Es gibt viele Möglichkeiten, ein Konto zu hacken. Das Knacken von Passwörtern ist eine davon – es beinhaltet die Verwendung verschiedener rechnerischer und anderer Methoden, um den Schritt der Passwort-Authentifizierung zu durchbrechen. In diesem Artikel werden wir verschiedene Techniken zum Knacken von Passwörtern besprechen. Heutzutage gibt es sogar spezialisierte Tools zum Knacken von Passwörtern, die nicht nur für böse Zwecke verwendet werden müssen. Aber bevor wir ins Detail gehen, lassen Sie uns besprechen, was Passwort-Cracking ist.
Was ist Passwort-Cracking und wie funktioniert es?
Passwort-Cracking bedeutet, Passwörter von einem Computer oder von Daten, die ein Computer überträgt, wiederherzustellen. Dabei muss es sich nicht um eine ausgeklügelte Methode handeln. Ein Brute-Force-Angriff, bei dem alle möglichen Kombinationen überprüft werden, ist auch Passwort-Cracking.
Wenn das Passwort als Klartext gespeichert ist, gibt das Hacken der Datenbank dem Angreifer alle Kontoinformationen. Heutzutage werden die meisten Passwörter jedoch mit einer Schlüsselableitungsfunktion (KDF) gespeichert. Diese nimmt ein Passwort und lässt es durch eine Einweg-Verschlüsselungs-Chiffre laufen, wodurch ein sogenannter „Hash“ erzeugt wird. Der Server speichert die Hash-Version des Passworts.
Bei der Verwendung einer GPU oder eines Botnets ist es einfach, verschiedene gehashte Passwörter mit hoher Rate auszuprobieren. Deshalb verwenden die meisten Passwort-Hash-Funktionen Key-Stretching-Algorithmen, die die für einen Brute-Force-Angriff benötigten Ressourcen (und damit die Zeit) erhöhen.
Einige Methoden zum Knacken von Passwörtern werden deutlich schwieriger, wenn Ihr Passwort Salting oder Key-Stretching verwendet. Leider gibt es immer noch einige Dienste, die unverschlüsselte oder schwach verschlüsselte Passwörter auf ihren Servern speichern.
Tools zum Knacken von Passwörtern
Kein Passwort lässt sich ohne geeignete Tools knacken. Wenn Sie aus Milliarden von Kombinationen raten müssen, ist etwas rechnerische Unterstützung mehr als willkommen. Wie immer hat jedes Tool seine Vor- und Nachteile.
Aber bevor Sie mit dem Knacken beginnen können, brauchen Sie zuerst den Passwort-Hash. Hier sind einige der beliebtesten Tools, um den Hash zu erhalten:
- Mimikatz. Bekannt als App zur Überprüfung und Wiederherstellung von Passwörtern, kann Mimikatz auch zum Abrufen von bösartigen Hashs verwendet werden. Tatsächlich könnte es genauso gut Klartext-Passwörter oder PIN-Codes extrahieren.
- Wireshark. Mit Wireshark können Sie Packet Sniffing durchführen, was die Nummer zehn auf unserer obigen Liste der Passwortknacktechniken ist. Wireshark ist ein preisgekrönter Paketanalysator, der nicht nur von Hackern, sondern auch von Unternehmen und staatlichen Institutionen verwendet wird.
- Metasploit. Dies ist ein beliebtes Framework für Penetrationstests. Metasploit wurde für Sicherheitsexperten entwickelt, kann aber auch von Hackern verwendet werden, um Passwort-Hashes auszulesen.
Und nun kommen die beliebtesten Tools zum Knacken von Passwörtern in keiner bestimmten Reihenfolge.
John the Ripper
John the Ripper ist ein kostenloses, quelloffenes, kommandobasiertes Programm, das in vielen Listen beliebter Tools zum Knacken von Passwörtern auftaucht. Es ist für Linux und macOS verfügbar, während Windows- und Android-Benutzer die Hash Suite erhalten, die von einem Mitwirkenden entwickelt wurde.
