 %
• 01: 1,40 %
• 11: 1,25 %
• 16: 1,09 %
• 13: 1,08 %
• 15: 1,06 %

Das Top-Ergebnis „23“ weist auf ein anderes Muster menschlicher Entscheidungen hin. Das zeigt auch die Analyse der letzten drei Ziffern.

• 123: 2,13 %
• 009: 2,13 %
• 018: 1,17 %
• 017: 0,87 %
• 234: 0,75 %
• 016: 0,53 %
• 015: 0,46 %
• 012: 0,42 %
• 013: 0,40 %
• 818: 0,36 %

Es wird deutlich, dass Menschen gerne ein sehr einprägsames Zahlenmuster am Ende eines Passwortes, nämlich 123, verwenden. Vielleicht ist das die Länge eines kurzen fünfstelligen Passworts? Vielleicht macht man das so, damit man nicht nur eine einzige Ziffer verwendet, da man denkt, dass drei Ziffern (irgendwie) besser sind?

Doch wie sieht es aus, wenn am Ende vier Ziffern stehen? Überraschenderweise taucht dabei ein neuer Kandidat auf:

• 2009: 2,10 %
• 2018: 1,15 %
• 2017: 0,85 %
• 1234: 0,71 %
• 2016: 0,51 %
• 2015: 0,44 %
• 2013: 0,39 %
• 2012: 0,38 %
• 1818: 0,36 %
• 2014: 0,35 %

Wenn am Ende vier Ziffern verwendet werden, dann sind es Jahreszahlen. Aber 1234 ist natürlich auch dabei. Bei Penetrationstests lassen sich häufig Muster mit einem Jahr am Ende des Passworts finden, wie beispielsweise Summer2018. Das Top-Ergebnis „2009“ bleibt jedoch ein wenig rätselhaft, da die meisten jahresähnlichen Muster auf die letzten Jahre hinweisen. Aber dies kann von einem einzigen Penetrationstests herkommen, bei dem eine große Anzahl von Legacy-Accounts erfasst wurden, die seit mehreren Jahren keine Passwort-Rotation mehr gesehen haben. Oder diese Passwörter können zu Mitarbeitern gehören, die alle acht oder neun Jahre alte Kinder haben. Das Rätsel ist schwer zu lösen angesichts der Datenanonymisierung, die durchgeführt wird, bevor diese Passwörter zum Passwort-Pool hinzugefügt wurden.

Bei fünf Ziffern kehrt das Muster mit sequentiellen Ziffern zurück, beginnend mit „12345“.

• 12345: 0,14 %
• 23456: 0,10 %
• 12334: 0,06 %
• 34567: 0,04 %
• 45678: 0,02 %
• 11111: 0,02 %
• 54321: 0,01 %
• 56789: 0,01 %
• 12233: 0,01 %
• 23344: 0,01 %

Das Verhalten der Menschen ist bei Passwörtern vorhersehbar

Zusammenfassend zeigen die hier gesammelten und präsentierten Daten, dass das Verhalten der Menschen vorhersehbar ist, wenn sie selbst ihre Passwörter erstellen. Sie müssen sich eine Menge Passwörter merken und haben vielleicht gehört, dass die Wiederverwendung von gleichen Passwörtern eine schlechte Idee ist. Also verwenden sie ein Passwortmuster, das einprägsam ist, beispielsweise mit dem Namen der Firma als Basiswort.

Penetrationstester betonen ständig die Bedeutung einer starken Passwortrichtlinie für die Organisation und empfehlen vor allem die Zwei-Faktor-Authentifizierung (2FA). Doch häufig werden diese Empfehlungen übersehen oder nicht beachtet. Das Ergebnis: Einer der häufigsten Gründe, warum Hacker auf Systeme und Netzwerke zugreifen können, um sensible Informationen zu erobern, sind schwache Passwörter aufgrund schwacher Passwortrichtlinien.

