Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt
Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben.
Im Zuge einer Prüfung konnte ein Sicherheitsbeauftragter 21 Prozent der ihm überlassenen Passwort-Hashes von Mitarbeitern des US-Innenministeriums knacken. Darunter auch welche von leitenden Angestellten.
Dem Ergebnis der Studie zufolge könnten Angreifer eine ähnliche Erfolgsquote aufweisen. Außerdem komme Multi-Faktor-Authentifizierung (MFA) nicht konsequent zum Einsatz. Wird MFA genutzt, reicht einem Angreifer ein geknacktes Passwort zum Einloggen nicht aus und er müsste zusätzlich einen Einmalcode kennen, den ein Opfer etwa über eine Authenticator-App auf einem Smartphone erzeugt.
Versuchsaufbau
Um die Hashes der Passwörter zu knacken, hat der Prüfer eigenen Angaben zufolge Hardware im Wert von rund 15.000 US-Dollar bestehend aus zwei Rigs mit 16 GPUs benutzt. Weitere Informationen zum Ablauf findet man im ausführlichen Report.
Liegen Passwörter im Klartext vor, haben Angreifer leichtes Spiel. Um Passwörter sicherer zu speichern, kommen verschiedene Hash-Verfahren zum Einsatz und aus dem Klartext-Passwort Password-1234 wird A71FB31235347EA75956B6155ED36899. Eine direkte Umkehrung ist nicht möglich. Welcher Hash-Algorithmus in diesem Fall zum Einsatz kam, ist derzeit nicht bekannt.
Um die Hashes zu knacken, fütterte der Prüfer seine Crack-Maschinen unter anderem mit Einträgen aus Wörterbüchern und Passwort-Listen aus Datenleaks. Die Einträge wurden in Hashes gewandelt und mit den Hashes der Passwörter des US-Innenministeriums verglichen. Ein Treffer ist mit einem geknackten Passwort gleichzusetzen.
Erfolgsquote
Insgesamt standen dem Prüfer 85.944 Passwort-Hashes zur Verfügung. Bereits nach 90 Minuten hat er eigenen Angaben zufolge 16 Prozent davon geknackt. Insgesamt liegt die Erfolgsquote bei 21 Prozent (18,174 Kennwörter). 288 der geknackten Accounts sollen weitreichende Nutzerrechte aufweisen und 362 sollen zu leitenden Regierungsangestellten gehören.
Außerdem kam bei der Prüfung raus, dass 89 Prozent von kritischen Regierungssystemen in dieser Einrichtung keine MFA eingesetzt haben. Demzufolge liegt Angreifern ein Stein weniger im Weg, wenn sie in Systeme eindringen wollen.
Schwache Passwörter
Am häufigsten kamen die vergleichsweise leicht zu erratenen Kennwörter Password-1234 (478 mal), Br0nc0$2012 (389 mal) und Password123$ (318 mal) zum Einsatz. Problematisch ist, dass diese Passwörter mit den Kennwort-Vorgaben des Ministeriums konform gehen. Das zeigt einmal mehr, dass solche Regeln oft nicht zielführend sind.
Lesen Sie auch
Passwortsicherheit – Alles, was Sie wissen müssen
(des)