IT-Security und Computerkriminalität: Diese Tools knacken (fast) jedes Passwort

Genau wie bei Gebäuden kann es auch am PC passieren, dass man einmal den »Schlüssel« in Form des Passworts vergisst und somit nicht mehr in bestimmte Bereiche und Dateien kommt. Doch zum Glück gibt es einige digitale Dietriche, die dabei helfen, solche Probleme zu lösen.

Zum Knacken kommen folgende Verfahren in Frage:

Je mehr ein Angreifer über ein Passwort weiß, desto leichter gelingt der Bruch. Tools wie Passware Recovery nutzen diese Verfahren.

Schwacher Algorithmus: Die Verschlüsselung selbst ist schwach, deswegen gibt es ein mathematisches Verfahren, das Passwort zu ermitteln beziehungsweise das Dokument zu entschlüsseln (ältere Office-Dokumente mit RC4).

Fehlerhafte Implementierung: Das Verfahren ist derzeit zwar sicher, aber eine real programmierte Komponente hat Schwächen, beispielsweise der Zufallszahlengenerator (aktuelle SSL-Java-Lücke).

Seitenkanäle: Oft kommt der Angreifer auf Umwegen an den Code, indem er beispielsweise die Spannung am Prozessor misst und daran erkennt, was dieser gerade ausrechnet. Als Seitenkanal könnte man auch bezeichnen, Linux im Singel-User-Mode zu booten.

Sniffen: Mit Tools wie Wireshark (www.wireshark.org ) lassen sich Login-Daten aus dem Netzwerkverkehr belauschen.

Social Engeneering: Professionelle Angreifer versuchen oft menschliche Schwächen im direkten Kontakt auszunutzen: "Hier ist Meier von der EDV. Geben Sie mir mal schnell Ihr Serverpasswort …"

Passwort neu setzen: Manchmal ist es nicht möglich, das blockierende Passwort herauszubekommen, aber der Cracker setzt einfach ein neues (alle Windows-Versionen).

Schwachstelle Passwörter: Das komplette Verfahren ist immer nur so stark, wie das schwächste Glied. Wählt der Anwender hansi7, so nutzt ihm das sicherste AES nichts (siehe Abschnitt: Das sichere Passwort).

Brute Force: Wenn alles nichts hilft, muss der Hacker rohe Gewalt anwenden, indem er alle möglichen Passwörter durchprobiert. Bei schwachen Passwörtern (s.o.) ist das durchaus erfolgreich.