John the Ripper unterstützt eine riesige Liste verschiedener Verschlüsselungs- und Hash-Typen. Einige davon sind:
- Unix, macOS, und Windows-Benutzerpasswörter
- Webanwendungen
- Datenbankserver
- Mitschnitte des Netzwerkverkehrs
- Verschlüsselte private Schlüssel
- Festplatten und Dateisysteme
- Archive
- Dokumente
Es gibt auch eine Pro-Version mit zusätzlichen Funktionen und nativen Paketen für unterstützte OS. Wortlisten, die zum Knacken von Passwörtern verwendet werden, sind käuflich, aber es gibt auch kostenlose Optionen.
Cain & Abel
Ein weiteres beliebtes Tool zum Knacken von Passwörtern ist Cain & Abel, das fast 2 Millionen Mal von seiner offiziellen Quelle heruntergeladen wurde. Aber im Gegensatz zu John the Ripper verwendet es eine grafische Benutzeroberfläche, was es sofort benutzerfreundlicher macht. Das und die Tatsache, dass es nur für Windows verfügbar ist, macht Kain & Abel zu einem Go-to-Tool für Amateure, auch bekannt als Script-Kiddies.
Es handelt sich um ein vielseitig einsetzbares Tool, das viele verschiedene Funktionen beherrscht. Kain & Abel kann als Paketanalysator fungieren, VoIP aufzeichnen, Routenprotokolle analysieren oder nach drahtlosen Netzwerken suchen und deren MAC-Adressen abrufen. Wenn Sie den Hash bereits haben, bietet dieses Tool eine Option für Wörterbuch- oder Brute-Force-Angriffe. Kain & Abel kann auch Passwörter anzeigen, die sich unter den Sternchen verstecken.
Ophcrack
Ophcrack ist ein freies und quelloffenes Tool zum Knacken von Passwörtern, das sich auf Rainbow-Table-Angriffe spezialisiert hat. Genauer gesagt knackt es LM- und NTLM-Hashes, wobei ersteres Windows XP und frühere Betriebssysteme anspricht und letzteres mit Windows Vista und 7 assoziiert wird. NTLM ist bis zu einem gewissen Grad auch auf Linux und freeBSD verfügbar. Beide Hash-Typen sind unsicher – es ist möglich, einen NTLM-Hash in weniger als 3 Stunden mit einem schnellen Computer zu knacken.
Wie Sie im obigen Screenshot sehen können, benötigte Ophcrack gerade einmal sechs Sekunden, um ein 8-Symbol-Passwort zu knacken, wobei eine Regenbogentabelle verwendet wurde, die Buchstaben, Zahlen und Großbuchstaben enthält. Das sind sogar mehr Variablen als ein Mainstream-Passwort normalerweise hat.
Dieses Tool kommt mit kostenlosen Windows XP/Vista/7-Regenbogentabellen und einer Brute-Force-Angriffsfunktion für einfache Passwörter. Ophcrack ist für Windows, macOS und Linux verfügbar.
THC Hydra
Die wohl größte Stärke von THC Hydra ist nicht die mögliche Anzahl an Köpfen, sondern die schiere Anzahl an Protokollen, die es unterstützt und die ebenfalls zu wachsen scheint! Es handelt sich um ein Open-Source-Tool zum Knacken von Netzwerk-Login-Passwörtern, das mit Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH und Telnet arbeitet, um nur einige zu nennen.
Zu den Methoden, die mit THC Hydra zur Verfügung stehen, gehören Brute-Force- und Wörterbuch-Angriffe, aber auch die Verwendung von Wortlisten, die von anderen Tools generiert wurden. Dieser Passwort-Cracker ist bekannt für seine Geschwindigkeit dank der Multi-Thread-Kombinationsprüfung. Er kann sogar Prüfungen auf verschiedenen Protokollen gleichzeitig durchführen. THC Hydra ist für Windows, macOS und Linux verfügbar.
