Passwörter unknackbar speichern

Mit der richtigen Technik speichern Administratoren auch weniger sichere Passwörter so, dass sich ein Angreifer selbst mit modernster Knack-Ausrüstung daran die Zähne ausbeißt.

Lesezeit: 13 Min.
In Pocket speichern
vorlesen Druckansicht
Von
  • Daniel Bachfeld
Inhaltsverzeichnis

Meldungen über Servereinbrüche bei Online-Shops, Spieleanbietern und anderen Dienstleistern liest man mittlerweile fast täglich. Oft gelangen die Einbrecher auch an die Login-Daten der Kunden, inklusive der Passwörter. Weil viele Anwender ein und dasselbe Passwort mehrfach benutzen, können Kriminelle es zum unbefugten Zugriff auf weitere Dienste missbrauchen. Um das Ausspähen der Passwörter zu verhindern, sichern die Betreiber von Webseiten die Nutzer-Passwörter meist kryptografisch, etwa mit Einweg-Hash-Verfahren. Dabei wird aus dem Passwort eine Zeichenkette abgeleitet, die keinerlei Rückschlüsse auf das eigentliche Passwort zulassen. Der einzige Weg später herauszufinden, ob ein Passwort zu einem Hash passt, ist, das Passwort erneut zu hashen und die Ergebnisse zu vergleichen. So arbeiten die Authentifizierungssysteme in Betriebssystemen und Webanwendungen – und auch Passwort-Cracker müssen diesen Weg gehen. Lange Zeit galt das Hash-Verfahren MD5 für diese Zwecke als ausreichend widerstandsfähig, weil die Laufzeit zum Durchprobieren aller Kombinationen Angreifern die Rekonstruktion eines Passwort aus dem Hash schwerer machte. Das Durchprobieren (Brute Force) aller Passwortkombinationen mit Crackern wie John the Ripper bei einem guten Passwort dauerte auf handelsüblicher Hardware Monate wenn nicht gar Jahre. Die Zeiten haben sich geändert.

Crack-Rack: Zusammengeschaltete Tesla-Einschübe auf Grundlage von Nvidias Grafikprozessoren rekonstruieren schwache Passwörter in wenigen Sekunden.

Des einen Freud, des anderen Leid: Cloud, CUDA und Mehrkernrechner beschleunigen das Verarbeiten von Daten enorm und machen selbst komplexe Simulationen für Endanwender möglich. Unglücklicherweise nutzen auch Cracker die Rechenleistung, um aus verschlüsselten Passwörtern in Windeseile den Klartext zu rekonstruieren und sich damit an einem System als Administrator anzumelden. Dabei kommt den Passwort-Knackern zugute, dass ein ausgespähter Hash meist immer noch mit den für eine schnelle Verarbeitung optimierten Algorithmus MD5 erzeugt wurde. So lassen sich etwa mit kommerziellen Passwort-Knackern der Herstellers Elcomsoft sowie freien Tools wie Hashcat und BarsWF mehrere Millionen Hashes pro Sekunde durchprobieren, um zu sehen, ob einer davon zum Passwort passt. Damit ist ein achtstelliges Passwort in vier Tagen geknackt. Doch es geht noch schneller. Da Festplattenspeicher immer billiger wird, setzen Angreifer zum Finden des Passworts zudem oft auf riesige Tabellen (Rainbow Tables) mit Milliarden vorberechneter Hashes ein. Damit ist ein Passwort unter Umständen in wenigen Minuten ermittelt. Auch die für Wörterbuch-Attacken benötigten Listen werden immer größer und führen Crack-Programme bei besonders schwachen Passwörter in Stunden zum Erfolg.