Hashcat Tutorial

Der Passwort-Cracker für Ihr Unternehmen

29.05.2020
Von  und


J.M. Porup schreibt als Senior Security Reporter für unsere US-Schwesterpublikation CSO Online. Er beschäftigt sich seit dem Jahr 2002 mit dem Themenbereich IT Security.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Hashcat ist ein Must-Have-Werkzeug für Penetration Tester und kann dazu beitragen, das Security-Niveau Ihres Unternehmens zu erhöhen. Wir sagen Ihnen, wie.
Passwort-Cracker wie Hashcat sind nicht nur was für Cyberkriminelle - sie können auch dabei helfen, das Sicherheitsniveau Ihres Unternehmens zu erhöhen. Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Passwort-Cracker wie Hashcat sind nicht nur was für Cyberkriminelle - sie können auch dabei helfen, das Sicherheitsniveau Ihres Unternehmens zu erhöhen. Wir sagen Ihnen, was Sie zum Thema wissen müssen.
Foto: Elena Abrazhevich - shutterstock.com

Passwörter sollten längst nicht mehr in Plaintext-Form abgespeichert werden, sondern verschlüsselt in Form von Hashes. Ein Passwort wie "Passwort1" in einen Hash zu verwandeln, dauert nur Sekundenbruchteile. Was aber, wenn Sie nur den Hash-Wert haben? Diesen mit einer Brute-Force-Attacke in seine Ursprungsform zurück zu verwandeln, ist rein rechnerisch ein relativ aussichtsloses Unterfangen - ein neues Mautprojekt unter der Ägide von Andreas Scheuer hätte ähnliche Aussichten auf schnellen Erfolg.

Es gibt jedoch Mittel und Wege, Passwörter aus Hash-Werten zu extrahieren. Da menschliche Passwort-Präferenzen ziemlich vorhersehbar sind, können die Schlüsselwörter beispielsweise oft mit dem Passwort-Cracker Hashcat wiederhergestellt werden. Wir zeigen Ihnen, wie das funktioniert.

Hashcat - was ist das?

Hashcat ist ein populärer und effektiver Passwort-Cracker, der sowohl von Penetrationstestern und Administratoren als auch von Cyberkriminellen und Spionen eingesetzt wird.

Passwörter zu cracken ist eine völlig andere Sache, als der Versuch ein Passwort für einen Web-Login zu "erraten" - ein Vorgang, für den im Regelfall nur wenige Versuche erlaubt sind, bevor das Konto sicherheitshalber gesperrt wird. Wesentlich gängiger ist hingegen, dass ein Angreifer, der sich Zugang zu einem System mit verschlüsselten Passwörtern verschafft hat, versucht, diese Hashes zu knacken, um an die dahinterliegenden Passwörter zu kommen.

Wo Hashcat zum Einsatz kommt

Passwörter zu cracken ist normalerweise ein Vorgang, den man mit kriminellen Hackern und sonstigen, böswilligen Akteuren in Verbindung bringt. Dabei kann es auch völlig legitime Gründe geben, Passwörter zu cracken: Ein Admin könnte so beispielsweise das Niveau der Passwortsicherheit im Unternehmen überprüfen. Wenn Hashcat die Kennungen knacken kann, kann das auch jeder Angreifer.

Auch Penetrationstester müssen im Rahmen ihrer Einsätze des Öfteren Passwörter knacken, um sich lateral durch Netzwerke bewegen oder von Rechteausweitung profitieren zu können. Da die Penetrationstester ihr Werk im Rahmen eines Vertrags verrichten, um Sicherheitslücken festzustellen, ist auch das ein legitimer Use Case für Passwort-Cracking.

Fakt ist: Angriff ist die beste Verteidigung. Wenn Ihre Systeme beziehungsweise Passwörter einem Selbsttest mit Hashcat standhalten, stehen die Chancen gut, dass sich auch Angreifer, die das Tool nutzen, die Zähne ausbeißen werden.

Hashcat - Funktionsweise und Beispiele

Die grundlegende Funktionsweise von Hashcat: Es rät ein Passwort, verwandelt es in einen Hashwert und gleicht diesen dann mit dem bereits vorliegenden ab - solange, bis eine Übereinstimmung vorliegt. Hashcat ermöglicht verschiedene Arten von Attacken und kann zu Passwort-Cracking-Zwecken unter anderem auch auf die Potenz ihrer GPU zurückgreifen - vorausgesetzt diese ist vorhanden. Im Folgenden haben wir die verschiedenen Möglichkeiten, die Hashcat zum Cracken von Passwörtern bietet, zusammengefasst:

Hashcat Dictionary Attack

Weil sich in menschlichem Umfeld der Trend durchgesetzt hat, besonders schlechte Passwörter zu wählen, ist ein Dictionary-Angriff meist ein guter Startpunkt. Eine weit verbreitete Option zur Unterfütterung dieser Option ist die Passwort-Liste rockyou.txt. Sie enthält mehr als 14 Millionen gängige Passwörter - gestaffelt nach Nutzungshäufigkeit. Im Netz sind diverse weitere solcher Passwort-Listen verfügbar, insbesondere auch sprach- beziehungsweise länderspezifische Varianten.

Hashcat Combinator Attack

Hoch im Kurs steht in menschlichen Köpfen auch stets die Kombination verschiedener Passwörter. Diesen Umstand versucht Hashcat mit dieser Angriffsart auszunutzen. Hierbei werden im Grunde zwei verschiedene Dictionaries miteinander kombiniert. Die Hashcat-Dokumentation veranschaulicht das Prinzip anhand folgender Beispiele:

yellow green black blue

und

car bike

werden von Hashcat in folgende Kombinationen verwandelt:

yellowcar greencar blackcar bluecar yellowbike greenbike blackbike bluebike

Satz- und Sonderzeichen lassen sich ebenfalls miteinbeziehen, um am Ende eine Liste zu erhalten, die möglichst alle Möglichkeiten abdeckt.

Hashcat Mask Attack

Der Mensch ist ein Gewohnheitstier - und bringt deswegen auch des Öfteren bestimmte Passwort-Formate zum Einsatz, beispielsweise einen Großbuchstaben gefolgt von sechs Kleinbuchstaben und einer Zahl am Ende. Hashcat lässt sich so konfigurieren, dass es ausschließlich nach Passwörtern in einem definierten Format sucht. Das reduziert die Zahl der möglichen Kombinationen drastisch - falls das Passwort tatsächlich dieses definierte Format aufweist.

Hashcat Rule-based Attack

Wenn die einfacheren Optionen nicht die gewünschte Wirkung zeigen und Sie wissen, wie Ihr "Opfer" seine Passwörter für gewöhnlich konstruiert, stehen Ihnen mit Hashcat auch regelbasierte Attacken zur Verfügung. Hierbei definieren Sie in einer Art Quellcode, nach welchen Passwörtern genau gesucht werden soll.

Nach den Worten der Hashcat-Macher stellt die regelbasierte Attacke eine der komplexesten Funktionen des Passwort-Crackers dar - gleichzeitig aber auch die flexibelste und effizienteste. Generell gestaltet sich die Lernkurve von Hashcat sehr flach - nur an dieser Stelle kommt es zu einer enormen Steigung.

Hashcat Brute Force Attack

Wenn alle Stricke reißen, bleibt auch mit Hashcat nur eine Brute-Force-Attacke. In diesem Fall können Sie sich nur zurücklehnen und hoffen, dass der Hash-Wert ermittelt ist, bevor die Hölle zufriert.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.