Hashcat
Hashcat positioniert sich als der schnellste Passwort-Cracker der Welt und ist ein kostenloses Open-Source-Tool, das für Windows, macOS und Linux verfügbar ist. Es bietet eine Reihe von Techniken, von der einfachen Brute-Force-Attacke bis zur Hybrid-Maske mit Wortliste.
Hashcat kann sowohl Ihre CPU als auch Ihre GPU nutzen, sogar gleichzeitig. Das macht das Knacken mehrerer Hashes gleichzeitig viel schneller. Aber was dieses Tool wirklich universell macht, ist die Anzahl der unterstützten Hash-Typen. Hashcat kann MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass und viele mehr entschlüsseln. Tatsächlich unterstützt es über 300 Hash-Typen.
Passwort-Knacktechniken, die von Hackern verwendet werden
Natürlich wollen Hacker die einfachste verfügbare Methode zum Passwort-Knacken verwenden. Meistens ist diese Methode Phishing, das weiter unten im Detail beschrieben wird. Solange der Mensch das schwächste Glied eines jeden Sicherheitssystems ist, ist es am besten, ihn ins Visier zu nehmen.
Während Passwörter ein sehr beliebtes Tool zur Kontosicherheit sind, sind sie nicht unbedingt die sicherste Option. Das ist besonders dann der Fall, wenn ein Benutzer ein schwaches Passwort erstellt, es wiederverwendet und seine Klartextkopie irgendwo online speichert. Deshalb macht die Verwendung biometrischer Daten (die auch ihre Nachteile hat) oder das Hinzufügen eines zweiten Faktors die meisten der unten genannten Knackmethoden unbrauchbar.
Ein typischer Angriff zum Knacken von Passwörtern sieht wie folgt aus:
- Beschaffen Sie die Passwort-Hashes
- Bereiten Sie die Hashes für Ihr ausgewähltes Cracking-Tool vor
- Wählen Sie eine Cracking-Methode
- Ausführen des Cracking-Tools
- Auswerten der Ergebnisse
- Bei Bedarf, Optimieren Sie Ihren Angriff
- Gehen Sie zu Schritt 2
Nun lassen Sie uns die beliebtesten Techniken zum Knacken von Passwörtern besprechen. Es gibt viele Fälle, in denen diese miteinander kombiniert werden, um einen größeren Effekt zu erzielen.
Phishing
Phishing ist die beliebteste Technik, bei der der Benutzer dazu verleitet wird, auf einen E-Mail-Anhang oder einen Link zu klicken, der Malware enthält. Die Methoden dafür beinhalten in der Regel das Versenden einer wichtigen und offiziell aussehenden E-Mail, die davor warnt, Maßnahmen zu ergreifen, bevor es zu spät ist. Am Ende wird automatisch eine Software zum Extrahieren von Passwörtern installiert oder der Benutzer gibt seine Kontodaten auf einer ähnlich aussehenden Website ein.
Es gibt verschiedene Arten von Phishing, die auf eine bestimmte Situation zugeschnitten sind, daher sehen wir uns die wenigen üblichen an:
- Spear-Phishing zielt auf eine bestimmte Person ab und versucht, vor dem Angriff so viele persönliche Informationen wie möglich zu sammeln.
- Whaling zielt auf Führungskräfte ab und verwendet firmenspezifische Inhalte, die eine Kundenbeschwerde oder ein Brief eines Aktionärs sein können.
- Voice-Phishing beinhaltet eine gefälschte Nachricht von einer Bank oder einer anderen Institution, die den Benutzer auffordert, die Hotline anzurufen und seine Kontodaten einzugeben.
Malware
Wie Sie gesehen haben, ist auch Malware oft Teil der Phishing-Technik. Sie kann jedoch auch ohne den Faktor „Social Engineering“ funktionieren, wenn der Benutzer naiv genug ist (das ist er meistens). Zwei der häufigsten Malware-Typen zum Stehlen von Kennwörtern sind Keylogger und Screen Scraper. Wie die Namen schon andeuten, sendet ersterer alle Ihre Tastatureingaben an den Hacker, und letzterer lädt die Screenshots hoch.
