05.04.2017
Hashwerte auslesen
1. Teil: „So einfach lassen sich Passwörter knacken“
So einfach lassen sich Passwörter knacken
Autor: Jens Stark
Passwörter werden in den meisten Systemen nicht in Klartextform abgelegt, sondern als sogenannter Hashwert. Trotzdem ist das Knacken derart geschützter Passwörter nicht allzu schwer.
Trotz der zunehmenden Verwendung von biometrischen Zugangssicherungen haben Passwörter nach wie vor eine große Bedeutung. Es gibt kaum einen Dienst im Internet oder im Büro, der nicht nach einem digitalen Kennwort verlangt. Um es Hackern nicht allzu einfach zu machen, werden die Passwörter nicht im Klartext gespeichert, sondern als Hashwert. "Passwort1" wird dann etwa als "g759f0fee8b9d447af25fa4d428928bb" abgelegt.
Unknackbar, könnte man meinen. Dass es dennoch möglich ist, solche gehashte Passwörter in die Klartextform zu überführen, hat Immanuel Willi vom Schweizer Penetration-Testing-Spezialisten Oneconsult an der Afterwork-Veranstaltung der Security Interest Group Switzerland (Sigs) in Basel gezeigt.
Eines wurde bei der Demonstation des Experten klar: Mit den richtigen Tools, mit etwas Know-how und je nachdem mit mehr oder weniger Rechenpower ist das Knacken der Passworthashes nicht allzu schwer.
Auf die Hashfunktion kommt es an
Auch wie wichtig die Länge von Passwörtern ist, konnte Willi anhand von Rechenbeispielen sehr schön zeigen. Ein 7-stelliges mit MD5 codiertes Passwort lässt sich in gut zwei Stunden herausfinden, bei einem 8-stelligen dauert der Vorgang schon 7 Tage und bei einem 9-stelligen muss gar 2 Jahre lang gerechnet werden.
Ebenfalls ein Faktor stellt laut Willi die verwendete Hardware dar, eine gewöhnliche CPU verarbeitet – wieder unter Verwendung von MD5 als Hashfunktion – 99 Millionen Hashes pro Sekunde. Weit schneller arbeitet hingegen ein Grafikprozessor. Dann lassen sich nämlich 12 Milliarden Hashes pro Sekunde verarbeiten.
2. Teil: „So gelangen Kriminelle an Hashwerte“
So gelangen Kriminelle an Hashwerte
Ist man im Besitz der Hashwerte, muss in einem weiteren Schritt herausgefunden werden, mit welcher Hashfunktion dieser erstellt wurde. Wie Willi berichtet, gibt es hunderte von Hashfunktionen. Neben den allgemeineren DES, MD5 und SHA256 auch Produkt-spezische Algorithmen. Auch um herauszufinden, welche Hashfunktion verwendet wurde, gibt es ein Tool namens "hashID", das dem Hacker – oder Penetration-Tester – die Arbeit erleichtert. Dieses lässt sich mit dem gefundenen Hashwert füttern, worauf es die verwendete Funktion ermittelt.
Passwörter mit Hashcat knacken
Für das eigentliche Cracking verwendete Willi die Software Hashcat. Dieses Tool versteht sich nicht nur auf diverse Hashalgorithmen, es können diverse Parameter bestimmt werden, um die Brute-Force-Angriffe einzuschränken. So lassen sich die Passwörter anhand diverser Wörterbücher und Passwortlisten durchprobieren. Dabei wird anhand der Ausführungen von Willi schnell klar: Nicht nur Passwörter, die auf Grundbegriffen bestehen, lassen sich einfach cracken. Auch zum Teil komplexe Verdrehungen und Ergänzungen sowie Kombinationen aus Wörtern, Zahlen und Sonderzeichen sind herauszufinden.
Empfehlungen des Experten
Auf Grund der Erfahrungen aus seinen Penetration-Tests kann Willi diverse Tipps zum Umgang mit und zur Wahl von Passwörtern geben. Generell gilt: Wenn ein Passwortbestandteil in einer Wörter- oder einer Passwortliste auftaucht, ist die Losung recht einfach knackbar. Deshalb sei es besser, Passwörter zu verwenden, die mit Hilfe eines Zufallsgenerators erzeugt wurden, und diese dann in einem Passwort-Manager wie KeePass oder Password Safe zu verwalten. Daneben rät er sehr davon ab, dieselben Passwörter für verschiedene Dienste und Webseiten zu verwenden. Selbst wenn man sich Varianten für die unterschiedlichen Seiten ausdenkt, biete dies keinen speziellen Schutz.
Wo immer eine Zwei-Faktoren-Authentifikation angeboten wird, wie mittlerweile selbst bei großen Anbietern wie Google, soll man diese auch in Anspruch nehmen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>