Passwort-Hacking


Passwort-HackingPasswort-Hacking

Information on the learning scenario

For password hacking, you switch from the victimhood to the attacker position. This is evil, but demonstrates a method of "social engineering" and how hackers can get to your data if with the own data is handled too carelessly.


Fact sheet

Key Value
Type of game analog/digital
Target audience any computer user
Age P8
Game duration 15 minutes
Distribution known_sense
Instruction sheet See below...

Anleitung für Moderatoren

Erkläre die Regeln:

Profile verteilen

Händige das Profil aus, es enthält Daten, die im Netz frei zugänglich sind z.B. Community-Aktivitäten, Postings, Forenbeiträge ...

Erläuterungen

Gern werden für Passworte immer noch Merkhilfen aus dem privaten Bereich verwendet. Mit diesen Informationen kann ein Angriff für einen unerlaubten Zugang zum Zielsystem gestartet werden.

Hacker verwenden dafür Wörterbücher, Rainbow-Tabellen und Passwortsammlungen aus vergangenen Diebstahl-Aktivitäten.

Mache darauf aufmerksam, dass diese Aktivität strafbar ist.

Zitiere Paragraph § 202c:

Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet,
    indem er

    1. Passwörter oder sonstige Sicherungscodes,
       die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
    2. Computerprogramme, deren Zweck die Begehung einer
       solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft,
einem anderen überlässt, verbreitet oder sonst zugänglich macht,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe
bestraft.

Durchführung:

  • Ein Teilnehmer der Gruppe gibt die Passwörter ein, die von den anderen Teilnehmern vorgeschlagen werden.
  • Die anderen Teilnehmer denken sich Passworte aus, die sie raten würden oder aus dem Profil heraus für möglich halten.

Auswertung/Feedback

  • Habt ihr noch Fragen?

  • Oft wird nach den Wörtern gefragt, die nicht erraten wurden. Es wird also die Lösung gewünscht.

  • Frage die Teilnehmer, ob sie ihre E-Mail schon einmal überprüft haben, ob die E-Mail kompromittiert worden ist?

  • Die Sicherheit von Passwörtern kann geprüft werden, es sollten aber keine aktuell in Verwendung befindlichen Wörter getestet werden!

    Links zu solchen Websiten findest Du im Artikel:

    Umfrage zu Passwortlängen

Fachbegriffe

Rainbow-Tabelle:
 

Die Rainbow Table (engl. für Regenbogentabelle) ist eine von Philippe Oechslin entwickelte Datenstruktur, die eine schnelle, speichereffiziente Suche nach der ursprünglichen Zeichenfolge (in der Regel ein Passwort) für einen gegebenen Hashwert ermöglicht.

Quelle:

https://de.wikipedia.org/wiki/Rainbow_Table

Hash-Wert:

Eine Hashfunktion liefert für die (erwarteten) Eingabedaten Werte so, dass zwei unterschiedliche Eingaben auch zu unterschiedlichen Ausgabewerten führen. Damit wird ein Fingerabdruck für die Eingabe erstellt, die eindeutig ist. Diese werden zum Beispiel aus dem Passwort gebildet. Das Passwort wird nicht gespeichert, dafür der Hash-Wert.