Warum mein Dating-Profil ein Unternehmensrisiko ist

In die Öffentlichkeit gelangte Passwort-Datenbanken sind nicht nur für betroffene Nutzer ein Problem sondern stellen oftmals auch ein unterschätztes Unternehmensrisiko dar.

In den vergangenen Jahren kamen immer wieder Benutzerdaten verschiedener Anbieter von Online-Diensten in die Hände von unautorisierten Dritten und landeten dann auf Verkaufsportalen im Darknet. Meist dauerte es wenige Jahre, bis diese sogenannten Leaks  dann die Öffentlichkeit erreichten. Am bekanntesten im europäischen Raum sind:

  • der LinkedIn-Leak (2016, Zugangsdaten von 2012 [2])
  • Adobe (2013, [3])
  • Myspace (2016, Zugangsdaten von um 2008 [4]).

Eine Übersicht aller öffentlich bekannten Leaks findet sich auf haveibeenpwned . Dort kann man auch direkt selbst prüfen, ob man betroffen ist. Durch etwas Recherche war es uns möglich, einen Großteil der bekannten Leaks herunterzuladen und zu analysieren. Für eine übersichtlichere Verwaltung werden die Zugangsdaten in einer zentralen Elasticsearch-Datenbank gesammelt. Insgesamt konnten wir bisher, nur unter Berücksichtigung der bedeutendsten Leaks ,

2.172.324.058 Zugangsdaten

indizieren. Tendenz: täglich wachsend. Die Sammlung teilt sich auf in:

 

Die Angreifer-Perspektive

Davon abgesehen, dass durch derartige Leaks oftmals persönlich kompromittierende Daten an die Öffentlichkeit gelangen (Beispiel: Ashley Madison), stellt sich die Frage nach den direkt und indirekt entstehenden Gefahren. Gelangt ein Angreifer in den Besitz von Zugangsdaten, in den meisten Fällen Mail-Adresse und Passwort (im Klartext oder in gehashter Form), sind die nächsten Schritte:

Kann der Passwort-Hash gebrochen werden?

Falls das Passwort noch nicht im Klartext vorhanden ist, möchte man den Passwort-Hash brechen. Da eine Invertierung der verwendeten kryptografischen Hash-Funktion bei halbwegs modernen Hash-Funktionen praktisch unmöglich ist, versucht man die Invertierung der einzelnen Hash-Instanz, also des gegebenen Passwort-Hashes. Gängige Techniken hierbei sind stupides ausprobieren aller möglichen Kombinationen (Brute-Force) oder die Suche bekannter oder gängiger Passwörter mittels Wordlists. Dabei werden die auszuprobierenden Werte gehasht, und anschließend mit dem gegebenen Passwort-Hash verglichen. Die Geschwindigkeit dieses Vorgangs wird von der  verwendeten Hash-Funktion und der zur Verfügung stehenden Hardware bestimmt.

Benchmarks der zwei am weitesten verbreiteten Hash-Funktionen, die als veraltet gelten, sowie der modernen BCRYPT-Funktion mittels einer Nvidia GeForce GTX 1080 Ti finden sich auf „Wieso sich die TO einen Gaming-PC kaufte“.

Bei Leaks, die auch Passwort-Hinweise beinhalten, lässt sich zudem in vielen Fällen vom Hinweis direkt auf das Passwort schließen [1] oder der Suchraum deutlich einschränken. Der folgende Auszug der beliebtesten Hinweise des Adobe-Leaks verdeutlicht dies:

Adobe: Häufigste Passwort-Hinweise

Passwort-Mehrfachverwendung: Wird das Passwort auch bei anderen Diensten verwendet?

Oftmals verwenden Nutzer identische Passwörter bei verschiedenen Diensten. Stichproben offenbarten zudem, dass diese Passwörter sich über Jahre nicht geändert haben. So wurde beispielsweise ein Benutzer mit dem Passwort aus dem Myspace-Leak im Linkedin-Leak wiedergefunden. Da wir die Zugangsdaten in einer Datenbank lagern und dieses Phänomen geradezu nach einer empirischen Analyse schreit, haben wir uns Gedanken gemacht,  Benutzern die Verwendung des gleichen Passworts nachzuweisen.

Die Rahmenbedingungen:

  • Combo-Listen, die Zugangsdaten aus anderen Leaks sammeln, werden nicht als Kandidaten für Wiederverwendung berücksichtigt
  • Da ein Großteil der verwendeten Hashes noch nicht gecrackt ist, können bisher nur Leaks mit gleichen Hash-Funktionen oder Klartext-Leaks miteinander verglichen werden, da man Hashes unterschiedlichen Typs nicht ansehen kann, ob sich ein identisches Passwort dahinter verbirgt

Bei einer Stichprobe mit 100.000 Zugangsdaten konnte bei 9,459% der Nutzer, die von mehreren Leaks betroffen sind, Passwort-Wiederverwendung nachgewiesen werden. Die durchschnittliche Anzahl der Wiederverwendungen dieser Nutzer liegt dabei bei 1,328 Diensten. Da hierbei nur Vergleiche der Hashes und Klartextpasswörter stattfinden, handelt es sich um eine äußerst pessimistische Abschätzung.

Eine genauere Betrachtung, bei der Passwort-Hashes vor dem Vergleich gecrackt wurden findet sich in [8].

Mehrfachverwendung, zweiter Akt: Unternehmensdienste

In Zeiten von Erpressung durch Ransomware und Wirtschaftsspionage ist es aus Angreifer-Perspektive finanziell oft reizvoll, die erworbenen Zugangsdaten für Zugriffe auf Unternehmens-Infrastrukturen zu verwenden. Oftmals steckt die Domain des Unternehmens schon in der Mail-Adresse und es ist daher ein leichtes, Unternehmen gezielt anzugreifen. Hierbei wird versucht, mit den bekannten Zugangsdaten Zugriff auf Unternehmensdienste wie E-Mail oder VPN zu bekommen und darauf aufbauend weiter in das Unternehmensnetzwerk vorzudringen.

Es kommt überraschend häufig vor, dass sich Mitarbeiter mit ihrer geschäftlichen Mail-Adresse bei privat genutzten Diensten wie beispielsweise Dating-Portalen registrieren.

Fazit

Keine Frage: Jeder Besitzer eines Kontos bei einem Online-Dienst kann von einem Passwort-Leak betroffen sein und ist es mit großer Wahrscheinlichkeit auch bereits. Nun geht es also hauptsächlich um Schadensbegrenzung und darum, schwerwiegende Fehler in Zukunft zu vermeiden und die eigenen Konten weiter abzusichern.
Eine Überprüfung, ob die eigene(n) Mail-Adresse(n) von einem Leak betroffen ist, kann auf https://haveibeenpwned.com/ durchgeführt werden. Der Dienst bietet zudem Benachrichtigungen im Falle eines neuen Leaks an. Ist die Mail-Adresse hier bekannt, ist davon auszugehen, dass das Passwort des betroffenen Dienstes öffentlich bekannt ist.

Aus den oben beschriebenen Punkten der Angreifer-Perspektive lassen sich folgende Maßnahmen zum Schutz ableiten:

Passwortstärke

Kennwörter werden mit steigender Länge und Komplexität schwerer zu brechen. Schützend ist also, komplexere und vor allem längere Passwörter zu verwenden, was der folgende xkcd-Comic anschaulich illustriert:

xkcd: Passwörter

Seitens der Anbieter ist es enorm wichtig, moderne Hash-Funktionen zu verwenden, um mittelmäßige Passwörter zu schützen. Weitere Informationen zum Thema Passwörter finden sich in den Beiträgen unter „Verwandte Beiträge“ (s.u.).

Unterschiedliche Passwörter für Dienste

Da sich niemand eine Vielzahl von langen und komplexen Passwörtern merken kann, bietet sich die Verwendung eines Passwort-Managers an. Dieser speichert die verschiedenen Passwörter an einem zentralen Punkt, lokal oder Cloud-basiert, und fügt diese mit Hilfe der Autotype-Funktion bei Anmeldungen automatisch in das Login-Formular ein. Wenn ein Dienst gehackt und ein solches Passwort gebrochen wird, kann es nicht für ein Login bei anderen Diensten verwendet werden.

Leider konnte in der Vergangenheit bei einigen Passwort-Managern eingebrochen werden (LastPass [6], OneLogin [5]).

Ein weiteres Argument für die Verwendung unterschiedlicher Passwörter im Hinblick auf die Privatsphäre von Pseudonym-Accounts ergibt sich aus [7]. Speziell gute (und damit höchst wahrscheinlich einmalige) Passwörter lassen bei Mehrfachverwendung den Verdacht wachsen, dass es sich bei den Account-Eigentümern um die gleiche Person handeln könnte.

Erweiterung der Authentifizierung durch einen zweiten Faktor (muss durch Anbieter unterstützt werden)

Eine weitere Möglichkeit zur Absicherung eines Kontos ist die Verwendung eines zweiten Faktors für den Login. Hierbei handelt es sich meist um biometrische Informationen (z.B. Fingerabdruck) oder den Besitz eines Gegenstandes (z.B. Token). Beim Login-Vorgang wird diese Information neben dem Passwort abgefragt. Das Passwort kann also öffentlich bekannt sein, ein Angreifer erhält aber trotzdem keinen Zugriff auf das Konto, da er in den meisten Fällen nicht im Besitz dieses zweiten Faktors ist. Auch mit gestohlenen, korrekten Zugangsdaten wird so ein unautorisierter Zugriff verhindert.

Eine Übersicht von Anbietern, die eine Zwei-Faktor-Authentifizierung unterstützen findet sich auf https://twofactorauth.org/.

Quellen

[1] https://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/
[2] https://techcrunch.com/2016/05/18/117-million-linkedin-emails-and-passwords-from-a-2012-hack-just-got-posted-online/
[3] https://www.theguardian.com/technology/2013/nov/07/adobe-password-leak-can-check
[4] https://www.troyhunt.com/dating-the-ginormous-myspace-breach/
[5] https://krebsonsecurity.com/2017/06/onelogin-breach-exposed-ability-to-decrypt-data/
[6] http://lifehacker.com/lastpass-hacked-time-to-change-your-master-password-1711463571
[7] Heen, Olivier, and Christoph Neumann. „On the Privacy Impacts of Publicly Leaked Password Databases.“ International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. Springer, Cham, 2017.
[8] http://mykayem.org/pdfs/Jaeger2016.pdf

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *