Online-Passwortangriffe
Netzwerkdienste authentifizieren ihre Benutzer meist mittels eines Benutzernamens und des zugehörigen Passworts. Sofern uns die Existenz eines Benutzers bekannt ist, können wir durch mehrfache Anmeldeversuche probieren, sein Passwort zu erraten.
Hierbei hängt der Erfolg unseres Angriffs von mehreren Faktoren ab. Im Allgemeinen gilt natürlich: Je größer die Bandbreite und je niedriger die Latenz, desto mehr Anfragen können in einem festen Zeitraum an einen Dienst gestellt werden. Intelligente Dienste wie ssh erschweren jedoch einen automatisierten Prozess, indem sie beispielsweise nach dreimaliger Falscheingabe des Passworts die TCP-Verbindung zurücksetzen. Zudem können Netzwerkdienste Accountsperrungen vornehmen. Dies verdeutlicht, dass Online-Passwortangriffe einen zeitintensiven Prozess mit einer geringen Erfolgswahrscheinlichkeit darstellen. Weiterhin können Benutzer ihre Passwörter ändern und/oder komplexe Passwörter vergeben. Ein hypothetisch vollständig abgeschlossener Brute-Force-Angriff (Durchprobieren aller Möglichkeiten) kann bei während des Angriffs vorgenommenen Passwortänderungen sogar erfolglos bleiben.
Grundsätzlich können sich mittels des Tools hydra Versuche, sich in einen Dienst einzuloggen, automatisieren lassen. hydra unterstützt hierfür mehrere Protokolle wie FTP, SSH oder HTTP (→man hydra). Um den Zeitaufwand für einen solchen Angriff zu reduzieren, könnte eine Liste mit häufig verwendeten Passwörtern erstellt und abgearbeitet werden. Zu diesem Zweck existieren bereits vorgefertigte Passwortlisten in Kali Linux. Eine der bekanntesten Passwortlisten mit mehr als 14 Millionen Passwörtern ist rockyou.txt.
Pentest Training
Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:
- Vorwort
- Einführung
- Rechtliche Rahmenbedingungen
- Hacking vs. Penetration-Testing
- Klassifizierung
- Aussagekraft von Penetrationstest
- Penetration-Testing-Standards
- Der Hacking-Leitfaden
- Hacking I: Scannen von Netzwerken
- Hacking II: Passwortangriffe
- Hacking III: Webanwendungsangriffe
- Hacking IV: Privilegienausweitung
- Hacking V: Tunnel-Techniken
- Hacking VI: Vulnerability-Scanner und Penetration-Testing-Frameworks
- Vorführung eines Pentests
- Risikobewertung von identifizierten Schwachstellen
- Aufbau Dokumentation und Berichterstellung
- Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.
binsec academy GmbH - Online IT Security Training with Practical Focus
Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.
Gehe zu binsec acadmy GmbH
binsec GmbH – Experten für Penetrationstests
Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.
Gehe zu binsec GmbH