Überall die gleichen Passwörter? So schnell wirst du gehackt!

Dieses Tutorial dient der Aufklärung von IT-Sicherheitsrisiken und dem Selbstschutz. Sei dir darüber im klaren, dass du eine Straftat begehst, wenn du Technologien, Tools oder Angriffsmethoden unbefugst nutzt, um Daten und Systeme anderer zu manipulieren.

Ohne Passwörter geht im Internet nicht viel – doch ob man immer die gleichen Passwörter verwendet wird nur sehr selten geprüft. Auch Kriminelle sind längst auf den Geschmack gekommen und führen deshalb die sogenannten“Credential Reuse Attacks“ durch.

Haben Angreifer im Netz einmal die Login Daten und die E-Mail in alten gestohlenen Datensätzen gefunden, oder diese erspähen können, kommt dieser Angriff gerne zum Einsatz.

Passwörter sind ein Problem – immer die gleichen Passwörter sind ein viel größeres Problem!

Schon des öfteren wurde das Problem der Passwörter in diesem Blog diskutiert. Sich spontan lange Passwörter auszudenken, die zufällig und lang sind, ist nicht einfach. Dass man die Passphrase zusätzlich nicht vergessen sollte ist selbstverständlich, aber eben auch nicht einfach. Aus diesem Grund gibt es zahlreiche Angriffsmöglichkeiten auf das Passwort. Eine wird heute vorgestellt: Die Credential Reuse Attack am Beispiel von Cr3d0v3r.

Cr3d0v3r ist ein kleines Tool, welches nur wenige Informationen von euch haben will und genau das erledigt was es soll. Ich erkläre euch das Tool Schritt für Schritt. Das macht die Software für euch:

  • Es wird in öffentlichen Datendiebstählen nach der angegebenen E-Mail Adresse gesucht
  • Darüber hinaus wird in Datenbanken und Pastebins nach dem Passwort geschaut, welches damals gestohlen worden ist
  • Die gefundenen Informationen können genutzt werden um den Zugang auf anderen Websites zu prüfen

Falls ihr im Rahmen eines Penetrationstest gebrauch von dem Tool machen dürft, können sich folgende Szenarios für euch ergeben:

  • Überprüfe ob die gefundenen oder übergebenen E-Mails in Datenleaks auftauchen
  • Schaue nach, wo die E-Mail Adresse noch registriert ist um herauszufinden ob immer die gleiche E-Mail verwendet wird
  • Wenn Passwörter gefunden werden, kannst du schauen ob diese bei anderen Websites oder Services genutzt werden

Habt ihr das Tool installiert (s.u.) bietet euch die Software folgende Optionen:

usage: Cr3d0v3r.py [-h] [-p] [-np] [-q] email positional arguments: email Email/username to check optional arguments: -h, --help show this help message and exit -p Don't check for leaks or plain text passwords. -np Don't check for plain text passwords. -q Quiet mode (no banner).

Das Tool könnt ihr dann ganz bequem unter Linux mit

python3 Cr3d0v3r.py email@adresse.de

verwenden. Ihr müsst, wenn ihr den Befehl abgesetzt, einen kurzen Augenblick geduld haben. Es wird in der Datenbank von z.B. haveibeenpwnd.com nach der angegebenen E-Mail Adresse gesucht. Ist die Suche erfolgreich, bekommt ihr den Leak dargestellt und in manchen Fällen auch das Passwort, wenn es denn in bekannten Pastebins auftaucht. Bei dem Beispiel war die Abfrage bei den Datenbanken nicht erfolgreich, was den Angriff jedoch nicht beendet.

Falls ihr nun trotzdem ein Passwort zur Hand habt, könnt ihr das nun manuell einzugeben.

Die Standardwebsites sind hier bereits in der Anfrageroutine eingepflegt. Ihr könnt aber auch weitere hinzufügen. Wie das funktioniert, könnt ihr im entsprechenden Wiki nachschlagen. Hier noch die Befehle um die Software zu installieren:

Installation unter Windows

cd Cr3dOv3r-master python -m pip install -r win_requirements.txt python Cr3dOv3r.py -h

Installation unter Linux

git clone github.com/D4Vinci/Cr3dOv3r.git cd Cr3dOv3r python3 -m pip install -r requirements.txt python3 Cr3dOv3r.py -h

Installation im Docker

git clone github.com/D4Vinci/Cr3dOv3r.git docker build -t cr3dov3r Cr3dOv3r/ docker run -it cr3dov3r "example@gmail.com"