Klartextpasswörter kursieren im Netz
Von Uli Ries
Der Hashcat-Entwickler Jens Steube ist sich dessen bewusst, dass sein Werkzeug prinzipiell auch für Illegales verwendet werden kann. Im Fall der sämtlich mit Klarnamen, Alter und beruflicher Position bekannten Mitglieder von Team Hashcat ist sich Steube jedoch sicher, dass keiner einem zweifelhaften Nebenerwerb nachgeht. „Die meisten Vertreter der Hash-Cracking-Szene arbeiten als Pentester und können so Beruf und Hobby ideal vermischen“, sagt Steube.
Außerdem hält er nichts davon, Tools wie Hashcat unter Verschluss zu halten. „Was wir herausfinden, kann doch von jedem anderen Programmierer auch entdeckt werden. Von daher ist das Offenlegen des Wissens der bessere Weg. Denn so weiß jeder um Möglichkeiten sowie Schwächen und kann alarmieren bzw. sein eigenes Verhalten anpassen“, sagt der Programmierer.
Die Linie zwischen Grau, Schwarz und Weiß ist fließend beim Knacken von Hashes. Oft stammen die z.B. täglich zu tausenden auf Pastebin veröffentlichten Hashes aus illegalen Hacks und somit aus dem Untergrund. Die legale Crackerszene schert sich nicht allzu sehr um die Herkunft. Für sie sind diese Leaks große und kleine Goldgruben voller willkommenem Lehr- und Trainingsmaterial. So habe man „natürlich“ auch den LinkedIn-Leak unter die Lupe genommen und im Lauf der Zeit knapp 95 % der über 6 Mio. Hashes knacken können.
Mit acht GPUs (AMD Radeon 7970) ist dieses System bestückt. Entsprechend gut ist es zum Knacken von Hashes geeignet. Ein Mitglied des Teams Hashcat nutzt ein solches System zum Knacken von Passwort-Hashes. (Bild: Jeremy Gosney)
Menschen wie Steube oder sein amerikanischer Mannschaftskamerad Martin Bos, genannt „Pure Hate“ und Sicherheitsberater beim US-Unternehmen Accuvant, laden die von ihnen erfolgreich geknackten Hashes nicht wieder hoch in die Foren, aus denen die Leaks stammen. Man wolle sich weder finanziell an den geknackten Daten bereichern, noch dem Cyberuntergrund das Leben erleichtern. Andere Knackspezialisten sind da weniger rücksichtsvoll. Sie lassen die Online-Welt an ihren Cracking-Erfolgen teilhaben, indem sie die Klartextpasswörter im Netz streuen.
Abkürzung durch Recycling
Ziel der Kriminellen ist es aber wohl nicht, alle Passwörter einer geklauten Login-Datenbank zu entschlüsseln. Sie machen sich vielmehr die Bequemlichkeit der Anwender zunutze: Einer Studie zufolge schützt ein durchschnittlicher Internet-Nutzer insgesamt 25 Logins für Online-Dienste mit nur sechseinhalb Passwörtern. Die Kennwörter werden also wiederverwendet.
Von daher genügt den auf finanziellen Profit konzentrierten Illegalen ein Schwung dekodierter Hashes, wenn gleichzeitig die E-Mail-Adresse des betroffenen Nutzers bekannt ist. Mit diesen Informationen können sie sich sehr wahrscheinlich Zugriff auf andere Online-Konten des Opfers verschaffen. „Passwort-Recycling dürfte das größte, von Anwendern wissentlich ignorierte Sicherheitsloch sein“, konstatiert Steube.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT. Einen Gesamtüberblick mit freien Download-Links zu sämtlichen PDF-Einzelheften gibt es online im Pressezentrum des MittelstandsWiki.
Stets dieselben Abwandlungen
In der Qualität ähneln sich die mit Hashcat erfolgreich aus Hashleaks dekodierten Passwörter stark – ganz egal, ob ein Pentrationstester in einem kleinen oder großen Unternehmen ans Werk geht oder im Netz kursierende Leaks geknackt werden. Die legalen Cracker finden in aller Regel die immer gleichen Mutationen, die z.B. Buchstaben durch Leetspeak-Ersetzungen austauschen. Beim seit Jahren bekannten Leetspeak werden Buchstaben durch Ziffern oder Sonderzeichen ersetzt. So wird aus dem von „Elite“ abgewandelten Wort „leet“ die Ziffernfolge „1337“, aus „SecurePass“ wird „.S3KuReP4S$“.
Der Fachmann hält nicht sehr viel davon, Lied- oder Romanzeilen als Kennwort zu verwenden. Werde ein Satz unverändert übernommen, habe ein Cracker gute Chancen. Denn früher oder später landen gängige Sentenzen in den Wörterbüchern. Entweder, weil ein Tool z.B. Romane analysiert. Oder weil der Satz irgendwo anders schon einmal geknackt wurde und damit in Cracker-Kreisen kursiert.
Teil 1 stellt die Sieger vor: Mit GPGPU-Leistung knackt das Team von Hashcat praktisch jedes Passwort. Teil 2 sagt, was Login-Crackern die Arbeit einfach macht: Faulheit, Leichtsinn und Gewohnheit. Teil 3 sieht sich die Hacker-Hardware näher an und gibt Tipps zum Umgang mit Passwort-Managern.
Regeln erzeugen Muster
Entscheidenden Einfluss auf die Qualität herkömmlicher, von normalen Anwendern verwendeter Passwörter haben die bereits erwähnten Password Policies. Geben sie eine Mindestlänge von z.B. zehn Zeichen vor, tun sich die Knacker schwer(er). Wenngleich die heute gängigen Passwortvorgaben eher zum Vorteil für die Angreifer wurden: Die Regeln sind den Angreifern hinlänglich bekannt und führen somit zu rascheren Erfolgen.
Denn wenn erst einmal einige (schwache) Kennwörter aus einer Hash-Sammlung erfolgreich geknackt sind, finden Analysetools wie Passpal oder dessen Vorgänger Pipal schnell wiederkehrende Muster. Diese Muster lassen Rückschlüsse auf die verwendete Password Policy zu. Steht z.B. am Anfang des Kennworts immer ein Großbuchstabe, können die Cracker den von ihren Tools verwendeten Keyspace bei den folgenden Durchläufen entsprechend einschränken und auf den Test von Kleinbuchstaben, Sonderzeichen und Ziffern an dieser Stelle verzichten.
Jens Steube zufolge sind Muster in Kennwörtern ein ernstes Problem, zumal sie global gültig seien: Anwender sehen im Netz irgendwelche Zeichenketten oft hintereinander und nehmen sie früher oder später – oftmals unbewusst – mit in ihr Kennwort auf. Beispiele hierfür seien der Smiley „:-)“ oder auch Zeichenfolgen wie „xD“ oder „lol“. Diese Zeichenketten extrahiert z.B. der zu den Hashcat-Werkzeugen gehörende Expander, so dass sie anschließend den Weg in ein spezielles Kombinationswörterbuch der Cracker finden. Je öfter diese Schritte wiederholt werden, desto mehr Muster zeigen sich.
- Wie die Cracker technisch vorgehen und welchen Schutz ordentliche Passwort-Manager bieten, sagt Teil 3 dieser Serie.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing