Die meisten von uns wissen, welche Sicherheitsregeln sie online beherzigen sollten. Trotzdem halten sie sich nicht immer konsequent daran, sodass Wörterbuchangriffe leichtes Spiel haben. Obwohl jeder weiß, wie wichtig es ist, seine Online-Konten zu schützen, werden selbst simple Richtlinien wie die Verwendung sicherer Passwörter außer acht gelassen. Tatsächlich hat eine Studie von Google ergeben, dass schätzungsweise 65 % der Menschen dasselbe Passwort für mehrere Konten verwenden. Darüber hinaus flechten 59 % der Nutzer persönliche Angaben in ihre Passwörter ein, die leicht zu erraten oder herauszufinden sind, wie z. B. den Namen des Haustiers und Geburtsdaten.
Und auch sonst verwenden viele Menschen einfache, offensichtliche Passwörter, die sehr leicht zu knacken sind. Studien haben gezeigt, dass Tastatureingaben wie „123456“ und „qwerty“ oder Phrasen wie „Passwort“, „ichliebedich“ und „Wilkommen“ zu den am häufigsten verwendeten gehören und regelmäßig in Datenlecks auftauchen.
Daraus lässt sich folgern, dass diese Angriffe sehr häufig vorkommen und überaus erfolgreich verlaufen – schlicht und einfach weil die Leute Wörterbuchangriffe nicht ernst genug nehmen.
Wörterbuchangriffe: Definition
In seiner einfachsten Form ist ein Wörterbuchangriff eine Art Brute-Force-Angriff, also ein plumper Angriff, bei dem Hacker versuchen, das Passwort eines Benutzers für dessen Online-Konten zu erraten, indem sie in schneller Folge eine Liste häufig verwendeter Wörter, Sätze und Zahlenkombinationen durchgehen. Sobald ein Hacker das Passwort mithilfe eines Wörterbuchangriffs geknackt hat, kann er damit auf Dinge wie Bankkonten, Profile in sozialen Medien und sogar auf passwortgeschützte Dateien zugreifen. Und spätestens an diesem Punkt haben die Opfer ein echtes Problem.
Wie funktioniert ein Wörterbuchangriff?
Bei dieser Form des Hackerangriffs wird versucht, Passwörter systematisch zu knacken. Ein erfolgreicher Hack besteht im Wesentlichen aus drei Schritten, und wer sie kennt, kann auch einschätzen, wie sich ein Wörterbuchangriff verhindern lässt.
- In der Regel erstellt der Angreifer eine vordefinierte Liste potenzieller Passwörter – ein Brute-Force-Wörterbuch – aus unterschiedlichen Kombinationen beliebter Wörtern und Zahlen.
- Über eine Software werden diese Begriffe automatisch in Online-Konten eingetragen, bis man zufällig auf das richtige Passwort stößt.
- Sobald der Hacker auf diese Weise in ein unzureichend geschütztes Konto eingedrungen ist, kann er alle darin gespeicherten vertraulichen Daten für seine eigenen Zwecke missbrauchen. Er könnte sie zum Beispiel für eigene Betrügereien nutzen, um anderen Schaden zuzufügen, oder einfach nur auf Konten zugreifen, um an das Geld zu kommen.
Bei der Zusammenstellung der Passwortlisten verwenden Angreifer häufig gängige Haustiernamen oder bekannte Persönlichkeiten wie Popstars, beliebte Sportclubs oder Topathleten. Denn viele Menschen nutzen solche Begriffe für ihre Passwörter, weil sie einen persönlichen Bezug dazu haben und sich diese Passwörter besser merken können. Listen von Cyberkriminellen enthalten in der Regel zahlreiche Varianten eines einzelnen Begriffs, z B. verschiedene Kombinationen von Wörtern oder hinzugefügte Sonderzeichen.
Dass eine solche Liste mithilfe automatisierter Tools abgearbeitet werden kann, macht es den Hackern leicht und erhöht die Erfolgschancen. Die Angreifer können lange Listen sehr schnell durchgehen und das Passwort ist im Handumdrehen geknackt. Eine manuelle Eingabe würde demgegenüber sehr viel länger dauern und der Kontoinhaber – oder Systemadministrator – hätte genügend Zeit zu reagieren und Abwehrmaßnahmen einzuleiten.
Aufgrund ihrer Funktionsweise haben diese Wörterbuchangriffe oft kein individuelles Ziel. Sie werden eher in der Hoffnung durchgeführt, irgendwann mit einem der Passwörter auf der Liste einen Treffer zu landen. Angreifer, die es auf einen bestimmten Ort oder eine bestimmte Organisation abgesehen haben, gehen auch bei der Listenerstellung sehr viel konkreter vor. Wenn der Angriff beispielsweise in Spanien erfolgen soll, nutzen sie gängige spanische Wörter statt englische. Oder, wenn sie ein bestimmtes Unternehmen ins Visier genommen haben, könnten sie Wörter verwenden, die mit diesem Unternehmen in Zusammenhang stehen.