Auch andere Arten von Malware können zum Passwortdiebstahl verwendet werden. Ein Backdoor-Trojaner kann vollen Zugriff auf den Computer des Anwenders gewähren, und das sogar bei der Installation von sogenannter Grayware. Diese auch als potenziell unerwünschte Anwendungen bezeichneten Programme installieren sich in der Regel selbst, nachdem Sie auf einer Website auf die falsche Schaltfläche „Download“ geklickt haben. Während die meisten von ihnen Werbung anzeigen oder Ihre Webnutzungsdaten verkaufen, können einige weitaus gefährlichere Software installieren.
Social Engineering
Diese Technik zum Knacken von Passwörtern setzt auf Leichtgläubigkeit und kann, muss aber nicht, ausgeklügelte Soft- oder Hardware verwenden – Phishing ist eine Art von Social-Engineering-Schema.
Die Technologie hat das Social Engineering revolutioniert. Im Jahr 2019 nutzten Hacker KI und Sprachtechnologie, um sich als Geschäftsinhaber auszugeben und den CEO zur Überweisung von 243.000 US-Dollar zu verleiten. Dieser Angriff hat gezeigt, dass das Vortäuschen einer Stimme nicht mehr die Zukunft ist und Video-Imitationen schneller alltäglich werden, als man denkt.
In der Regel kontaktiert der Angreifer das Opfer getarnt als Vertreter einer Institution und versucht, so viele persönliche Informationen wie möglich zu erhalten. Wenn er sich als Bank- oder Google-Vertreter ausgibt, besteht die Chance, dass er das Passwort oder die Kreditkartendaten sofort bekommt. Im Gegensatz zu den anderen Techniken kann Social Engineering auch offline geschehen, indem das Opfer angerufen oder sogar persönlich getroffen wird.
Brute-Force-Angriff
Wenn alles andere fehlschlägt, haben Passwort-Cracker die Brute-Force-Attacke als letzten Ausweg. Dabei werden grundsätzlich alle möglichen Kombinationen ausprobiert, bis man den Jackpot knackt. Die Tools zum Knacken von Passwörtern erlauben es jedoch, den Angriff zu modifizieren und die Zeit, die zum Prüfen aller Varianten benötigt wird, erheblich zu reduzieren. Der Benutzer und seine Gewohnheiten sind auch hier die Schwachstellen.
Wenn der Angreifer ein Passwort mit Brute-Force erzwingen konnte, wird er davon ausgehen, dass das Passwort wiederverwendet wurde und die gleiche Kombination von Anmeldedaten bei anderen Online-Diensten ausprobieren. Dies wird als Credential Stuffing bezeichnet und ist im Zeitalter von Datenschutzverletzungen sehr beliebt.
Wörterbuch-Attacke
Eine Wörterbuch-Attacke ist eine Art von Brute-Force-Attacke und wird oft zusammen mit anderen Brute-Force-Angriffsarten verwendet. Es wird automatisch geprüft, ob das Passwort nicht eine oft verwendete Phrase wie „iloveyou“ ist, indem das Wörterbuch durchsucht wird. Der Angreifer könnte auch Passwörter von anderen geleakten Konten hinzufügen. In einem solchen Szenario steigt die Chance eines erfolgreichen Wörterbuchangriffs erheblich.
Wenn Benutzer starke Passwörter wählen würden, die nicht nur ein Wort enthalten, würden solche Angriffe schnell zu einem einfachen Brute-Force-Angriff herabgestuft. Falls Sie einen Passwort-Manager verwenden, dann ist die Generierung einer zufälligen Menge von Symbolen die beste Wahl. Und wenn Sie das nicht tun, ist eine lange Phrase aus mindestens fünf Wörtern auch gut. Vergessen Sie nur nicht, sie für jedes Konto wiederzuverwenden.