Passwort-Dumps sind eine weitere Gefahrenquelle

Bei Penetrationstests werden die unterschiedlichsten Techniken verwendet. Dazu gehört die Suche nach online veröffentlichten Zugangsdaten, möglicherweise in öffentlichen Passwort-Dumps, sprich Passwort-Deponien. Sie bestehen aus umfangreichen Listen mit oft Millionen von Nutzername-Passwort-Kombinationen, die sich Datendiebe gegenseitig zur Verfügung stellen.

In Rahmen eines Penetrationstests auf eine Webanwendung konnte eine Reihe von E-Mail-Adressen und Passwörtern in einem öffentlichen Passwort-Dump gefunden werden. Mit dieser Liste wurde ein Anmeldeversuch durchgeführt und siehe da: einer der im Passwort-Dump aufgeführten Zugangsberechtigungen hat im Organisationsnetzwerk funktioniert. Dass ein solches Passwort gefunden wurde, liegt wahrscheinlich daran, dass der Benutzer Passwörter auf verschiedenen Websites wiederverwendet und sein Firmenpasswort nach dem Hacking einer anderen Website nicht geändert hat.

Mit dem Zugriff auf das Konto konnte eine große Menge an Kunden-Daten sowie Finanzinformationen aus dem E-Mail-Posteingang des betroffenen Benutzers heruntergeladen werden. Interessanterweise hatte der Benutzer die Organisation bereits verlassen, so dass der Zugang in andere Organisationsbereiche entfernt wurde. Dennoch war der E-Mail-Posteingang immer noch vollständig zugänglich. Darüber hinaus konnten hier weitere interessante Informationen gesammelt werden, darunter eine Liste von internen Usern, die aktuelle Kennwortrichtlinie für die Webanwendung und viele weitere vertrauliche Informationen. Ein bösartiger Akteur hätte zudem diese verlassene E-Mail-Adresse als „vertrauenswürdiges Konto“ für Phishing-Aktionen bei anderen Usern sowohl intern wie extern verwendet.

Erkennung und Verteidigug

Wie bereits erwähnt, haben Penetrationstester selten mehr als zwei Wochen Zeit, um eine bestimmte Zielorganisation oder eine bestimmte Zielperson zu analysieren und zu kompromittieren. Das enge Zeitfenster begrenzt notwendigerweise die Möglichkeit für Angriffe, zudem ist die gesamte Organisation in Alarmbereitschaft. Trotz dieser Einschränkungen blieben 61% der Einsätze unentdeckt:

• Entdeckung innerhalb einer Stunde: 8,0 %
• Entdeckung innerhalb eines Tages: 22,5 %
• Entdeckung innerhalb einer Woche: 8,0 %
• Keine Entdeckung: 61,4 %

Wenn der Penetrationstester nicht innerhalb eines Tages erkannt wird, ist es unwahrscheinlich, dass seine bösartigen Aktivitäten überhaupt erkannt werden.

Die Erkennungsraten in großen und kleineren Organisationen sind unterschiedlich:

Große Organisation

• Entdeckung innerhalb einer Stunde: 12,0 %
• Entdeckung innerhalb eines Tages: 23,9 %
• Entdeckung innerhalb einer Woche: 6,5 %
• Keine Entdeckung: 56,5 %

Kleine Organisation

• Entdeckung innerhalb einer Stunde: 5,6 %
• Entdeckung innerhalb eines Tages: 23,6 %
• Entdeckung innerhalb einer Woche: 7,6 %
• Keine Entdeckung: 63,2 %

Penetrationstester bleiben also in kleinen Organisationen (weniger als 1.000 Beschäftigte) häufiger unentdeckt (63%) als in großen Organisationen (57%). Dieser Unterschied ist einer näheren Betrachtung wert. Große Organisationen haben in der Regel mehr Ressourcen, um sich zu schützen, aber größere, komplexere Organisationsnetzwerke bieten in der Regel auch mehr Möglichkeiten, Schwachstellen, Fehlkonfigurationen und schwache Anmeldeinformationen zu finden. Sie haben natürlich auch größere IT-Budgets und oft erfahrenere Mitarbeiter, was die Gefahrenerkennung deutlich verbessern sollte. Aber ehrlich gesagt, ist das Gesamtdelta der Erkennungsrate mit 6% nicht sonderlich groß, und sowohl große als auch kleine Organisationen täten gut daran, ihre Erkennungsfähigkeiten noch einmal stark zu überprüfen.

