Passwort-Hacking

Infos zum Lernszenario
Für das Passworthacking wechselst Du von der Opfer-Rolle in die Angreifer-Position. Das ist zwar böse, aber demonstriert eine Methode des »Social Engineering« und wie Hacker an die Daten gelangen können, wenn mit den eigenen Daten zu sorglos umgegangen wird.
Steckbrief
Schlüssel | Wert | ||
Art des Spieles | analog/digital | ||
Zielgruppe | jeder Computernutzer | ||
Alter | P8 | ||
Spieldauer | 15 Minuten | ||
Vertrieb/Anpassung durch: | known_sense | ||
Anleitung | Siehe weiter unten... |
Anleitung für Moderatoren
Erkläre die Regeln:
-
Was sind starke, was sind schwache Passwörter.
-
Alternativ kannst Du den folgenden Film zeigen, wenn eine Internetverbindung verfügbar ist:
Profile verteilen
Händige das Profil aus, es enthält Daten, die im Netz frei zugänglich sind z.B. Community-Aktivitäten, Postings, Forenbeiträge ...
Erläuterungen
Gern werden für Passworte immer noch Merkhilfen aus dem privaten Bereich verwendet. Mit diesen Informationen kann ein Angriff für einen unerlaubten Zugang zum Zielsystem gestartet werden.
Hacker verwenden dafür Wörterbücher, Rainbow-Tabellen und Passwortsammlungen aus vergangenen Diebstahl-Aktivitäten.
Mache darauf aufmerksam, dass diese Aktivität strafbar ist.
Zitiere Paragraph § 202c:
Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Durchführung:
- Ein Teilnehmer der Gruppe gibt die Passwörter ein, die von den anderen Teilnehmern vorgeschlagen werden.
- Die anderen Teilnehmer denken sich Passworte aus, die sie raten würden oder aus dem Profil heraus für möglich halten.
Auswertung/Feedback
-
Habt ihr noch Fragen?
-
Oft wird nach den Wörtern gefragt, die nicht erraten wurden. Es wird also die Lösung gewünscht.
-
Frage die Teilnehmer, ob sie ihre E-Mail schon einmal überprüft haben, ob die E-Mail kompromittiert worden ist?
-
Die Sicherheit von Passwörtern kann geprüft werden, es sollten aber keine aktuell in Verwendung befindlichen Wörter getestet werden!
Links zu solchen Websiten findest Du im Artikel:
Fachbegriffe
Rainbow-Tabelle: | |
---|---|
Die Rainbow Table (engl. für Regenbogentabelle) ist eine von Philippe Oechslin entwickelte Datenstruktur, die eine schnelle, speichereffiziente Suche nach der ursprünglichen Zeichenfolge (in der Regel ein Passwort) für einen gegebenen Hashwert ermöglicht.
Quelle: |
---|
https://de.wikipedia.org/wiki/Rainbow_Table
Hash-Wert: |
---|
Eine Hashfunktion liefert für die (erwarteten) Eingabedaten Werte so, dass zwei unterschiedliche Eingaben auch zu unterschiedlichen Ausgabewerten führen. Damit wird ein Fingerabdruck für die Eingabe erstellt, die eindeutig ist. Diese werden zum Beispiel aus dem Passwort gebildet. Das Passwort wird nicht gespeichert, dafür der Hash-Wert.