beebright - stock.adobe.com

Machine Learning erleichtert das Knacken von Passwörtern

Machine Learning lässt sich auch ausgezeichnet zum Knacken von Passwörtern verwenden. Mit Hilfe von neuronalen Netzen können Angreifer leicht neue Passwortvarianten errechnen.

Was geschieht, wenn in vielen Unternehmen eingesetzte Maßnahmen zur Authentifizierung und Zugriffskontrolle von Angreifern attackiert werden, die mit Machine Learning ausgestattet sind? Mit dieser Frage haben sich vor kurzem mehrere von Universitäten durchgeführte Studien beschäftigt. Die Forscher konnten zeigen, dass die dabei entdeckte Bedrohung nicht nur akademischer Art ist, sondern durchaus auch viele in Firmen eingesetzte IT- und Security-Systeme betrifft.

Das Knacken von Passwörtern lässt sich sowohl online als auch offline durchführen. Jeder mit dem Internet verbundene Server wird immer Opfer von online durchgeführten Attacken, wie sich leicht durch einen Blick in seine Log-Dateien feststellen lässt. Dabei handelt es sich um kontinuierlich unternommene Versuche, sich aus der Ferne mit als gültig vermuteten Passwörtern einzuloggen. Dieser Art von Angriffen können Unternehmen mit komplexen Passwörtern, zeitlichen und örtlichen Begrenzungen der Login-Versuche und Zwei-Faktor-Authentifizierung relativ gut Herr werden.

Bei einem Offline-Angriff sieht es etwas anders aus. Hier verschaffen sich die Kriminellen zunächst eine Datenbank mit Zugangsdaten, die sowohl Nutzernamen als auch mit Hashes gesicherte Passwörter enthält. Anschließend können sie auf ihren eigenen Computern versuchen, die Passwörter zu knacken – in Ruhe und ungestört durch weitere Sicherheitsmaßnahmen. Dazu vergleichen sie die Hashes beliebter Passwörter wie „12345“ oder „geheim“ mit den Hashes, die im Zielsystem genutzt werden.

Das Offline-Knacken von Passwörtern benötigt jedoch umfangreiche Sammlungen mit häufig verwendeten Kennwörtern, auch Passwortwörterbücher genannt. Zumeist wird ein normales Wörterbuch als Ausgangsbasis verwendet, dann werden Variationen hinzufügt, die beliebt sind und immer wieder von Anwendern genutzt werden. Dazu gehört zum Beispiel das Austauschen einzelner Buchstaben mit Ziffern wie bei „D1sn3yW0rld“. Anschließend ergänzen die Hacker Sonder- und Satzzeichen wie etwa in „passw0rt!“ Außerdem fügen sie echte, sich im Umlauf befindliche Kennwörter zu ihren Wörterbüchern hinzu, die aus Datendiebstählen wie etwa bei LinkedIn oder RockYou stammen.

Neue Gefahren für Passwörter durch Machine Learning

Soweit, so gut. Das alles ist bereits seit einiger Zeit bekannt. Seit kurzem ist jedoch ein neuer Ansatz bei diesen Hacker-Techniken hinzugekommen. Die Angreifer können nun auch Algorithmen aus dem Bereich Machine Learning verwenden. So demonstrierten Wissenschaftler des Stevens Institute of Technology und des New York Institute of Technology mit PassGAN eine neue Technik, die auf so genannten Generative Adversarial Networks (GANs) basiert, um das Erraten von Passwörtern zu erleichtern.

Ein GAN besteht aus zwei neuronalen Netzen, die sich gegenseitig dabei unterstützen, ihre Bewertungsmethoden zu verbessern. Eines der Netze füttert das andere Netz dabei mit falschen Daten, die jedoch sehr nahe an den Originaldaten liegen.

Die Einschätzungen des zweiten neuronalen Netzes werden dadurch mit der Zeit immer besser. Firmen wie Facebook setzen diese Art von „erzeugenden gegnerischen Netzwerken“ ein, um ohne menschliche Hilfe herauszufinden, was ihre Nutzer sehen wollen. Wie die Forscher herausgefunden haben, lassen sich die neuronalen Netze auch mit bekannt gewordenen, also „echten“ Passwörtern füttern. Die Netze erstellen dann Listen mit weiteren Passwörtern, die ebenfalls vermutlich im Einsatz sind. Dies funktioniere so gut, dass ihre Leistung die von bislang gerne von Hackern verwendeten Passwort-Tools wie Hashcat und John the Ripper übersteigen soll.

