Warum Passwörter nie wirklich sicher sind – Pass-the-Hash
Passwörter werden traditionell als geheimer Authentifizierungsfaktor betrachtet, doch es gibt verschiedene Gründe, warum sie in der Praxis häufig kompromittiert werden können. Ein oft übersehener Aspekt ist, dass auch der Benutzername selbst häufig nicht mehr als „geheime“ Information gilt. In vielen Unternehmen entspricht der Benutzername einfach der geschäftlichen E-Mail-Adresse. Da viele Firmen ein einheitliches Namensschema verwenden (beispielsweise vorname.nachname@firma.de oder initialen@firma.com), ist der Benutzername leicht zu erraten oder öffentlich zugänglich. Das bedeutet, dass Angreifer:innen, in der Regel kaum Aufwand haben, an gültige Benutzernamen zu gelangen – ein einfacher Blick auf die Firmenwebseite, LinkedIn-Profile oder Google reicht oft aus.
Wenn Benutzername und Passwort nicht mehr gleichermaßen geheim sind, wird das Passwort umso wertvoller – und damit ein noch attraktiveres Ziel für Angriffe. Weiterhin begünstigen folgende Faktoren die Unsicherheit von Passwörtern:
Wiederverwendung von Passwörtern: Viele verwenden dasselbe Passwort für mehrere Dienste. Wird einer kompromittiert, können Angreifer dieses Passwort oft auch für andere Konten verwenden.
Schwache Passwörter: Nutzer:innen wählen häufig einfache, merkbare, aber auch unsichere Kombinationen wie “Passwort123”.
Phishing & Social Engineering: Selbst starke Passwörter können so gestohlen werden, beispielsweise über gefälschte Login-Seiten oder Phishing-E-Mails.
Technische Kompromittierungen: Wenn Server oder Endgeräte kompromittiert werden, sind oft auch deren Passwort-Hashes in Gefahr. Diese können bei Angriffen wie “Pass-the-Hash” genutzt werden, um ohne Kenntnis des eigentlichen Passworts Zugang zu Systemen zu erlangen.
Wie werden Passwörter gespeichert?
Passwörter sollten niemals im Klartext (Plain Text) gespeichert werden. Stattdessen nutzen sichere Systeme Hashfunktionen, um aus dem Passwort einen nicht umkehrbaren Fingerabdruck zu erzeugen. Durch den Einsatz von Salts (zufälligen Zusatzwerten) und einer hohen Cost-Faktor-Einstellung (z. B. bei bcrypt oder Argon2) wird es für Angreifer:innen deutlich aufwändiger, Hashes mittels Brute-Force-Angriffen zu stehlen. Dennoch ist es nicht unmöglich – besonders häufig verwendete oder schwache Passwörter lassen sich mithilfe von Rainbow Tables schnell zurückrechnen. Aus diesem Grund ist es entscheidend, auf starke, einzigartige Passwörter und modernste Hashing-Methoden zu setzen.
Auch bei diesen Schutzmaßnahmen – etwa das Speichern von Passwörtern als Hashes statt im Klartext – gibt es keine absolute Sicherheit. Hashes sind nicht rückrechenbar, doch Angreifer:innen können diese Hürde zu umgehen:
Pass-the-Hash
In Unternehmensnetzwerken, vor allem in Windows-Domänen, werden Passwörter als Hashes gespeichert. Angreifer:innen, die einmal eingeschränkten Zugriff auf ein System haben, können oft diese Hashes auslesen – zum Beispiel, bei Windows Systemen aus dem SAM (Security Account Manager) oder dem LSASS-Prozess.
Statt den Hash zu entschlüsseln, wird er direkt als „Beweis“ der Authentifizierung verwendet. Mit anderen Worten: Die Angreifer:innen „geben“ den Hash einfach an ein anderes System weiter, um sich dort als legitime Benutzer:in auszugeben, ohne jemals das eigentliche Passwort zu kennen.
Warum ist das so gefährlich?
