Digital Shadows: 24,6 Milliarden Zugangsdaten im Dark Web

Digital Shadows-Studie verweist auf leicht zu erratende Passwörter
Kommentare zu folgendem Beitrag: Digital Shadows: 24,6 Milliarden Zugangsdaten im Dark Web

Sie stießen dabei auf über 24,6 Milliarden Zugangsdatenpaare, die Cyberkriminelle auf Darknet-Marketplaces handeln.

Hauptsache, dass man mal wieder solch riesige Zahlen in den Raum werfen kann, um sich als Unternehmen profilieren zu können! Dabei fehlt eigentlich die wichtigste Information dazu. Nämlich, wie viele der genannten Accounts überhaupt noch funktionierten, zum Zeitpunkt des Fundes?!

Ich bin ja nur ein interessierter Laie was Computersicherheit angeht, aber vielleicht könnte mich Mal jemand aufklären, wieso Bruteforceangriffe überhaupt noch möglich sind? Sollte es heutzutage nicht Sicherheitsmechanismen geben, die verhindern, dass so viele Passworteingaben in kurzer Zeit möglich sind?

password 123456? Mist, meine beiden Lieblingspasswörter in einem einzigen Bild!

Sie stießen dabei auf über 24,6 Milliarden Zugangsdatenpaare, die Cyberkriminelle auf Darknet-Marketplaces handeln.

Dafür nutzt man doch kein Bruteforce…hier werden doch angeblich direkt nutzbare Accounts vertickt. Brutforcing macht doch nur Sinn, wenn eine Unbekannte, wie ein fehlendes Passwort im Datensatz vorhanden ist. :wink:

Klar bei dem Datensatz schon, aber im Artikel ist ja auch die Rede von

Von den 50 am häufigsten verwendeten Passwörtern können 49 in weniger als einer Sekunde mit benutzerfreundlichen Tools „geknackt“ werden.

Und

Digital Shadows informiert ferner darüber, dass allein durch das Hinzufügen eines „Sonderzeichens“ (wie @ # oder _) zu einem einfachen 10-Zeichen-Passwort allerdings die Zeit, die ein Offline-Angriff zum Knacken des Passworts benötigen würde um etwa 90 Minuten verlängert.

Da geht es doch schon um Bruteforce Angriffe. Okay beim zweiten Teil habe ich gestern überlesen, dass es sich um offline-Angriffe handelt, aber euch da frage ich mich, wieso nach einer falschen Passworteingabe nicht eine Eingabesperre für ein paar Sekunden implementiert wird?

Das wird doch schon häufig genug gemacht. Aber man kann(bzw. sollte) nur die IP-Adresse (temporär) blacklisten/blockieren. Das lässt sich aber mit gemieteten Proxys für wenig Geld umgehen. Würde man bei x-falschen Login Versuchen den Account als „Für 5 Sekunden/Minuten alle Login-Versuche ablehnen, um Bruteforce zu unterbinden“ , dann könnte ein Troll einen fremden Account unbrauchbar machen, indem er mit nem 2zeiler Script diesen Sperr-Status immer wieder aktiviert, sodass der Besitzer des Accounts sich auch nicht anmelden kann.

Aber im Endefeckt wird Bruteforce zu 99% immer offline angewendet, online nimmt man halt Zugangsdatenlisten , probiert sie der Reihe nach aus und freut sich wenn 1 von 1000 Logindaten noch funktioniert.

1 „Gefällt mir“

Erst Mal Danke für die Info :+1:

Geht es denn bei Offlineangriffen vor allem um verschlüsselte Daten oder auch um andere Ziele? Und könnte man bei Verschlüsselungssoftware wie VeraCrypt (oder zumindest bei Software ohne offenen Quellcode) nicht ebenfalls verhindern, dass viele Passworteingaben in kurzer Zeit erfolgen können?

Ohne jetzt den Anschein erwecken zu wollen, dass ich wirklich tiefgehendere Ahnung/Erfahrung zu dem Thema habe:

Beim Beispiel VeraCrypt, aber auch in den meisten anderen Fällen benutzt man extra dafür hergestellte Dritt-Software (also nicht VeraCrypt selbst), welche dann direkt auf den Datei/Partition/Festplatten Container zugreift, um mit Bruteforce/Passwortlisten den passenden Schlüssel zu finden. Darum kann VeryCrypt selbst den Vorgang nicht erschweren, sondern nur die verwendeten Verschlüsselung-Algorithmen(-Ketten), welche selbst beim Test-Versuch der Entschlüsselung Leistungs- also auch Zeitintensiv sind.