Verwaltung von Zugangsberechtigungen ist gefordert

Die Eroberung von Zugangsdaten ist in der Regel die einfachste Methode, ein Netzwerk zu gefährden. Auf den ersten Blick sollte es hier jedoch ziemlich einfach sein, einige grundlegende Kontrollen bei der Verwaltung von Benutzerkonten einzuführen, um die Organisation zu schützen. Würde man meinen! Leider ist das nicht der Fall. Zum Beispiel gehört das (zeitweilige) Sperren eines Kontos nach einer definierten Anzahl von fehlgeschlagenen Passwortversuchen (oft fünf) zu den ältesten automatisierten Sicherheitstechniken. Die legendäre Sperre ist jedoch relativ selten:

• Kontosperrung hatte keine Auswirkung: 60.8 %
• Es gab keine Kontosperrung: 16,2 %
• Kontosperrung hat das Kompromittieren nur verzögert: 16,2 %
• Der Angreifer wurde erkannt: 3,8 %
• Der Angreifer wurde daran gehindert, Authentisierungsangriffe zu starten: 2,3 %
• Legitime Benutzer wurden ausgeschlossen: 0,8 %

Zur gängigen Taktik, um Anmeldeinformationen zu gewinnen, gehört „Bruteforcing“, sprich der automatisierte Vorgang, viele, viele Passwörter pro Konto auszuprobieren. In den Tests, in denen ein Bruteforcing vereinbart wurde, wurde jedoch nur in sieben Prozent aller Fälle der Penetrationstester erkannt, der Authentifizierungsangriff vollständig abgewehrt oder ein Service-Ausfall ausgelöst. Obwohl Kontosperrungen die Eroberung von Zugangsdaten zumindest verlangsamt hätten (um rund 16%), waren sie entweder ineffektiv oder fanden gar nicht statt (77%).

Zwei-Faktor-Authentifizierung notwendig

Eine wirkungsvolle Anmeldekontrolle ist die Zwei-Faktor-Authentifizierung (2FA). Nachdem ein Passwort korrekt eingegeben wurde, wird der Benutzer um eine zusätzliche Information gebeten. Dies ist in der Regel eine kurze Serie von algorithmisch generierten Zahlen, die auf einem gemeinsamen „Geheimnis“ zwischen dem 2FA-Gerät und dem authentifizierenden Computer basieren. Einige Organisationen setzen diese Lösung ein, indem sie Mitarbeitern entweder ein spezielles 2FA-Gerät ausstellen oder auch die persönlichen Smartphones der Mitarbeiter verwenden. Obwohl Zwei-Faktor-Authentifizierung zum Beispiel bei Zahlungsvorgängen inzwischen Standard ist, wird sie immer noch recht selten in Organisationen angewendet. 2FA war nur bei 15% aller Penetrationstest-Aufträgen präsent und wirksam, die restlichen 85% verwendeten diese wirkungsvolle Abwehrstrategie nicht.

Schwachstellen- und Fehlkonfigurationsmanagement

Es ist praktisch unvermeidlich, dass ein erfahrener Penetrationstester mindestens eine Schwachstelle oder Fehlkonfiguration entdeckt und sie zu seinem Vorteil nutzt. Das sollte jedoch nicht dazu führen, dass IT-, Sicherheits- oder Entwicklungsteams den Mut verlieren. Denn es gibt geeignete Strategien, um die Auswirkungen eines erfolgreichen Vorstoßes zu minimieren. Die Hauptwaffe, die bei Penetrationstestern größte Beunruhigung auslöst, ist eine solide Netzwerksegmentierung. Wenn man keine logischen Grenzen zwischen den Netzwerken überschreiten kann, dann kann es äußerst schwierig werden, Workstation-Anmeldeinformationen zu nutzen, um sie zu domänenweiten Administratorrechten zu eskalieren. Selbst wenn ein leistungsstarkes Dienstkonto gehackt wurde, muss der Penetrationstester effektiv wieder mit einem anderen Standbein im Netzwerk beginnen, wenn es keinen Pfad zwischen den Zielen gibt.

