Ohne Gewalt
Anwender lieben es einfach -- Cracker auch. Mit erstaunlich geringem Aufwand ist es letzteren möglich, Zugang zu fremden eBay-Accounts zu erlangen. Denn es finden sich immer ein paar mit schwachen Passwörtern.
- Holger Heimann
Administratoren dürften immer wieder an "luschigen" weil halt einprägsamen Passwörtern ihrer Schäfchen verzweifeln: Wer interessiert sich denn bitte ausgerechnet für meinen eBay-Account? Ich hab da doch gar nichts Geheimnisvolles gespeichert, dürfte eine Standard-Meinung zum Thema lauten. Das ist so lange richtig, wie die Intention des Angreifers tatsächlich darin besteht, einen einzelnen, zuvor ausgewählten Account zu knacken. Wenn es aber nur darum geht, Zugriff zu irgendeinem Account zu bekommen, etwa um unter falscher Flagge bei eBay zu betrügen, dann ist das leider erschreckend einfach möglich.
Wie das funktioniert, sei im Folgenden dargelegt und selbstverständlich, wie der Einzelne sich dagegen schützen kann. Bei Online-Dienstleistern wie Amazon, eBay und vielen anderen ist in der Regel eine vorherige Anmeldung erforderlich. Neben dem Benutzernamen muss der Anwender noch ein Passwort eingeben: Fertig ist das Nutzerkonto. Um das Konto vor unautorisierten Zugriffen zu schützen, sollte das Passwort zum einen geheim bleiben und zum anderen nicht leicht zu erraten sein. Doch obwohl Passwort-Angriffe eigentlich ein alter Hut sind, stellen viele Anbieter keine besonderen Komplexitätsanforderungen an Passwörter. Einige erlauben sogar Passwörter, die genau so lauten wie der Benutzername. Sonderzeichen, Großbuchstaben oder Zahlen im Kennwort, die das Erraten schwerer machen, sind selten Pflicht. Der Angreifer hat hier meist leichtes Spiel.
Theorie ...
Die klassische Methode, um Passwörter zu knacken, sind so genannte Brute-Force-Angriffe. Dabei probiert ein Angreifer systematisch alle möglichen Buchstaben-, Zahlen- und Sonderzeichenkombinationen eines Passworts durch. Mit jeder möglichen Zeichenkombination unternimmt er einen Login-Versuch. Gelingt der, ist das Passwort erraten. Das größte Hindernis hierbei ist die riesige Anzahl von Kombinationsmöglichkeiten der Passwortzeichen.
Probiert man nur 26 Kleinbuchstaben für das Passwort, so ergeben sich bei sechs Zeichen schon 309 Millionen verschiedene Kombinationen. Mit Groß- und Kleinbuchstaben, Ziffern und acht Sonderzeichen kommt man auf einen Zeichenvorrat von 70 Zeichen, was bei einer Passwortlänge von sechs Stellen rund 118 Milliarden verschiedene Kombinationen ergibt. Schafft man es, pro Sekunde zehn Passwörter auszuprobieren, nimmt das Durchprobieren aller Möglichkeiten 373 Jahre in Anspruch.
... und Praxis
Leider neigt der Mensch dazu - wenn man ihn nur lässt - sich eben nicht völlig kryptische Passwörter aus wirren Zeichenkombinationen auszudenken, sondern einfach normale Wörter wie Hawaii oder Hasso zu benutzen - ohne Sonderzeichen oder Zahlen. Hier setzen so genannte Dictionary- oder Wörterbuch-Angriffe an. Anstatt alle möglichen Zeichenkombinationen durchzuprobieren, nimmt man nur Begriffe aus Wörterbüchern und Verzeichnissen. Entsprechende Listen umfassen zwischen wenigen Tausend bis zu rund 200 000 Wörtern, womit es sich für den Angreifer schon leichter rechnet: Selbst bei 200 000 Wörtern wäre er in oben genanntem Beispiel so in unter sechs Stunden mit dem Probieren durch.
Wenn der Anwender so triviale Wörter mit Sonderzeichen, Zahlen und Kombinationen aus Groß- und Kleinbuchstaben kombiniert, erhöht er die Möglichkeiten deutlich. Doch meist wird nur ein Sonderzeichen oder eine Zahl vorangestellt oder hinten angehängt, Silben werden vertauscht oder die Wörter rückwärts buchstabiert. Und darauf haben sich die Cracker längst eingestellt: Programme wie John the Ripper oder crack sind in der Lage, solche Variationsmuster nachzubilden und aus einfachen Wortlisten die entsprechenden Permutationen zu generieren.
Abwehr
Um Brute-Force- und Dictionary-Angriffe zu erschweren, verhindert der Server nach einer bestimmten Anzahl von Fehlversuchen weitere Login-Versuche. Dazu sperrt er den betreffenden Account oder blockiert neue Logins für eine bestimmte Zeit. Das Sperren ist für Diensteanbieter und Nutzer gleichermaßen lästig, ermöglicht es doch jedermann, den Account eines anderen durch Fehleingaben stillzulegen. Das führt zu Unmut beim Kunden und Arbeit am Helpdesk des Anbieters. Das Verhindern eines erneuten Einloggens nach drei Fehlversuchen für einige Minuten ist im Allgemeinen für beide Seiten tragbar und verlängert automatisierte Angriffe bereits so sehr, dass sie undurchführbar werden. Allerdings gibt es auch hier die Möglichkeit für einen Dritten, diese Ausschlusszeit durch ständige Fehlversuche permanent zu verlängern und den Account unbenutzbar zu machen.
