IT-Security und Computerkriminalität: Diese Tools knacken (fast) jedes Passwort

Genau wie bei Gebäuden kann es auch am PC passieren, dass man einmal den »Schlüssel« in Form des Passworts vergisst und somit nicht mehr in bestimmte Bereiche und Dateien kommt. Doch zum Glück gibt es einige digitale Dietriche, die dabei helfen, solche Probleme zu lösen.

Brute-Force

WebBrowserPassView von Nirsoft zeigt die Passwörter der Browser IE, Firefox, Opera und Chrome im Klartext an.

Wer ein gut gesichertes Passwort knacken will, kommt um eine Brute-Force-Attacke nicht herum. Hat man kein programmspezifisches Spezial-Tool dafür, benötigt man etwas Know-how. Der Cracker muss zum Beispiel wissen, wo das Passwort liegt und wie es codiert ist: MD5 oder SHA-2? Je mehr er über das Passwort weiß, desto einfacher wird der Angriff.

Tools wie Cain&Abel (C&A, www.oxid.it/cain.html ) sind spezialisiert aufs Knacken von Hashes. Es bietet einen Wörterbuch-Angriff für Passwörter, die aus sprachlichen Begriffen bestehen.

Das sind letztendlich die meisten (wie sChl77üsseL). Schließlich beschleunigt der Cracker die Suche mit Rainbow-Tables. Diese nehmen dem Rechner Arbeit ab, denn mit ihnen muss er nicht jedes Passwort erst erzeugen, sondern arbeitet einfach eine fertige Liste ab.

Das ist schneller. C&A erzeugt Tables, das dauert Wochen (die Zeit, die man später beim Angriff spart), aber es gibt auch fertige zum Download im Internet: (www.freerainbow tables.com/de/tables ). Zum Ausprobieren bietet C&A einen Hash-Generator, mit dem der Anwender Passwörter selbst codiert, um sie anschließend knacken zu lassen.

C&A kann aber noch mehr: Es holt sich die Windows-Login-Hashes, belauscht diverse On- und Offline-Passwörter, auch die der Browser, und es fungiert als kompletter Netzwerk-Sniffer wie Wireshark. Außerdem arbeitet es im Fernzugriff: Cain lokal, Abel fern. Abel wird deswegen oft als Trojaner blockiert. Nicht zu unrecht.