Wörterbuch- vs. Brute-Force-Angriff: Worin besteht der Unterschied?
Obwohl es sich beim Wörterbuch-Hacking um eine Art von Brute-Force-Angriff handelt, gibt es einen entscheidenden Unterschied zwischen den beiden. Bei Wörterbuchangriffen wird mithilfe einer zuvor erstellten Liste von Begriffen systematisch versucht, Kontopasswörter zu knacken, während bei Brute-Force-Hacks einfach eine zufällige Kombination von Buchstaben, Symbolen und Zahlen abgearbeitet wird, die zur Erstellung eines Passworts verwendet werden könnte. So gesehen sind Wörterbuchangriffe in der Regel effizienter und bieten bessere Erfolgsaussichten, weil wesentlich weniger Kombinationen ausprobiert werden müssen.
Mit 26 Buchstaben des Alphabets und 10 einstelligen Zahlen – insgesamt 36 Zeichen – ist die schiere Anzahl der möglichen Kombinationen, die ein Brute-Force-Angriff durchlaufen muss, schon fast zu groß, um erfolgreich zu sein. So muss ein Brute Force-Angriff für ein 10-stelliges Passwort 3,76 Quadrillionen alphanumerische Kombinationen durchprobieren.
Der Vorteil von Brute-Force-Angriffen besteht demgegenüber darin, dass sie mit ihrer Trial-and-Error-Methode eher in der Lage sind, schwierige und eindeutige Passwörter zu knacken. Da bei diesen Angriffen eine so umfangreiche Liste möglicher Passwörter durchlaufen wird, ist die Wahrscheinlichkeit höher, dass irgendwann die richtige Zeichenkombination dabei ist.
So verhindern Sie einen Wörterbuchangriff
Zu wissen, was ein Wörterbuchangriff ist und wie er funktioniert, ist schon einmal der erste Schritt. Wer sich aber sich ernsthaft vor Wörterbuchangriffen schützen möchte, sollte die folgenden Tipps beherzigen:
- Benutzen Sie gar keine Passwörter: Die einfachste und sicherste Methode, Wörterbuch-Hacking zu vermeiden, besteht darin, komplett auf Passwörter zu verzichten. Stattdessen sollten Sie, wann immer möglich, Authentifizierungslösungen und biometrische Anmeldungen ohne Passwort verwenden, um Ihre Konten zu schützen.
- Verwenden Sie zufällig ausgewählte Passwörter: Ihre Passwörter sollten grundsätzlich keine persönlichen Daten wie Ihr Geburtsdatum, den Namen Ihres Haustiers oder andere leicht zu erratende Informationen enthalten. Ein Passwort-Manager kann Sie bei der Erstellung, Speicherung und Eingabe von Passwörtern in einem sicheren Format unterstützen.
- Meiden Sie Offensichtliches: Überraschenderweise verwenden viele Menschen einfache, leicht zu knackende Wort- und Zahlenkombinationen als Passwörter, wie „Password123“ oder „abcd1234“. Diese sind besonders anfällig für Hacking, da gerade Wörterbuchangriffe speziell auf solche leicht zu erratenden Passwörter ausgelegt sind.
- Wählen Sie Passphrasen: Anstelle einer Wort- und Zahlenkombination für Ihr Passwort empfiehlt es sich, vollständige Sätze für den Zugriff auf Konten zu bilden. Diese sind viel schwieriger zu erraten, aber oft leicht zu merken. Ein Fußballfan könnte zum Beispiel den Satz „Ich möchte Torwart bei Bayern München werden“ verwenden. Um die Passphrase noch sicherer zu machen, fügen Sie zufällige Zahlen, Zeichen und Großbuchstaben hinzu und erhalten so etwas wie: !chm03cht3!T0rw@rtb3iB@yernMU3NCHENw3rd3n!
- Aktivieren Sie die Zwei-Faktor-Authentifizierung: Richten Sie Konten so ein, dass für die Anmeldung mindestens zwei Authentifizierungsmethoden zur Anwendung kommen. Zum Beispiel ein Passwort, ein von einer Authentifizierungs-App generiertes Einmalpasswort und ein Fingerabdruck.
- Versuchen Sie es mit einer Authentifizierungs-App: Nutzen Sie, wo immer möglich, Authentifizierungsprogramme anstelle von oder in Kombination mit einem Passwort. Viele dieser Apps lassen sich einfach auf ein Mobiltelefon herunterladen und mit einem bestimmten Konto verknüpfen und bieten dann zufällig generierte Einmalpasswörter für jeden Anmeldeversuch.
- Begrenzen Sie die Zahl der Anmeldeversuche: Manche Webseiten und Apps lassen nur eine begrenzte Zahl von Anmeldeversuchen innerhalb eines bestimmten Zeitraums zu. Wenn diese Option besteht, sollten Sie sie für jedes Konto aktivieren, um Wöterbuch-Hacks zu unterbinden.
