Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Eine Designschwäche sorgt dafür, dass die Passwortverschlüsselung in Windows keinen Effekt hat. ZDNet zeigt, wie Hacker mit frei zugänglichen Tools jeden Domänenserver in Unternehmensnetzen übernehmen können.

Wenn man unter einem fremden Benutzerkonto arbeiten möchte, ist die einfachste Möglichkeit, Benutzername und Kennwort zu kennen. Wer im Besitz solcher Zugangsdaten ist, braucht keine speziellen Kenntnisse, um sich einen Zugang zu verschaffen.

Eine Möglichkeit, an solche Zugangsdaten zu kommen, ist das Abhören von Leitungen mittels eines Netzwerksniffers. Allerdings sind die meisten Protokolle mittlerweile gegen ein Abhören abgesichert. Oft werden ältere Protokolle, die von sich aus keine Verschlüsselungstechnologie mitbringen, in SSL/TLS getunnelt.

Eine weitere Möglichkeit, an Benutzernamen und Kennwörter zu kommen, ist der Diebstahl von Passwortdatenbanken auf Servern. Das ist natürlich nicht so einfach wie das Abhören einer Leitung mit einem Sniffer. Die Datenbanken sind in der Regel gut gesichert.

Mit einer gut durchdachten Passwortdatenbank ist es einem Angreifer nicht möglich, sich unter einem fremden Benutzernamen anzumelden, denn Passwörter sind normalerweise nicht im Klartext oder reversibel verschlüsselt abgelegt.

Um derartigen Diebstählen vorzubeugen, werden Passwörter in der Regel als Hashwert abgespeichert. Aus dem Hashwert ist es nicht möglich, das ursprüngliche Passwort wieder zu ermitteln. Um ein Passwort auf Gültigkeit zu überprüfen, muss das vom Nutzer eingegebene Passwort in einen Hashwert umgewandelt werden. Diesen vergleicht man mit dem in der Datenbank hinterlegten Hashwert.

Themenseiten: Hacker, Security-Praxis, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *