Passwort-Generator

Passwort knacken: Wie Cracker Passwörter knacken

… und wie du dich schützen kannst.

Um zu verstehen, was ein sicheres Passwort ist und worauf du bei der Wahl eines guten Passworts achten solltest, erkläre ich dir am besten zuerst, wie Passwörter überhaupt geknackt werden.

Dafür musst du zunächst wissen, was gesalzene Passwörter sind:

Was sind gesalzene Passwörter?

In der Regel speichern Website-Betreiber die Passwörter ihrer Nutzer auf den Servern nicht im Klartext ab.

Stattdessen werden die Kennwörter mit kryptographischen Verfahren wie bcrypt, PBKDF2 oder scrypt in lange Zeichenketten umgewandelt und erst dann auf dem Server gespeichert.

Aus password generator wird so beispielsweise der Hash-Schlüssel 8c89480a4bb5915e4d19d1142e3c65b2.

Das heißt also, in den Datenbanken der Website-Betreiber stehen die Passwörter der Nutzer gar nicht im Klartext; stattdessen sind dort kryptische Hash-Werte der eigentlichen Passwörter zu finden. Man spricht auch von gesalzenen Passwörtern.

Passwort-Cracker versuchen, die Passwort-Hashes mit speziellen Programmen zu knacken, um so die ursprünglichen Klartext-Passwörter zu erhalten.

Wie kommen Cracker eigentlich an die Passwörter?

Damit Kriminelle überhaupt Passwörter cracken können, müssen sie zunächst einen Internet-Dienst angreifen und dessen (verschlüsselte) Passwörter klauen.

Den Zugriff auf die (verschlüsselten) Passwörter erhält der Angreifer beispielsweise durch einen Serverangriff, bei dem er Sicherheitslücken ausnutzt und eine SQL-Injektionen durchführt.

Andere Kriminelle warten einfach, bis im Internet neue Passwortlisten auftauchen.

Sobald der Angreifer im Besitz der verschlüsselten Passwörter ist, macht er sich an die Entschlüsselung. Gelingt es ihm, die verschlüsselten Passwörter zu knacken, erhält er mit den Klartext-Kennwörtern Zugriff auf die zugehörigen Nutzerkonten.

Da viele Menschen Passwörter mehrfach verwenden, probieren die Angreifer, sich mit den entschlüsselten Zugangsdaten auch bei anderen Diensten wie E-Mail-Anbietern, Online-Banken oder Webspace-Providern anzumelden.

Die Tools und Taktiken der Cracker

Zum Entschlüsseln der Passwörter nutzen Angreifer Passwort-Crack-Programme wie John the Ripper, Hashcat oder oclHashcat.

Diese Tools machen nichts anderes, als Passwörter zu erraten.

Natürlich probieren die Tools der Cracker nicht einfach alle Buchstabenkombinationen von aaaaaaaa bis zzzzzzzz in alphabetischer Reihenfolge aus. Stattdessen holen sie sich potentielle Passwörter aus Passwortlisten und Wörterbücher.

Danach verschlüsselt das Programm die importierten Wörter und erzeugt einen sogenannten Kandidaten. Die aus dem Wörterbuch stammende und nun gesalzene Zeichenkette wird mit dem verschlüsselten Passwort aus der gestohlenen Datenbank verglichen. Sind die Zeichenketten gleich, so wurde das Passwort (oder eine Hash-Kollision) gefunden.

Dieser Cracking-Prozess läuft automatisiert ab: Die Programme der Cracker testen eine Zeichenkette nach der nächsten – und zwar rasend schnell. Es gibt Programme, die Millionen von Passwörtern pro Sekunde ausprobieren können.

Dabei ist es keine Seltenheit, dass die Cracking-Tools auf mehreren Rechnern laufen und über Tage oder Monate versuchen, Passwörter zu knacken. Häufig werden diese Rechenoperationen auch von gekapterten Zombie-Rechnern aus Bot-Netzen durchführt.

Die Angriffstechniken der Cracker

Die Programme der Cracker können Wörterbücher und Wörterlisten importieren.

Zunächst werden die Tools mit gewöhnlichen Wörterbüchern wie dem Duden gefüttert – am besten in allen möglichen Sprachen. Diese Wörterbücher können bis zu 100 Millionen Wörter enthalten.

Die Wörterbücher enthalten auch Passwörter, die in der Vergangenheit bereits geknackt wurden. Und außerdem Liedtexte, Bibelverse sowie Zitate.

Danach geht es los: Bei einem sogenannten Wörterbuchangriff wird jeder einzelne Eintrag des Wörterbuchs einzeln und unverändert mit dem Hashwort des zu knackenden Passworts getestet.

Dazu wird das Wort aus dem Wörterbuch verschlüsselt und der Hash-Wert mit dem verschlüsselten Passwort verglichen. Sind die Zeichenketten gleich, wurde das verschlüsselte Passwort (oder eine Hash-Kollision) gefunden.

Sobald das Programm die statischen Wörterbüchern durchgearbeitet hat, geht es in die nächste Runde: Mit erweiterten Regelsätzen versuchen die Tools der Cracker, beliebte Wortveränderungen nachzubauen, indem sie

Das Passwort P@5$w0rD ist daher praktisch genauso unsicher wie das Kennwort Password.

Häufig sind bereits mit diesen Cracking-Regeln die meisten Passwörter geknackt. Aber es folgen noch weitere Cracking-Durchläufe …

Passwortmuster mit Analysewerkzeugen entdecken

Es gibt spezielle Analysewerkzeuge, die Muster erkennen und aus Passwort-Leaks oder vorhandenen geknackten Passwörtern neue Regeln und Schemata generieren können.

Programme wie passpal oder pipal analysieren die Passwörter und erstellen Statistiken über Häufigkeiten und Verteilungen.

Dadurch können die Cracker Rückschlüsse ziehen, beispielsweise auf Passwortvorgaben oder die Maximalpasswortlänge. Bei weiteren Cracking-Durchläufen lassen sie dann beispielsweise Kandidaten ohne Sonderzeichen weg und können die Passwörter mit weniger Rechenleistung schneller knacken.

Auch wiederkehrende Zeichenketten wie der Domainname werden von den Analysetools gefunden. Diese wiederkehrende Zeichenkettenn werden dann in neuen Durchläufen genutzt, um mit neuen Kandidaten weitere Kombinationen auszutesten.

Neu entschlüsselte Passphrasen wandern in die Wörterbücher der Cracker, gefundene Muster werden als Vorlagen in den Analysewerkzeugen gespeichert.

Erweiterte Angriffstechniken

Du siehst, mit diesen Angriffstechniken kann so gut wie jedes von Menschen erdachte Passwort gefunden werden. Die Verfahren erkennen sogar Muster, die ein Mensch gar nicht bewusst wahrnimmt.

Gibt es dann überhaupt sichere Passwörter?

Ja, solange sie nicht von einem Menschen gemacht, sondern zufällig generiert wurden. Ein zufälliges Passwort mit mehr als zehn Zeichen kann von keinem dieser Angriffe entschlüsselt werden.

Mit einem Passwort-Generator oder der Akronymmethode kannst du solche Passwörter schnell generieren.

Weshalb viele Cracker auf der guten Seite sind

Passwortknacker sind häufig gar keine Kriminellen, sondern hauptberufliche Penetrationstester oder Mitglieder der Hashcracking-Szene.

Sie treffen sich bei legalen Hackerwettkämpfen, wie beispielsweise dem Wettbewerb Crack me if you can auf der Hackerkonferenz Defcon in Las Vegas

Die Veranstalter solcher Wettbewerbe sind nicht selten Sicherheitsdienstleister, die von dem Wissen der Passwort-Cracker lernen und profitieren wollen. Die Sicherheitsfirmen verlangen von den Teilnehmern, die verwendeten Tools und Techniken offenzulegen.

