Sicherzustellen, dass Ihr Passwort stark und dennoch einprägsam ist, kann eine Herausforderung und stressig sein. Wenn Sie jedoch Best Practices befolgen – wie die Verwendung von
Zu den häufigsten Arten von Passwortangriffen gehören Passwort-Cracking, Passwort-Spraying, Wörterbuch-Angriffe, Credential Stuffing, Brute-Force-Angriffe und Rainbow-Table-Angriffe. Je besser Ihre Passwortgewohnheiten sind, desto weniger anfällig sind Sie für Passwortangriffe. Der Passwort-Management-Bericht von Keeper hat ergeben, dass nur 25 % der Befragten für jedes Konto ein starkes, einzigartiges Passwort verwenden. Das bedeutet, dass 75 % der Befragten ihre Konten dem Risiko aussetzen, aufgrund schwacher Passwörter kompromittiert zu werden.
Lesen Sie weiter, um mehr über die sechs gängigsten Arten von Passwortangriffen zu erfahren, warum diese Angriffe gefährlich sind und was Sie tun können, um sich vor passwortbezogenen Angriffen zu schützen.
Passwort-Cracking
Passwort-Cracking liegt vor, wenn Cyberkriminelle Programme und Tools verwenden, um sich unbefugten Zugriff auf Online-Konten zu verschaffen. Zwar gibt es verschiedene Arten von Passwort-Cracking, doch haben alle Methoden das Ziel, Benutzerkonten für bösartige Zwecke zu kompromittieren. Da künstliche Intelligenz (KI) immer besser wird, nutzen Cyberkriminelle KI-gestützte Tools, die ihnen das Knacken von Passwörtern erleichtern. Durch KI hat sich die Geschwindigkeit, mit der Cyberkriminelle Passwörter knacken können, erheblich erhöht.
Brute-Force-Angriff
Ein Brute-Force-Angriff liegt vor, wenn Cyberkriminelle Software verwenden, um Anmeldeinformationen im Trial-and-Error-Verfahren zu erraten. Brute-Force-Software funktioniert so, dass verschiedene Kombinationen von Anmeldeinformationen eingegeben werden, bis ein Treffer erzielt wird. Es mag ineffizient klingen, Passwörter durch Ausprobieren zu erraten, doch kann die von Cyberkriminellen verwendete Software in kurzer Zeit Billionen von Passwortkombinationen verarbeiten.
Passwort-Spraying
Beim Password-Spraying (auch Passwort-Spray-Angriff genannt) nutzen Cyberkriminelle eine Liste häufig verwendeter Passwörter, um zu versuchen, sich in einer Domain Zugriff auf mehrere Konten zu verschaffen. Solche Listen enthalten schwache Passwörter, die von vielen Menschen verwendet werden (wie z. B. 123456 oder Passwort). Mit einem Passwort-Spraying-Tool können Cyberkriminelle diese Listen eingeben und versuchen, mehrere Passwörter auf einmal zu knacken.
Wörterbuchangriff
Ein Wörterbuchangriff ist ein Passwortangriff, bei dem gängige Wörter, die im Wörterbuch stehen, sowie gängige Phrasen verwendet werden, um in Konten einzudringen. Bei einem Wörterbuchangriff nutzen Cyberkriminelle eine Liste mit Wörtern, die für Passwörter häufig verwendete Wörter und Phrasen enthält. Dann kommt ein Passwort-Cracking-Programm zum Einsatz, um die Wortkombinationen in verschiedene Benutzerkonten einzugeben und zu versuchen, Passwörter zu knacken.
Credential Stuffing
Credential Stuffing ist ein Passwortangriff, bei dem die Tatsache ausgenutzt wird, dass viele Menschen Passwörter für verschiedene Konten wiederverwenden. Bei einem Credential-Stuffing-Angriff nutzen Cyberkriminelle einen Satz von Anmeldeinformationen, um zu versuchen, mehrere Konten gleichzeitig zu kompromittieren. Oft nutzen Cyberkriminelle dafür Anmeldeinformationen, die bei öffentlichen Datenlecks offengelegt wurden.
