Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Was sind Password-Mask-Attacks (Maskenangriffe)?
Maskenangriffe (oder Password Mask Attacks oder nur Mask Attacks) sind eine gezielte Brute-Force-Technik, die von Angreifern zum Knacken von Kennwörtern eingesetzt wird. Bei herkömmlichen Brute-Force-Angriffen werden systematisch alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen ausprobiert, um ein Zielpasswort zu erraten. Bei Maskenangriffen besteht das Ziel darin, die Anzahl der zu erratenden Passwörter auf einen überschaubaren Teil der Gesamtmenge zu reduzieren. Angreifer nutzen Informationen über die Gewohnheiten bei der Passwort-Erstellung, wie z. B. gängige Zusammensetzungsmuster, um diese Angriffe zu entwickeln.
In diesem Artikel gehen wir tiefer darauf ein, wie Angreifer Hashes, die bei Datendumps gefunden wurden, für Maskenangriffe verwenden. Außerdem wird eine Lösung zur Erhöhung der Kennwortkomplexität für Active Directory vorgeschlagen, um die Schwierigkeit des Brute-Forcing von Kennwörtern zu erhöhen.
Was versteht man unter dem Knacken von Kennwörtern?
Vom Konzept her kann man sich das Knacken von Kennwörtern so vorstellen, dass man versucht, das verwendete Kennwort zu erraten. Es gibt keine “Umkehrung” eines Hashes, ein Hash-Algorithmus ist eine Einbahnstraße. Wenn Sie sich bei einer Anwendung anmelden, die Passwort-Hashing verwendet, hat der Dienstanbieter einen Hash, den er unter Verwendung eines Hash-Algorithmus (z. B. Hashfunktionen wie: Argon2, bcrypt, MD5) speichert, sowie in der Regel ein Salt (Salt ist ein Zufallswert der noch vor dem Hashing eingespielt wird, um die Entropie und somit die Entschlüsselung zu erschweren).
Wenn Sie Erfahrung mit Red-Team-Übungen oder Active-Directory-Kennwort-Audits haben, hatten Sie in der Vergangenheit vielleicht schon mit Kennwort-Dumps zu tun, z. B. LSASS- oder NTDS.DST/SYSTEM-Dumps. Häufig versuchen Angreifer oder Sicherheitsexperten, Anmeldeinformationen von einem Computer abzurufen. Diese Zugangsdaten liegen in Form von NTLM-Hashes im Falle einer modernen Windows-Umgebung oder SHA-512 im Falle von Linux/Unix-Umgebungen vor. Man kann versuchen, diese Hashes zu knacken, um das daraus resultierende Kennwort zu bewerten oder zu verwenden, entweder um die Wirksamkeit eines sicheren Kennworttrainings zu beurteilen oder um das Kennwort zu verwenden, um zu anderen Systemen/Konten in der fraglichen Umgebung zu wechseln.
Passwortknacken mit Maskenangriffen
Es gibt mehrere Methoden, die zum Knacken eines bestimmten Hashwerts verwendet werden. Würde ein Angreifer einfach versuchen, alle möglichen Passwörter für eine bestimmte Länge mit roher Gewalt zu erraten, käme er selbst mit moderner Ausrüstung schnell an einen unhaltbaren Zeitplan. Maskenangriffe können als gezielte Brute-Force-Angriffe angesehen werden. Anstatt alle Möglichkeiten im Problemraum anzugreifen, kann man die Möglichkeiten auf bestimmte Muster dieser Zeichen eingrenzen, wodurch es einfacher wird, gültige Treffer zu erzielen und mit der Iteration der Daten zu beginnen. Mit Hilfe von Maskenangriffen können sie eine Teilmenge von Kennwortlängen und -formaten angreifen. Eine gängige Technik besteht darin, mit der kleinsten Problemmenge (kürzere Kennwörter) zu beginnen und sich dann zur größten hochzuarbeiten (bei längeren Kennwörtern steigt die Zeit zum Knacken exponentiell an).
Letztendlich muss ein Angreifer nicht jedes Kennwort in dem Datensatz knacken, den er erworben hat und der die Informationen eines Unternehmens enthält, oder Kennwörter, die auf Domänenbenutzer zurückgeführt werden können, um sie möglicherweise wieder zu verwenden. Der Angreifer muss lediglich genügend Passwörter knacken, um sich einen ersten Überblick zu verschaffen, sich umzuorientieren und seinen Angriff fortzusetzen: MITRE ATT&CK.
Absicherung von Passwörtern gegen Maskenangriffe
Maskenangriffe zeigen, was ein relativ ungeschickter Angreifer mit öffentlich zugänglichen Informationsfetzen aus Datenlecks anrichten kann, wenn die Passwörter nicht stark genug sind und die Benutzer Passwörter über Accounts hinweg wiederverwenden. Durch die Verwendung längerer und stärkerer Passwortrichtlinien, die von Specops Password Policy gesteuert werden, und vorzugsweise in Kombination mit einer Lösung zum Schutz vor kompromittierten Passwörtern, wie z.B. der optionalen Specops Breached Password Protection Funktion, können Unternehmen ihre Angriffsfläche reduzieren. Die Breached-Password-Protection-Lösung wird täglich aktualisiert und enthält mehr als 4 Milliarden angreifbare Passwörter, darunter die HaveIbeenPwned-Liste, die neuesten Collection-Listen sowie Tausende anderer bekannter Leak-Listen, die von Regulierungsbehörden empfohlen werden. Mit dieser Lösung kann man effektiv erste Schritte in Richtung starken Passwörtern und mehr Sicherheit unternehmen.
(Zuletzt aktualisiert am 13/10/2023)