Die Ergebnisse dieser Studien haben erhebliche Auswirkungen auf IT- und Security-Systeme. Zunächst unterstreichen sie natürlich, wie wichtig es ist, die Passwort-Hashes zu schützen. Man muss schließlich davon ausgehen, dass auch Kriminelle die beschriebenen Techniken in zunehmendem Maße verwenden, um offline Passwörter zu knacken. Tools zum Erraten von Passwörtern sind dabei ein gutes Beispiel für ein zweischneidiges Phänomen: Sie können sowohl für legitime, als auch für böswillige Zwecke eingesetzt werden. In diesem Fall können sie allerdings auch dazu genutzt werden, die Stärke von Passwörtern zu bewerten, bevor es den Anwendern erlaubt wird, sie zu verwenden.

Es wird aber dadurch auch deutlich, wie wichtig es ist, nicht nur Passwörter als Mittel zur Authentifizierung zu verwenden, um den Zugriff auf Ressourcen und IT-Systeme zu schützen. Eine beliebte Methode ist etwa die Verwendung von Einmal-Passcodes, die auf einem Smartphone erstellt wurden, von dem ausgegangen wird, dass es sich im Besitz des Nutzers befindet.

Rückschlüsse durch Smartphone-Sensoren

Die Zuverlässigkeit dieser Annahme wird jedoch von einer anderen Forschung ebenfalls in Frage gestellt. Wissenschaftler an der Newcastle University haben einen Proof-of-Concept namens PINlogger entwickelt. Dazu nutzen sie ebenfalls Machine Learning und neuronale Netze, um die Sensordaten auf den verwendeten Smartphones zu analysieren. Auf diese Weise konnten sie unter anderem herausfinden, wann eine PIN eingegeben wurde. Auf Basis dieser umfangreichen Daten konnte dann die tatsächlich verwendete PIN errechnet werden.

Moderne Smartphones enthalten mehrere Dutzend Sensoren. Sie reichen vom Touchscreen zu Sensoren für Bewegung, Geschwindigkeit, Ausrichtung des Geräts, Drehung und mehr. Wenn man alle damit erstellten Daten zusammennimmt, ist es nicht verwunderlich, dass sich daraus Erkenntnisse über die physischen Interaktionen eines Anwenders mit seinem Gerät gewinnen lassen.

So ganz leicht lässt sich aber auch PINlogger nicht einsetzen. So erfordert der Angriff einen Webbrowser auf dem Mobilgerät, der Javascript unterstützt. Der Browser greift auf mehrere Web-APIs zu, die wiederum Zugriff auf die Sensoren des Geräts benötigen. Darüber hinaus muss das Opfer auf eine manipulierte Webseite gelockt werden, die es geöffnet lässt, während der Angriff durchgeführt wird. Die Hürden sind also vergleichsweise hoch. Die Nutzung von Javascript für diesen Angriff zeigt jedoch, dass es nicht mehr nötig ist, zuerst eine böswillige App herunterzuladen, um die Sensordaten zu stehlen.

Den Wissenschaftlern reichte es aber nicht nur, zu beweisen, dass sich diese Art von sensorbasierten Angriffen durchführen lässt. Sie haben sich auch damit beschäftigt, wie Mobilnutzer die Gefahren durch sensorbasierte Attacken einschätzen. Die Ergebnisse zeigen, dass sich viele Anwender gar nicht bewusst sind, wie viele Sensoren ihre Smartphones mittlerweile enthalten und dass sich die Daten über die Orientierung und Bewegung des Geräts nutzen lassen, um Sicherheitsmaßnahmen wie PINs zu umgehen. Die Forscher kritisieren zudem, dass es nur wenige Möglichkeiten für die Anwender gibt, die von den Sensoren in ihren Handys gesammelten Daten zu kontrollieren.

Da immer mehr und mehr Sensoren hinzugefügt werden, steigt auch die Gefahr des Missbrauchs. Nach Ansicht der Forscher ist das Problem sensorbasierter Angriffe bislang nur schwer zu lösen. Das ändere aber nichts daran, dass es dringend angegangen werden muss, bevor es zu massenhaften Attacken auf Smartphone-Nutzer komme. Unternehmen sollten die neuen Gefahren deswegen möglichst bald in ihre Trainings mit aufnehmen und ihre Nutzer davor warnen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Best Practices: Mehr Sicherheit bei Passwörtern

Die eigenen Passwortregeln hinterfragen

Windows 10: Hello for Business statt Passwörter

Erfahren Sie mehr über Bedrohungen