Backup & Datenschutz

So knacken Sie Ihr vergessenes Passwort

16.07.2017
Von Peter Stelzel-Morawietz
Fritzbox- oder Windows-Passwort, Online-Account- oder Android – egal, welches Passwort Sie vergessen oder verloren haben, so knacken Sie verlorenen Passwörter.
Passwort vergessen? So knacken Sie jedes Passwort.+ ,
Passwort vergessen? So knacken Sie jedes Passwort.+ ,
Foto: Maxx-Studio - www.shutterstock.com

Die Vorbemerkung ist wichtig: In diesem Artikel geht es nicht um das Ausspähen oder Abfangen von Passwörtern, um damit an fremde Daten zu gelangen - ausdrücklich auch nicht als "erwünschter Nebeneffekt"! Vielmehr wollen wir für gängige Geräte, Software, verschlüsselte Datenformate und Online-Konten aufzeigen, wie Sie wieder an Ihre Daten kommen, falls Sie sich ausgesperrt haben.

Das ist gar nicht so unwahrscheinlich, denn schon nach einem zweiwöchigen Urlaub soll sich mancher PC-Nutzer nicht mehr an sein Windows-Passwort erinnern können. Ganz zu schweigen von einem vor Jahren verschlüsselten Zip-Archiv oder den diversen Internetzugängen, die sich im Laufe der Jahre so angesammelt haben. Und wer nicht stets das gleiche Passwort verwendet - wovon dringend abzuraten ist - oder seine Zugangscodes perfekt organisiert, braucht schon einmal Hilfe beim Erinnern oder Zurücksetzen.

Passwörter: Die Stärke, das Knackrisiko und etwas Theorie

Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher - wir zeigen noch, warum.

Zum einen ist die verfügbare Leistung schon eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Nun lässt sich argumentieren, dass das Erhöhen der Passwortlänge die Zahl der Versuche und damit die Zeit für einen solchen Brute-Force-Angriff drastisch steigen lässt.

Das ist zwar richtig, allerdings nur in der Theorie. Denn die Hacker verwenden längst andere Methoden, und selbst Rainbow-Tabellen, die eine Vielzahl von Passwort-Hashwerten bereits gespeichert und damit die Zeit für einen Angriff erheblich verkürzt hatten, haben an Bedeutung verloren.

In den vergangenen Jahren wurden von zahlreichen Großunternehmen Kundendaten inklusive der Passwörter gestohlen. All die dabei verwendeten Muster sind längst in „Wörterbüchern“ zum Ausspähen gespeichert.
In den vergangenen Jahren wurden von zahlreichen Großunternehmen Kundendaten inklusive der Passwörter gestohlen. All die dabei verwendeten Muster sind längst in „Wörterbüchern“ zum Ausspähen gespeichert.
Foto: IDG

Listen mit Zugangscodes beschleunigen die Hacker-Angriffe

Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter.

Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen "wahrscheinlichsten" Ausdrücken durchzuführen: Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. Zwar sind simple Phrasen wie "12345..", "Password" oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung. Beliebt ist beispielsweise das Ersetzen von Buchstaben nach dem "1337-Speak-Muster": Aus dem "Taschenrechner" wird dann "745ch3nr3chn3r", und selbst die gerne benutzte Verlängerung mit dem Dienst-oder Domainnamen ergäbe bei Online-Händler Amazon zwar einen Ausdruck mit 21 Stellen. Ein solcher Zugangscode ist trotzdem wenig wert, denn solche "Regeln" sind in den Wörterbüchern längst berücksichtigt.

Darüber hinaus existieren unsichere Systeme: So blockiert Android den Lockscreen für nur 30 Sekunden, wenn fünf Mal ein falscher Entsperrcode eingegeben wurde. Führt man die Eingaben automatisiert aus, ist eine 4-Ziffern-Kombination nach spätestens 17 Stunden überlistet. Der Tastaturroboter USB Rubber Ducky (35 Euro) arbeitet das automatisch ab. Erst die neue Android-Version 6.0 ("Marshmallow") erhöht den Schutz etwas; deutlich sicherer sind hier iOS und Windows Phone.

Der USB Rubber Ducky agiert als programmierbare Tastatur und kann nicht nur PCs, sondern auch Smartphones und Tablet-PCs systematisch angreifen.
Der USB Rubber Ducky agiert als programmierbare Tastatur und kann nicht nur PCs, sondern auch Smartphones und Tablet-PCs systematisch angreifen.
Foto: IDG