Biohazard

Passwortknacker

in Passwort-Knacker ist ein Programm, das Passwort-Sicherheitsmaßnahmen umgeht, indem es Passwörter aufdeckt, die vorher verschlüsselt wurden. Dies bedeutet jedoch nicht, dass ein Passwort- Knacker unbedingt irgend etwas entschlüsselt. Tatsächlich tun die meisten Passwort-Knacker das nicht.

In der Regel können Passwörter, die mit starken Algorithmen verschlüsselt wurden, nicht entschlüsselt werden. Die meisten Verschlüsselungsprozesse sind One-Way-Prozesse und es gibt keinen Prozess, um die Verschlüsselung wieder aufzuheben (zumindest nicht in einem angemessenen Zeitraum).

Statt dessen benutzt man Simulationstools, die den gleichen Algorithmus benutzen wie zur Verschlüsselung des Originalpaßworts. Diese Tools führen vergleichende Analysen durch (ein Prozeß, der später in diesem Kapitel erklärt wird).

Viele Passwort- Knacker sind nichts als Brute-Force-Maschinen, d.h. Programme, die ein Wort nach dem anderen ausprobieren, oft in sehr hoher Geschwindigkeit. Derartige Programme basieren auf der Theorie, dass man schon irgendwann auf das richtige Wort oder den richtigen Satz treffen wird. Diese Theorie ist durchaus zutreffend, da Menschen nun einmal faule Kreaturen sind. Sie machen sich nur selten die Mühe, gute Passwörter zu kreieren. Die Schuld an diesem Manko trägt jedoch nicht immer der Benutzer:

Benutzer sind nur selten, wenn überhaupt, geschult in der Auswahl eines sinnvollen Passworts. Wenn sich ein Passwort in einem Wörterbuch befindet, ist es extrem anfällig, geknackt zu werden, und Benutzer wissen einfach nicht, wie sie ein sicheres Passwort wählen. Und die Benutzer, die in diesem Bereich geschult sind, denken oft, dass ihr Passwort sicher vor Entdeckung ist, wenn es nicht in /usr/dict/words steht. Viele Benutzer sagen auch, dass die Sicherheit ihres Accounts ihnen egal ist, wenn sie keine privaten Dateien online haben, aber sie realisieren nicht, dass sie durch das Bereitstellen eines Eingangspunkts zu ihrem System einem böswilligen Cracker ermöglichen, ihrem gesamten System Schaden zuzufügen.

Das Problem besteht beharrlich weiter trotz der Tatsache, dass es eine einfache Sache ist, Schulung im Bereich Passwortsicherheit anzubieten. Es ist erstaunlich, dass solch ein kritischer Sicherheitsaspekt immer wieder übersehen wird (obwohl er leicht angesprochen werden kann). Dieser Punkt geht an den Kern von Sicherheit:

Das Ausnutzen schlecht gewählter und wenig geschützter Passwörter ist eine der weitverbreitetsten Angriffe auf Systemsicherheit durch Cracker. Fast jedes Multi-User- System nutzt Passwörter als Schutz vor unautorisierten Zugriffen, aber vergleichbar wenige wenden diese Passwörter korrekt an. Das Problem ist universell und nicht systemspezifisch. Und die Lösungen für dieses Problem sind einfach, billig und auf jedem Rechner anwendbar, unabhängig von Betriebssystem und Hardware. Jeder kann sie verstehen und man braucht keinen Administrator oder Systemprogrammierer, um sie zu implementieren.
[zurück zum Anfang]