Darüber hinaus kann der Grundsatz der geringstmöglichen gegebenen Privilegien dazu beitragen, den Schaden einzudämmen, der durch den Verlust der Kontrolle über dieses Servicekonto entsteht. IT-Administratoren sollten die tatsächlichen Berechtigungs-anforderungen für Dienstkonten überprüfen und ein Berechtigungsschema entwickeln, das dem Dienst gerade genug Berechtigungen zur Erfüllung seiner beabsichtigten Funktion gewährt. Wenn ein bestimmter Produktanbieter darauf besteht, dass seine Software über die Anmeldedaten des Domain-Administrators verfügen muss, lohnt es sich, ein Gespräch mit diesem Anbieter zu führen, um gemeinsam festzustellen, welche Benutzerrechte minimal erforderlich sind. Für Windows-Umgebungen stellt Microsoft Active Directory die Gruppe „Protected Users“ zur Verfügung, um insbesondere vor dem Zwischenspeichern von solchen Anmeldedaten auf lokalen Workstations zu schützen. Mehr zu dieser Strategie steht in dem ausgezeichneten Artikel von Jim Shaver.

Es sollte selbstverständlich sein, in jeder Organisation eine robuste Schwachstellen- und Patch-Management-Lösung einzusetzen. Der Begriff Patch-Management bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen (Updates), beispielsweise um Sicherheitslücken in Softwareanwendungen zu schließen. Ein Patch stopft die Sicherheitslücke, behebt Programmfehler und verhindert so den Erfolg von Malware-Angriffen. Viele Endbenutzersysteme sind heute standardmäßig so konfiguriert, dass sie automatisch nach Software-Patches suchen und diese anwenden, aber einige Organisationen haben versäumt, die gleiche Strategie auch auf geschäftskritische Server anzuwenden. Obwohl eine Patch-Routine für diese Systeme nicht unbedingt automatisiert ablaufen sollte, ist es unerlässlich, dass IT- und Sicherheitsteams zusammenarbeiten, um sicherzustellen, dass Patches so schnell und nahtlos wie möglich verteilt werden. Das Patch- und Schwachstellenmanagement sollte als unvermeidliches, routinemäßiges Verfahren eingesetzt werden.

Sicherheit durch geschulte und sensibilisierte Mitarbeiter

Zu guter Letzt  sollte in jeder Organisation beim Thema Sicherheit eine Kultur des „Etwas-sehen-und-sofort-sagen“ gelebt werden. Das Training von Endbenutzern, um Phishing-Kampagnen, Social Engineering-Operationen und andere relativ einfache Angriffstechniken zu erkennen, trägt wesentlich dazu bei, die Reichweite des Sicherheitsteams zu verbessern. Wenn ein Problem erkannt und gemeldet wird, sollte das Sicherheitsteam darauf bedacht sein, nicht nur das Problem anzugehen und zu mildern, sondern auch es öffentlich und positiv zu kommunizieren, sobald es behoben ist. Wenn die Menschen ermutigt werden, solche Probleme zu melden, werden die dunklen, nicht überwachten Ecken des Netzwerks mehr und mehr schrumpfen.

https://www.rapid7.com/de/

Über den Autor

Tod Beardsley ist Forschungsdirektor bei Rapid7. Er verfügt über mehr als 20 Jahre praktisches Sicherheitswissen und Erfahrung. Er war in IT-Operations und IT-Sicherheitspositionen in großen Organisationen wie 3Com, Dell und Westinghouse tätig. Heute spricht Beardsley oft auf Sicherheits- und Entwicklerkonferenzen.