Wie wird ein Passwort gehackt?
LinkedIn Datendiebstahl entwickelt sich zu riesigem Problem
7. Juni 2016
Umstieg auf ArchiCrypt Passwort Safe
11. Juni 2016
Wie wird ein Passwort geknackt?
In den vergangenen Tagen gab es wieder einmal spektakuläre und angsteinflößende Meldungen ober den Diebstahl von Zugangsdaten. Weit über 100 Millionen Datensätze bei LinkedIn, weit mehr als 120 Millionen Datensätze bei der Dating Plattform Badoo. Immer wieder werden von Diensteanbietern im Internet massenhaft Daten entwendet.
ArchiCrypt Passwort Cracker
Wir haben uns dem Thema Passwort-Diebstahl und Passwort Hacking einmal von einer etwas anderen Seite genähert.Das Resultat ist ein kleines Demonstrationsprogramm mit dem wir die grundsätzliche Vorgehensweise beim Knacken eines Passwortes erläutern.
Im Video erfahren Sie, was genau hinter dem Diebstahl der Zugangsdaten steckt, welche Fehler die Seitenbetreiber beim Umgang mit Ihrem Passwort gemacht haben und was Sie persönlich vorbeugend tun können.
Das Programm ArchiCrypt Passwort Cracker können Sie sich gerne auch hier herunterladen...
Wörterbuch Angriff auf Hashwerte
Im Internet gibt es fast nichts, was es nicht gibt. So muss es auch nicht verwundern, dass es Sammlungen von möglichen Passwörtern gibt, die man als so genannte Wörterbücher bequem laden kann.Anhand von ArchiCrypt Passwort Cracker wird gezeigt, wie man mit Hilfe der Wörterbücher und den gestohlenen Zugangsdaten an die Passwörter kommt.
Selbstverständlich wird auch auf den allseits bekannten Brute Force Angriff eingegangen und auch Rainbow Tables und Time-Memory Trade-Off bleiben nicht unerwähnt
Was können Sie als Nutzer dieser Dienste lernen?
1. Sie haben keinen Einfluss darauf, was der Dienstanbieter mit Ihrem Passwort macht. Theoretisch könnte er es sogar im Klartext, also unverschlüsselt in der Datenbank speichern. Dumm, wenn das Passwort dann auch an anderer Stelle zum Einsatz kommt. Also nicht nur auf Pillepalle.com, sondern auch bei Facebook, Amazon oder eBay. Daher sollten Sie unbedingt für jeden Dienst ein eigenes Passwort verwenden!
2. Verwenden Sie niemals lexikalische Begriffe als Passwort. Auch nicht in Kombination mit ein paar Zahlen oder Sonderzeichen. Die oben vorgestellte Angriffsvariante mit Wörterbüchern verwendet oft auch s.g. Permutationen und Substitutionen (Testet also nicht nur Ballon, sondern auch bAll0n, Ba11on23, 8A110N2 usw.).
Also weg von Wörtern, hin zu langen,guten Passwörtern, bestehend aus mindestens 12 Zeichen, die aus Groß- Kleinbuchstaben, Ziffern und Sonderzeichen zusammengesetzt sind. Das gibt etwas Sicherheit zumindest dann, wenn der Anbieter das Passwort nicht im Klartext speichert.
3. Ändern Sie Passwörter für Internetseiten und Dienste regelmäßig (mindestens alle 3 Monate). Nicht weil Ihre heute sicheres 20 Zeichen langes Passwort morgen unsicher ist, das ist Unsinn, sondern um Hackerangriffen zuvor zu kommen. Ein Diebstahl von Zugangsdaten bleibt nicht selten unentdeckt oder wird erst viel später bekannt.
4. Wer ArchiCrypt Passwort Safe einsetzt, kann von der automatischen Benachrichtigungsfunktion profitieren. Gefährdete Einträge werden markiert und Sie können die Daten ändern. Ansonsten müssen Sie sich selbst auf dem Laufenden halten und Augen und Ohren offen halten um entsprechende Meldungen wahr zu nehmen.
1. Sie haben keinen Einfluss darauf, was der Dienstanbieter mit Ihrem Passwort macht. Theoretisch könnte er es sogar im Klartext, also unverschlüsselt in der Datenbank speichern. Dumm, wenn das Passwort dann auch an anderer Stelle zum Einsatz kommt. Also nicht nur auf Pillepalle.com, sondern auch bei Facebook, Amazon oder eBay. Daher sollten Sie unbedingt für jeden Dienst ein eigenes Passwort verwenden!
2. Verwenden Sie niemals lexikalische Begriffe als Passwort. Auch nicht in Kombination mit ein paar Zahlen oder Sonderzeichen. Die oben vorgestellte Angriffsvariante mit Wörterbüchern verwendet oft auch s.g. Permutationen und Substitutionen (Testet also nicht nur Ballon, sondern auch bAll0n, Ba11on23, 8A110N2 usw.).
Also weg von Wörtern, hin zu langen,guten Passwörtern, bestehend aus mindestens 12 Zeichen, die aus Groß- Kleinbuchstaben, Ziffern und Sonderzeichen zusammengesetzt sind. Das gibt etwas Sicherheit zumindest dann, wenn der Anbieter das Passwort nicht im Klartext speichert.
3. Ändern Sie Passwörter für Internetseiten und Dienste regelmäßig (mindestens alle 3 Monate). Nicht weil Ihre heute sicheres 20 Zeichen langes Passwort morgen unsicher ist, das ist Unsinn, sondern um Hackerangriffen zuvor zu kommen. Ein Diebstahl von Zugangsdaten bleibt nicht selten unentdeckt oder wird erst viel später bekannt.
4. Wer ArchiCrypt Passwort Safe einsetzt, kann von der automatischen Benachrichtigungsfunktion profitieren. Gefährdete Einträge werden markiert und Sie können die Daten ändern. Ansonsten müssen Sie sich selbst auf dem Laufenden halten und Augen und Ohren offen halten um entsprechende Meldungen wahr zu nehmen.
Weiterführende Links zum Thema Passwort knacken
Brute Force in der Cloud
http://blog.archicrypt.de/brute-force-in-der-cloud/ Schlüssel, Salz und Regenbogen
http://blog.archicrypt.de/schlussel-salz-und-regenbogen/ Das Demoprogramm gibt es auf der Seite Freeware von ArchiCrypt
https://www.archicrypt.de/freeware/
Beitragsbild: Bigstock – Stockfoto-ID: 88983185 Copyright: Ocus Focus
