tools - Bites, Bytes and my 5 cents

FÜR EINSTEIGERPasswort CrackingAngriff- und AbwehrmethodenPatrick SchmidPasswort Cracking beschreibt ein Prozess, wie man einunbekanntes Passwort herausbekommen kann. Wie genaudas funktioniert, welche Methoden es gibt oder welcheTools uns dabei unterstützen können, wird in diesem Artikelerläutert.IN DIESEM ARTIKEL ERFAHREN SIE...• welche Methoden es gibt, um ein Passwort zu knacken• wie unsicher ein simples Passwort sein kann• wie Windows das cracken von Passwörtern unterstützt• wie man sich schützen kann• was bei Passwörtern beachtet werden mussWAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• keine speziellen Vorkenntnisse nötigDie dabei gängigsten Methoden sind:Brute ForceDie Methode, welche theoretisch immer funktioniert, nenntsich Brute Force. Das bedeutet, dass einfach jede möglichePasswortkombination simpel durchprobiert wird.Rein theoretisch muss dies früher oder später zumErfolg führen. Rein praktisch jedoch, kann auch nicht jedesPasswort mit dieser Methode geknackt werden, daaufgrund fehlender Rechenleistung, der gesamte Vorgangschlicht und einfach ausserhalb des vertretbarenZeitrahmens liegen würde. Dies ist besonders bei sehrlangen, oder aber sehr kreativen Passwörtern der Fall.WörterbuchEine schnellere Methode zum Knacken eines Passwortesbasiert auf einem Wörterbuch. Dabei wir die Tatsacheausgenutzt, dass die meisten Benutzer bei derWahl ihres Passwortes ein einfaches und simples Wortmit Sinn wählen. Somit ist es üblich, dass das Passwortselbst auch in einem Wörterbuch auftauchen würde.Die Wahrscheinlichkeit, dass ein Passwort auch geknacktwerden kann, ist zwar im Gegensatz zur BruteForce-Methodik nicht ganz so hoch, jedoch wird diesdurch den immensen Zeitgewinn wieder wettgemacht.Social EngineeringDie erfolgreichste und meist einfachste Methode ist SocialEngineering. Dabei wird keine übermässige Rechenleistungbenötigt, um innert ein paar Minuten einauch noch so langes Passwort herauszufinden.Social Engineering nutzt dabei die wahrscheinlichgrösste Sicherheitslücke der Informatik aus: derMensch selbst!Das Problem ist, dass die meisten Menschen einfachzu leichtgläubig sind, wenn die Person am anderenEnde des Telefons sich als Systemadministratorausgibt und gerade ein Problem überprüfen willund deshalb nach dem Benutzernamen und dem zugehörigenPasswort fragt. Wenn man dies so liest,denkt sich jeder natürlich, so etwas würde ich selbstnie machen - doch wie sieht es aus, wenn die Personam anderen Ende gerade in einem Dilemmasteckt und die letzte Abrechnung unbedingt in 10 Minutenabgegeben werden muss. Dummerweise hatder Hilfesuchende sein Passwort verloren und fragtnach Ihrem Passwort. Wenn er dabei auch noch denNamen des Abteilungsleiters nennt, wer würde daschon den hilfesuchenden „Mitarbeiter“ hängen lassen…Rainbow TablesDiese Methode wurde im Jahre 1980 vom Kryptografie-ExperteMartin Hellman entwickelt. Er hatsich dabei Gedanken gemacht, wie man die BruteForce-Methode effektiver gestalten kann. Als Ergebnisdaraus entstand das „Time-Memory Trade-off“--Konzept.611/2010