• Zielgruppen
  • Suche
 

Wie können Passwörter gecrackt werden?

Bei den meisten Betriebssystemen wird das Passwort verschlüsselt abgelegt. Zur Verschlüsselung wird eine Funktion benutzt, die ohne Kenntnis des Schlüssels nicht umkehrbar ist (Hash-Funktionen) d.h. nach der Verschlüsselung sind keinerlei Rückschlüsse auf das gewählte Passwort möglich.

Die Idee: beliebige Worte werden mit eben dieser Funktion verschlüsselt; die Ergebnisse werden mit den verschlüsselten Benutzer-Passwörtern verglichen. Finden sich Übereinstimmungen, ist das Passwort "enttarnt". Diese Idee ist Grundlage der beiden Methoden, gezielt an anderer Leute Passwörter zu kommen:

Die Dictionary-Methode

Viele fleißige Leute haben ausführliche Listen mit allen denkbaren wahrscheinlichen Passwörtern zusammengestellt und diese verschlüsselt. Solche Wörterbücher sind zahlreich und über das Internet leicht verfügbar. Da Benutzer oft Passwörter wählen, die einfach zu merken sind (Namen, Daten, Orte), ist es ziemlich wahrscheinlich, dass eine erkleckliche Anzahl von Benutzerpasswörtern mit Hilfe solcher Wörterbücher herausgefunden wird.

Auch werden die verfügbaren Wörterbücher immer ausgefeilter, jedes enthaltene Wort wird auch in etlichen Variationen und Ableitungen getestet:

  • Es werden nur Großbuchstaben, abwechselnd Groß- und Kleinbuchstaben o.ä., verwendet
  • rückwärts geschriebene Begriffe
  • an einer beliebigen Position werden Ziffern oder Sonderzeichen eingefügt
  • Buchstaben werden durch ähnliche Zahlen ersetzt oder umgekehrt (3 und E, 1 und I, 7 und T)
  • beliebige Kombinationen der obigen Varianten
  • es gibt Wörterbücher in allen möglichen Sprachen (auch finnisch, japanisch... ), diese enthalten auch die in dieser Sprache gängigen Orts-, Vor- und Nachnamen und berühmte Persönlichkeiten dieses Landes

es gibt Wörterbücher zu speziellen Themengebieten wie Medizin, EDV, Kunst, Literatur,Geschichte, Fantasy oder Science-Fiction. Dadurch sind Wörter wie "DarthVader", "ncc1701", "Pschyrembel" oder "Bond007" als Passwort ungeeignet.

 

Die brute-force-Methode

Bei dieser Methode werden einfach der Reihe nach sämtliche möglichen Zeichenkombinationen durchgetestet, wobei jede Zeichenkombination wiederum verschlüsselt wird und das Ergebnis mit dem verschlüsselten Passwort verglichen wird. Gegen diese Methode ist man letztlich machtlos, sie nimmt jedoch sehr viel Rechenleistung und somit viel mehr Zeit in Anspruch als die Dictionary-Methode. Mit jedem Zeichen mehr an Passwortlänge oder enthaltenem Sonderzeichen, kommen Sie dem Ideal des nicht knackbaren Passwortes näher. Je weniger Zeichen ein Passwort enthält, desto kleiner ist die Anzahl der Kombinationen, die sich daraus ableiten lassen.

Ein kleines Rechenbeispiel zur Veranschaulichung:
Zeichen-Vorrat Anzahl der Zeichen
Alphabet, ohne Sonderzeichen, Zahlen, Groß- und Kleinschreibung 26
Alphabet mit Groß- und Kleinschreibung 52
plus Zahlen 62
plus Sonderzeichen ca. 95

Beispiel 1: Bei einem Vorrat von 26 Zeichen und einer Passwortlänge von 6 ergibt sich die Anzahl von 26^6 = 308.915.776 möglichen Kombinationen

Beispiel 2: Verwendet man alle 95 Zeichen, hat man bei der gleichen Passwortlänge schon 95^6 = 735.091.890.625 Möglichkeiten.

Bei der Annahme, dass ein normal schnelles System ca. 300.000 Kombinationen pro Sekunde testet, dauert es

im ersten Beispiel 17 Minuten, bis das Passwort geknackt ist (Bei einer Passwortlänge von 5 Zeichen wären es sogar nur 39 Sekunden!);

im zweiten Beispiel werden schon etwa 28 Tage benötigt.

Wie man bei diesen Rechenbeispielen erkennt, steigen die möglichen Kombinationen mit jedem Zeichen, die das Passwort länger wird, exponentiell an.

Länge PW 26 klein 52 groß+klein 62 gr.+kl.+Ziff. 95 +Sonderz.
5 39 Sekunden 21 Minuten 51 Minuten 7,2 Stunden
6 17 Minuten 18 Stunden 2,2 Tage 28 Tage
7 7,4 Stunden 39 Tage 135 Tage 7,4 Jahre
8 8 Tage 5,6 Jahre 23 Jahre 700 Jahre

Wie man in der obigen Tabelle an der Kombination Passwortlänge 8 mit Zeichenvorrat 26 jedoch auch erkennen kann, reicht eine Passwortlänge von 8 Zeichen allein nicht aus, um das Passwort sicher zu machen. Es müssen immer mindestens Ziffern und Sonderzeichen benutzt werden, bei Unix- und modernen Windows-Systemen bringt auch der Wechsel zwischen Groß- und Kleinbuchstaben ein Plus an Sicherheit.

Bei der im Allgemeinen empfohlenen Passwortlänge von 8 Zeichen und "großem" Zeichenvorrat werden, ausgehend von den obigen Annahmen schon Jahre benötigt, um das Passwort herauszufinden:
958 ergibt 6.634.204.312.890.625 mögliche Kombinationen bzw. eine Laufzeit von 700 Jahren.

In letzter Zeit sind neuere Crack-Methoden aufgekommen: Rainbow-Tables und die Verwendung der Rechenleistung moderner Grafikkarten. Mit diesen Methoden ist die benötigte Zeit zur Berechnung bzw. dem Knacken von Hashes deutlich geringer geworden. Inzwischen sollte man lieber eine Mindestlänge von 10 Zeichen ansetzen - zumindest bei Systemenen, bei denen die Hashes anderen bekannt werden können (z.B. Windows- oder Unix-Desktop-Systeme).