Brute-Force: Passwörter knacken mit roher Gewalt

Weil es in der Natur der Dinge liegt, sich wahllose Zahlen- und Buchstabenkombinationen schlecht merken zu können, nehmen viele Nutzer trotz aller Warnungen gängige Wörter als Passwort. Der Passwort-Check von CNLab in der Schweiz zeigt, dass bei über 25.000 Passwörtern die ganz große Mehrheit innerhalb von null bis vier Tagen zu knacken gewesen wäre. Profis wissen das: Dictionary-Attacks probieren einfach alle Wörter eines Wörterbuches durch. Eine andere Methode beruht auf Statistik und Gewohnheit: Hacker probieren übliche Passwort-Nutzernamen Kombinationen durch. Die „Top-300-Passwörter“ sind leicht im Internet zu finden, ebenso Wörterlisten, häufige Account-Kombinationen und häufige Vornamen.

Hash-Dateien verraten Geheimnisse

Auch innerhalb eines Netzes kann jemand versuchen, in Systeme einzubrechen. Wer ohnehin schon drin ist, kommt leichter an die Passwort-Dateien. Das macht den Angriff einfacher. Viele Systeme verschlüsseln die Passwörter mit einer Hash-Funktion. Hash ist eine Einweg-Funktion, der ursprüngliche Text lässt sich aus dem Komprimat nicht mehr rekonstruieren. Auch Angreifer können das nicht, und doch sind Hash-Daten gegen Brute-Force-Attacken anfällig. Im Internet kursieren so genannte „Rainbow-Tables“, in denen die Hash-Werte häufig verwendeter Passwörter stehen. Stimmt ein Wert in der Tabelle mit einem Wert in der Passwort-Datei überein, ist die Suche vorbei.