Ein Pass-the-Hash-Angriff ermöglicht den sogenannten lateralen Bewegungsangriff: Die Angreifer:innen können sich von einem einmal kompromittierten Host aus im gesamten Netzwerk ausbreiten. Gelangen sie beispielsweise an den Hash eines Domain-Admins, steht ihm die ganze Domäne offen.
Pass-the-Ticket und weitere Varianten
Pass-the-Hash ist nicht die einzige Credential-Reuse-Technik. Unter Kerberos-Authentifizierung kommt etwa Pass-the-Ticket zum Einsatz: Gestohlene Kerberos-Tickets werden genutzt, um ohne Passworteingabe auf Ressourcen zuzugreifen. Diese Angriffe beruhen auf demselben Prinzip: Authentifizierungsdaten, die sich ein System intern merkt, werden gestohlen, um sich als legitimer User auszugeben.
Wie kann man sich schützen?
Obwohl es keine perfekte Sicherheitslösung gibt, können Unternehmen und Privatnutzer:innen eine Reihe von Gegenmaßnahmen ergreifen:
Härtung der Systeme
Minimieren Sie lokale Administratorrechte, damit ein kompromittiertes Konto nicht leichtfertig für weiterführende Angriffe missbraucht werden kann. Verwenden Sie separate Konten für administrative Tätigkeiten, um die Auswirkungen eines erfolgreichen Angriffs einzudämmen.
Multi-Faktor-Authentifizierung (MFA)
Setzen Sie auf starke, zusätzliche Faktoren wie Hardware-Token oder Einmal-Passwörter (OTP). Mit MFA reicht ein gestohlener Hash oder ein bekanntes Passwort nicht mehr aus, um sich erfolgreich anzumelden.
Netzwerksegmentierung
Trennen Sie sensible Bereiche vom Rest des Netzwerks, um die Ausbreitung eines Angriffes zu erschweren.
Monitoring & Alarmierung
Nutzen Sie Security-Information-and-Event-Management-(SIEM)-Lösungen, Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS). Ungewöhnliche Login-Versuche oder atypische Bewegungen im Netzwerk können so frühzeitig erkannt werden.
Passwort-Manager!
Passwort-Manager sind spezialisierte Anwendungen, die dabei helfen, alle Zugangsdaten zentral und sicher zu verwalten. Statt komplizierte Kennwörter für jeden Dienst im Kopf zu behalten, werden sie verschlüsselt hinter einem einzigen, starken „Master-Passwort“ verwahrt. Moderne Lösungen erzeugen zudem komplexe Passwörter automatisch, speichern diese sicher und fügen sie bei Bedarf direkt in die Anmeldemaske ein. Auf diese Weise verringert sich das Risiko schwacher oder mehrfach genutzter Passwörter, was langfristig die Sicherheit im digitalen Alltag erhöht.
Viele Browser oder Betriebssysteme liefern schon einen Passwort-Manager mit. Windows bringt den Credential Manager und Apple hat die App “Passwords” (früher Keychain). Drittanbieter wie 1Password, Bitwarden oder Lastpass, können in eingen Fällen Lösungen oder Funktionen mit sich bringen die native Passwort-Manager nicht haben (Secure Notes, OS übergreifende Nutzung oder Dark Web Monitoring). Diese Features kommen aber oft mit einem Preisschild. Subscription oder Lifetime License.
Wie soll ein Passwort aussehen
Das BSI empfiehlt hier zwei Strategien um an ein gutes Passwort zu kommen.
Lang und nicht übermäßig komplex
Mindestens 25 Zeichen und nur zwei Zeichenarten (Groß- und Kleinschreibung). Eine Aneinanderreihung von unzusammenhängenden Wörtern z. B. Lampe_Teller_Papier_Reifen_Vorhang_Topf
Kurz und sehr komplex
Mindestens 8 Zeichen (4 Zeichenarten: Groß- und Kleinschreibung, Zahlen und Sonderzeichen) z. B. 3mza*dAQ8F