Rainbow-Table-Angriff
Ein Rainbow-Table-Angriff liegt vor, wenn Cyberkriminelle eine spezielle Tabelle verwenden, um Passwort-Hashes zu knacken. Mit Passwort-Hashes wird bezeichnet, wenn Passwörter in eine Folge von unlesbaren Zeichen geändert werden. Wenn ein Unternehmen, bei dem Sie ein Konto haben, Benutzerpasswörter verschlüsselt, bedeutet das, dass sie nur die Passwort-Hashes speichern. So wird verhindert, dass Cyberkriminelle Ihr Kontopasswort herausfinden können, sollte das Unternehmen ein Datenleck erleiden.
Gehashte Passwörter sind aber anfällig für Rainbow-Table-Angriffe. Bei einem Rainbow-Table-Angriff stellen Cyberkriminelle eine Liste mit potenziellen Passwörtern zusammen, die in der Regel aus häufig verwendeten Passwortkombinationen bestehen. Anschließend nutzen sie eine Hash-Funktion, um die einzelnen Passwörter in Passwort-Hashes zu verwandeln – sowohl das Klartext-Passwort als auch die Passwort-Hashes werden dann in der Rainbow-Tabelle gespeichert. Die Passwort-Hashes werden dann weiter reduziert, um eine Kette von Hashes zu schaffen. Damit wird schließlich versucht, Treffer zu erzielen. Wenn ein passender Hash-Wert gefunden wird, weiß der Cyberkriminelle, welches Passwort er verwenden muss, um das Online-Konto eines Benutzers zu kompromittieren.
Warum Passwortangriffe gefährlich sind
Passwortangriffe sind gefährlich, da sie zu einer Kontokompromittierung oder Kontoübernahme führen können, was wiederum zur Folge haben kann, dass Ihre Identität gestohlen wird und finanzielle Verluste entstehen. Eine Kontoübernahme liegt vor, wenn sich eine unbefugte Person Zugriff auf eines oder mehrere Ihrer Online-Konten verschafft und Sie durch Ändern Ihres Passworts aussperrt. Wenn Ihr Passwort geändert wurde, kann es eine Weile dauern, bis Sie den Zugriff auf Ihr Konto wiedererlangen. In manchen Fällen erhalten Sie den Zugriff auf Ihr Konto ggf. gar nicht wieder.
In der Zeit, in der eine unbefugte Person Zugriff auf Ihr Konto hat, kann sie sensible Daten über Sie sammeln und diese Daten nutzen, um Ihre Identität zu stehlen. Sich von Identitätsdiebstahl zu erholen, ist nicht immer einfach. Außerdem können hohe finanzielle Verluste die Folge sein.
Wie kann ich mich vor Passwortangriffen schützen?
Im Folgenden finden Sie einige Möglichkeiten, wie Sie sich vor Passwortangriffen schützen können.
Verwenden Sie Passkeys, wenn sie bei der Website oder App unterstützt werden
Passkeys stellen eine neue Authentifizierungstechnologie dar, mit der Sie sich bei Ihren Online-Konten anmelden können, ohne ein Passwort eingeben zu müssen. Anstatt selbst ein Passwort zu erstellen, werden Passkeys automatisch auf Ihrem Gerät bzw. in Ihrem Browser oder Password Manager generiert. Bei Passkeys müssen Sie sich im Gegensatz zu Passwörtern keine Gedanken mehr machen, dass sie zu schwach sind oder wiederverwendet werden. Passkeys sind standardmäßig stark und können anders als Passwörter nicht so leicht kompromittiert werden. Das macht sie zu einer der sichersten Methoden, um sich beim Anmelden bei einem Konto zu authentifizieren.
Passkeys sind noch ziemlich neu, sodass sie derzeit nur von bestimmten Websites und Anwendungen unterstützt werden. Anstatt Passwörter zu verwenden, die anfällig für Passwortangriffe sind, sollten Sie nach Möglichkeit bei jeder Website oder Anwendung, bei der Sie ein Konto haben und die Passkeys unterstützt, Passkeys nutzen. In unserem Passkey-Verzeichnis können Sie sehen, welche Websites und Anwendungen die Verwendung von Passkeys bereits unterstützen.