- Aktivieren Sie obligatorische Resets: Bei Wörterbuchangriffen werden oft mehrere Versuche unternommen, um ein Passwort zu knacken. Sie können die Erfolgsaussichten eines solchen Angriffs senken, indem Sie Ihr Konto so einrichten, dass nach einer bestimmten Anzahl von Fehlversuchen das Passwort zurückgesetzt werden muss. Besteht diese automatisierte Option an Ihren Konten nicht, können Sie prüfen, ob Ihr Online-Konto Sie eventuell per E-Mail informieren kann, wenn ein fehlgeschlagener Anmeldeversuch unternommen wurde. Wenn Sie dann die Nachricht erhalten, dass jemand versucht, sich Zugang zu einem Konto zu verschaffen, insbesondere wenn es mehrere dieser Benachrichtigungen kurz hintereinander gibt, können Sie Ihr Passwort ändern, um es zu schützen.
- Vermeiden Sie die Verwendung bestimmter Wörter: Wenn Sie bei all Ihren Passwörtern gängige Begriffe meiden, bietet dies einen zusätzlichen Schutz für Ihr Konto.
Lassen sich Wörterbuchangriffe durch einen Passwort-Manager verhindern?
Passwort-Manager sind eine gute Methode, um Ihre Kontodaten sicher zu verwalten und die Wahrscheinlichkeit eines Wörterbuch-Hacks zu minimieren. Apps wie der Kaspersky Password Manager bieten eine Reihe von Vorteilen, die zur Sicherheit Ihres Passwortschutzes beitragen können. Hier einige der Gründe, die für den Einsatz eines solchen Systems sprechen:
- Nur ein einziges Passwort: Mit einem Passwort-Manager müssen Sie sich nur ein Master-Passwort merken, um sich bei Ihrem Konto anzumelden und all Ihre anderen Logins für die einzelnen Konten zu verwalten.
- Starke, zufällig generierte Passwörter: Die meisten dieser Programme bieten eine Möglichkeit zur Erstellung sehr sicherer, zufällig generierter Passwörter. Diese schützen vor Wörterbuchangriffen, da sie keine gängigen Wörter oder Phrasen enthalten. Aber natürlich könnte ein Brute-Force-Angriff trotzdem erfolgreich sein.
- Einfacher Kontozugang: Passwort-Manager bieten oft die Möglichkeit, Anmeldedaten für jedes einzelne Konto sicher zu speichern und diese Daten dann bei jedem Anmeldevorgang auf einer Webseite, einem Konto oder einer App automatisch in die entsprechende Maske einzutragen.
- Sichere Passwortweitergabe: Wenn die Passwörter von Konten weitergegeben werden müssen, zum Beispiel an Freunde, Angehörige oder Kollegen, kann der Nutzer dies mithilfe eines Passwort-Managers sicher tun und gleichzeitig den Zugriff steuern.
- Sicherer Speicher: Viele Passwort-Manager bieten inzwischen auch die Möglichkeit, persönliche Dokumente, Krankenakten und Fotos in einem verschlüsselten Format zu speichern, so dass alle vertraulichen Daten geschützt bleiben.
So vereiteln Sie Wörterbuchangriffe
Wörterbuchangriffe sind eine sehr verbreitete Form der Cyberkriminalität, bei der sich Hacker Zugang zu den persönlichen Konten einer Person, seien es Bankkonten, Social Media-Profile oder E-Mails, verschaffen. Ein solcher Zugang verschafft Hackern eine Vielzahl von Möglichkeiten, von Finanzbetrug und diffamierenden Posts in sozialen Medien bis hin zu weiteren Cyberverbrechen wie Phishing. Man kann sich allerdings sehr leicht vor solchen Angriffen schützen, indem man bestimmte Sicherheitsmaßnahmen ergreift, um das Risiko eines Wörterbuchangriffs zu minimieren. Eine kluge Passwortverwaltung, die Aktivierung verschiedener Authentifizierungsarten sowie ein benutzerfreundlicher Passwort-Manager können dazu beitragen, dass Passwörter und Konten sicher bleiben.
Im Jahr 2021 erhielt Kaspersky Endpoint Security drei AV-TEST-Auszeichnungen für die beste Leistung, den besten Schutz und ein Höchstmaß an Benutzerfreundlichkeit für ein Endpoint Security-Produkt für Unternehmen. In allen Tests konnte Kaspersky Endpoint Security in puncto Leistung, Schutz und Benutzerfreundlichkeit für Unternehmen überzeugen.
Verwandte Artikel und Links:
- Die wichtigsten Tipps zur Cyberhygiene, mit denen Sie sich online schützen
- Tipps zum Generieren sicherer und einzigartiger Passwörter
- Wie man seine Daten online mit einem Passwort-Manager schützt
Verwandte Produkte und Services: