Passwort-Hacking


Passwort-HackingPasswort-Hacking

Infos zum Lernszenario

Für das Passworthacking wechselst Du von der Opfer-Rolle in die Angreifer-Position. Das ist zwar böse, aber demonstriert eine Methode des »Social Engineering« und wie Hacker an die Daten gelangen können, wenn mit den eigenen Daten zu sorglos umgegangen wird.


Steckbrief

Schlüssel Wert
Art des Spieles analog/digital
Zielgruppe jeder Computernutzer
Alter P8
Spieldauer 15 Minuten
Vertrieb/Anpassung durch: known_sense
Anleitung Siehe weiter unten...

Anleitung für Moderatoren

Erkläre die Regeln:

Profile verteilen

Händige das Profil aus, es enthält Daten, die im Netz frei zugänglich sind z.B. Community-Aktivitäten, Postings, Forenbeiträge ...

Erläuterungen

Gern werden für Passworte immer noch Merkhilfen aus dem privaten Bereich verwendet. Mit diesen Informationen kann ein Angriff für einen unerlaubten Zugang zum Zielsystem gestartet werden.

Hacker verwenden dafür Wörterbücher, Rainbow-Tabellen und Passwortsammlungen aus vergangenen Diebstahl-Aktivitäten.

Mache darauf aufmerksam, dass diese Aktivität strafbar ist.

Zitiere Paragraph § 202c:

Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet,
    indem er

    1. Passwörter oder sonstige Sicherungscodes,
       die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
    2. Computerprogramme, deren Zweck die Begehung einer
       solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft,
einem anderen überlässt, verbreitet oder sonst zugänglich macht,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe
bestraft.

Durchführung:

  • Ein Teilnehmer der Gruppe gibt die Passwörter ein, die von den anderen Teilnehmern vorgeschlagen werden.
  • Die anderen Teilnehmer denken sich Passworte aus, die sie raten würden oder aus dem Profil heraus für möglich halten.

Auswertung/Feedback

  • Habt ihr noch Fragen?

  • Oft wird nach den Wörtern gefragt, die nicht erraten wurden. Es wird also die Lösung gewünscht.

  • Frage die Teilnehmer, ob sie ihre E-Mail schon einmal überprüft haben, ob die E-Mail kompromittiert worden ist?

  • Die Sicherheit von Passwörtern kann geprüft werden, es sollten aber keine aktuell in Verwendung befindlichen Wörter getestet werden!

    Links zu solchen Websiten findest Du im Artikel:

    Umfrage zu Passwortlängen

Fachbegriffe

Rainbow-Tabelle:
 

Die Rainbow Table (engl. für Regenbogentabelle) ist eine von Philippe Oechslin entwickelte Datenstruktur, die eine schnelle, speichereffiziente Suche nach der ursprünglichen Zeichenfolge (in der Regel ein Passwort) für einen gegebenen Hashwert ermöglicht.

Quelle:

https://de.wikipedia.org/wiki/Rainbow_Table

Hash-Wert:

Eine Hashfunktion liefert für die (erwarteten) Eingabedaten Werte so, dass zwei unterschiedliche Eingaben auch zu unterschiedlichen Ausgabewerten führen. Damit wird ein Fingerabdruck für die Eingabe erstellt, die eindeutig ist. Diese werden zum Beispiel aus dem Passwort gebildet. Das Passwort wird nicht gespeichert, dafür der Hash-Wert.