Mit dem neuen Wissen können die Sicherheitsunternehmen bei Penetrationstests unsichere Passwörter der Mitarbeiter eines Arbeitgebers aufspüren und so die Passwortsicherheit verbessern.

Aber nicht nur Sicherheitsdienstleister profitieren von der Arbeit der Hashcracking-Szene, sondern auch die Allgemeinheit.

Wenn hundertausende Passwörter analysiert werden, können typische Schwächen gefunden und Gegenmaßnahmen entwickelt werden.

So hat sich beispielsweise in der Vergangenheit herausgestellt, dass typische Vorgaben zu Länge, Gültigkeitsdauer oder der Verwendung von Sonderzeichen die Passwortsicherheit nicht verbessern.

Die Tools der Passwort-Cracker

Um Passwörter zu entschlüsseln, verwenden die Passwort-Cracker Werkzeuge wie John the Ripper, Hashcat oder oclHashcat.

Für das Training nutzen Cracker diverse Hash-Sammlungen, die sich beispielsweise bei HashKiller oder Opencrack finden lassen. Woher die Passwortlisten stammen, bleibt allerdings häufig unklar.

Auch auf Pastbin werden Hash-Listen veröffentlicht. Allerdings handelt es sich meist um die Beute illegaler Webserver-Einbrüche. Trotzdem werden die Hash-Listen von Crackern zum Lernen und Üben genutzt.

Immerhin: Verantwortungsbewusste Cracker laden die entschlüsselten Hashes nicht wieder ins Netz. Denn dadurch würden sie tatsächlich kriminelle Machenschaften unterstützen.

Sind diese Cracker-Tools nicht illegal?

Nein, die von Passwort-Cracker verwendeten Tools sind in Deutschland nicht illegal.

Zwar stellt der sogenannte Hacker-Paragraf 202c das „Vorbereiten des Ausspähens und Abfragens von Daten“ und die Erstellung und Verbreitung von „Computerprogramme(n), deren Zweck die Begehung einer solchen Tat ist“ unter Strafe.

Doch das Bundesverfassungsgericht hat im Jahr 2009 eine entsprechende Verfassungsbeschwerde abgelehnt und bekannt gegeben, dass Software, „deren funktionaler Zweck nicht eindeutig kriminell sei“, nicht von dem Gesetz betroffen sei.

Programme, die für legale Zwecke verwendet werden können, sind also von dem Hacker-Paragrafen nicht betroffen. Das Gesetz zielt stattdessen auf die Entwickler von Viren und trojanischen Pferden ab.

Brauchen die Cracker zum Passwort-Knacken nicht unbezahlbare Supercomputer?

Nein. Was noch um die Jahrtausendwende speziellen Hochleistungs-Clustern vorbehalten war, die nur für mehr als 100 Millionen US-Dollar zu haben waren, schafft heute ein gewöhnlicher Rechner mit einer guten Grafikkarte.

Mit einer guten Grafikkarte?

Ja, denn um viele Passwörter in mögichst kurzer Zeit knacken zu können, benötigen Cracker sehr viel Rechenleistung. Und die erhalten sie von den Chips der Grafikkarten von Nvidia und AMD.

GPUs haben den Vorteil, dass sie parallelisierbare Programmabläufe und sich ständig wiederholende Operationen wie eben das Passwortknacken deutlich schneller abarbeiten als CPUs (Hauptprozessoren).

So können Cracker die gewaltige Rechenleistung von mehreren Teraflops nutzen.

Um die Rechenleistung der Grafikprozessoren (GPUs) zu nutzen, setzen Amateur-Cracker zwei Programmierschnittstellen ein: Zum einen Nivdias proprietäres CUDA, zum anderen die quelloffene Programmierplattform OpenCL.

Finde jetzt heraus, was die Vorraussetzungen für ein sicheres Passwort und wie du dir Passwörter ausdenken und ganz einfach merken kannst.