Verwenden Sie starke, einzigartige Passwörter
Nicht alle Websites unterstützen Passkeys, sodass Sie für die meisten Ihrer Online-Konten weiterhin starke Passwörter erstellen müssen. Befolgen Sie beim Erstellen von Passwörtern unbedingt Best Practices für Passwörter, um sicherzustellen, dass sie nicht leicht erraten oder geknackt werden können. Wir empfehlen, zur Erstellung Ihrer Passwörter einen Passwortgenerator zu verwenden, damit sie immer stark und einzigartig sind.
Wenn Sie unsicher sind, ob Sie sich viele starke, einzigartige Passwörter merken können, sollten Sie den Einsatz eines Password Managers in Erwägung ziehen. Password Manager helfen Benutzern dabei, für jedes ihrer Online-Konten ein starkes Passwort zu generieren und zusammen mit anderen Authentifizierungsmethoden wie Passkeys und Multifaktor-Authentifizierungscodes sicher zu speichern. Das einzige Passwort, das Sie sich in dem Fall noch merken müssen, ist Ihr Master-Passwort.
Aktivieren Sie wenn möglich MFA
Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsmaßnahme, die Sie bei den meisten Ihrer Online-Konten aktivieren können. Bei aktivierter MFA müssen Sie neben der Eingabe Ihres Benutzernamens und Passworts einen oder mehrere zusätzliche Authentifizierungsfaktoren angeben, um sich bei einem Konto anmelden zu können. Selbst wenn es einem Cyberkriminellen gelänge, Ihr Passwort zu knacken, wäre er immer noch nicht dazu in der Lage, Ihre Online-Konten zu kompromittieren, da er Ihre Identität nicht authentifizieren kann.
Achten Sie auf Social-Engineering-Angriffe
Social Engineering liegt vor, wenn Cyberkriminelle psychologische Manipulation verwenden, um Opfer dazu zu bringen, sensible Daten preiszugeben. Eine der gängigsten Arten von Social-Engineering-Angriffen ist Phishing. Phishing liegt vor, wenn Cyberkriminelle Opfer dazu bringen, sensible Daten preiszugeben, indem sie vorgeben, eine Person zu sein, die das Opfer kennt (z. B. ein Unternehmen, bei dem sie ein Konto haben, oder ein Familienmitglied).
Bei Social-Engineering-Angriffen wird häufig versucht, Opfer dazu zu bringen, Anmeldeinformationen für Online-Konten preiszugeben. Wenn Sie nicht auf Social-Engineering-Angriffe achten, können Sie leicht Anmeldeinformationen preisgeben und eine Kontokompromittierung riskieren. Eine der besten Möglichkeiten, um Social-Engineering-Angriffe zu verhindern, besteht darin, persönliche Daten niemals an andere Personen weiterzugeben (insbesondere Anmeldeinformationen für Ihre Online-Konten). Außerdem sollten Sie vermeiden, auf Links zu klicken, die Ihnen unaufgefordert zugesendet wurden. So können Sie verhindern, Malware herunterzuladen bzw. Anmeldeinformationen oder andere sensible Daten in eine Phishing-Website einzugeben.
Verhindern Sie, dass Passwortangriffe zu kompromittierten Konten führen
Angesichts der hohen Zahl von Online-Konten kann es eine Herausforderung sein, für jedes Konto ein starkes, einzigartiges Passwort zu erstellen und zudem MFA zu aktivieren, so dies möglich ist. Der Schutz Ihrer Online-Konten muss jedoch nicht schwierig sein – ein Password Manager wie Keeper® kann Ihnen dabei helfen, Ihre Konten vor gängigen Passwortangriffen zu schützen.
Mit Keeper können Sie Ihre Passkeys, Passwörter und 2FA-Codes verwalten, um Ihre Online-Konten zu schützen, ohne sich Gedanken um schwache oder wiederverwendete Passwörter machen zu müssen. Starten Sie noch heute eine kostenlose 30-Tage-Testversion von Keeper, um zu verhindern, dass Ihre Konten durch Passwortangriffe kompromittiert werden.