Spidering
Spidering ist eine zusätzliche Technik zum Knacken von Passwörtern, die bei den oben erwähnten Brute-Force- und Wörterbuch-Angriffen hilft. Sie beinhaltet das Sammeln von Informationen über das Opfer, in der Regel eine Firma, in der Annahme, dass es einige dieser Informationen für die Passwort-Erstellung verwendet. Das Ziel ist es, eine Wortliste zu erstellen, die helfen würde, das Passwort schneller zu erraten.
Nachdem man die Website des Unternehmens, die sozialen Medien und andere Quellen überprüft hat, kann man etwa Folgendes herausfinden:
- Name des Gründers – Mark Zuckerberg
- Tag des Gründers – 1984 05 14
- Schwester des Gründers – Randi
- andere Schwester des Gründers – Donna
- Firmenname – Facebook
- Hauptsitz -. Menlo Park
- Unternehmensmission – Gib den Menschen die Macht, eine Gemeinschaft aufzubauen und die Welt näher zusammenzubringen
Jetzt müssen Sie es nur noch in ein geeignetes Tool zum Knacken von Passwörtern hochladen und die Früchte ernten.
Raten
Während Raten bei weitem nicht die beliebteste Technik zum Knacken von Passwörtern ist, bezieht sie sich auf das oben erwähnte geschäftsorientierte Spidering. Manchmal muss der Angreifer nicht einmal Informationen über das Opfer sammeln, weil das Ausprobieren einiger der beliebtesten Passphrasen ausreicht. Wenn Sie sich daran erinnern, eines oder mehrere der armseligen Passwörter in der folgenden Liste zu verwenden, empfehlen wir dringend, sie jetzt zu ändern.
Einige der häufigsten Passwörter im Jahr 2019
- 123456
- qwerty
- password
- iloveyou
- admin
- lovely
- 7777777
- 888888
- princess
- dragon
Auch wenn die Anzahl der Leute, die einfache oder Standardpasswörter wie „admin,“, „qwerty“ oder „123456“ verwenden, lieben viele immer noch einfache und einprägsame Phrasen. Dazu gehören oft Namen von Haustieren, Liebhabern, Tierliebhabern, Ex-Haustieren oder etwas, das mit dem eigentlichen Dienst zu tun hat, wie z.B. sein Name (Kleinbuchstaben).
Rainbow Table Attack
Wie oben erwähnt, ist eines der ersten Dinge, die man beim Passwort-Knacken macht, das Passwort in Form eines Hashes zu erhalten. Dann erstellt man eine Tabelle mit gängigen Passwörtern und ihren gehashten Versionen und prüft, ob das zu knackende mit einem der Einträge übereinstimmt. Erfahrene Hacker haben in der Regel eine Regenbogentabelle, die auch durchgesickerte und bereits geknackte Passwörter enthält, was sie effektiver macht.
Meistens enthalten Regenbogentabellen alle möglichen Passwörter, was sie extrem groß macht und Hunderte von GBs einnimmt. Andererseits machen sie den eigentlichen Angriff schneller, weil die meisten Daten bereits vorhanden sind und man sie nur noch mit dem anvisierten Hash-Passwort vergleichen muss. Glücklicherweise können sich die meisten Benutzer mit großen Salts und Key-Stretching vor solchen Angriffen schützen, vor allem, wenn sie beides verwenden.
Wenn das Salt groß genug ist, sagen wir 128-Bit, werden zwei Benutzer mit demselben Passwort eindeutige Hashes haben. Das bedeutet, dass das Generieren von Tabellen für alle Salts eine astronomische Menge an Zeit in Anspruch nimmt. Was das Key-Stretching betrifft, erhöht es die Hashing-Zeit und begrenzt die Anzahl der Versuche, die der Angreifer in der gegebenen Zeit machen kann.
Wie erstellt man ein starkes Passwort?
Ganz gleich, wie gut Ihr Gedächtnis oder Ihr Passwort-Manager ist, wenn Sie kein gutes Passwort erstellen, wird das zu unerwünschten Konsequenzen führen. Wie wir in diesem Artikel besprochen haben, können Passwort-Cracking-Tools schwache Passwörter innerhalb von Tagen, wenn nicht Stunden, entschlüsseln. Deshalb fühlen wir uns verpflichtet, einige der wichtigsten Tipps für die Erstellung einer starken Passphrase in Erinnerung zu rufen:
- Länge. Wie so oft, ist die Länge der wichtigste Faktor.
- Kombinieren Sie Buchstaben, Zahlen und Sonderzeichen. Das erhöht die Anzahl der möglichen Kombinationen erheblich.
- Nicht wiederverwenden. Selbst wenn Ihr Passwort in der Theorie stark ist, macht die Wiederverwendung Sie angreifbar.
- Vermeiden Sie leicht zu erratende Phrasen. Ein Wort, das im Wörterbuch, auf dem Halsband Ihres Haustieres oder auf Ihrem Autokennzeichen steht, ist ein großes NEIN.
Wenn Sie mehr über die Erstellung guter Passwörter erfahren möchten, lesen Sie unseren Artikel Wie man ein starkes Passwort erstellt. Sie können auch unseren Passwort-Generator ausprobieren, der Ihnen helfen wird, sichere Passwörter zu erstellen.
Erstellen Sie einzigartige Passwörter
Generieren Sie sichere Passwörter, die komplett zufällig und unmöglich zu erraten sind.
Ist das Knacken von Passwörtern illegal?
Es gibt keine eindeutige Antwort darauf. Zunächst einmal sind alle oben beschriebenen Tools zum Knacken von Passwörtern völlig legal. Das liegt daran, dass sie eine Schlüsselrolle bei der Prüfung auf Sicherheitslücken spielen und auch dabei helfen können, ein verlorenes Passwort wiederherzustellen. Darüber hinaus helfen solche Tools den Strafverfolgungsbehörden bei der Verbrechensbekämpfung. Wie so oft kann das Knacken von Passwörtern also sowohl der guten als auch der schlechten Sache dienen.
Was das Knacken von Passwörtern als Tätigkeit betrifft, so hängt es von zwei Faktoren ab. Erstens: Der Hacker hat nicht die Berechtigung, auf diese speziellen Daten zuzugreifen. Zweitens, das Ziel ist es, die Daten zu stehlen, zu beschädigen oder anderweitig zu missbrauchen. Selbst wenn nur einer dieser Faktoren vorliegt, wird ein Hacker höchstwahrscheinlich eine Strafe erhalten, die von einer Geldstrafe bis hin zu einer mehrjährigen Haftstrafe reicht.
Zusammenfassend lässt sich sagen, dass das Knacken von Passwörtern illegal ist, wenn es kein Bug Bounty gibt, keine Vereinbarung zur Durchführung eines Penetrationstests und keine Bitte, bei der Wiederherstellung eines verlorenen Passworts zu helfen.
Fazit
Das Knacken von Passwörtern ist einfacher, als die meisten Benutzer denken. Es gibt viele kostenlose Tools und einige von ihnen sind sogar für Anfänger leicht genug zu knacken. Es gibt auch mehr als eine Technik zum Knacken von Passwörtern, die man ausprobieren kann. Angefangen mit einem einfachen Brute-Force-Angriff bis hin zu ausgeklügelten Methoden, die verschiedene Techniken kombinieren, entwickelt sich das Passwort-Cracking jeden Tag weiter.
Die beste Verteidigung gegen das Passwort-Cracking ist die Verwendung eines starken Passworts. Die Verwendung von genügend Symbolen und verschiedenen Zeichen stellt sicher, dass selbst der schnellste Computer Ihr Konto in diesem Leben nicht knacken kann. Und da es unwahrscheinlich ist, sich mehrere starke Passwörter zu merken, ist es am besten, einen zuverlässigen Passwort-Manager zu verwenden. Die Zwei-Faktor-Authentifizierung ist immer noch ein Ärgernis für jeden Hacker, so dass das Hinzufügen einer Finger- oder Gesichts-ID Ihre Daten sicher hält, zumindest für die absehbare Zukunft.fcomm