Passwörter knacken mit diesen Programmen und wie sichere Passwörter aussehen müssen

netz-trends.de stellt die wichtigsten am Markt da, da wir der Meinung sind: Nur wer weiß, wie leicht ein Passwort geknackt werden kann, kann sich schützen. Dabei weisen wir darauf hin: Wer heimlich ein Passwort eines anderen knackt - auf welchem Wege auch immer - begeht eine erhebliche Straftat, die grundsätzlich angezeigt werden sollte. In Deutschland regelt dieses der Hacker-Paragraf 202c ("Vorbereiten des Ausspähens und Abfangens von Daten").

Nicht erst seit der Affäre rund um Barack Obamas Stasibehörde NSA (National Security Agency) ist bekannt, dass keine email mehr sicher ist. Denn zum Ausspionieren von Emails benötigen Fachleute keine Geheimdienste, sondern Programme und Software mit deren Hilfe Passwörter geknackt werden können. Die Rede ist von Passwortknackern, auch bekannt als password cracker, Cracking-Tools oder Hashcracking.

Mit einem illegal und letztlich kriminell erschlichenen Passwort können alle E-Mail-Konten geöffnet werden. Doch nicht nur das: Mit einem Passwort kann nicht nur das betroffene Opfer ausspioniert werden, sondern obendrein können zahlreiche weitere Straftaten begangen werden. Hierzu gehören die Annahme einer fremden Netz-Identität oder der Kauf von Produkten über einen Namen, der einem gar nicht zusteht.

Die bekanntesten Programme zum knacken von Passwörtern sind beispielsweise Hashcut, oclHashcat (beide CPU-basiert), John the Ripper (Autor: Alexander Peslyak, beziehungsweise bekannt als Solar Designer). In einem Interview mit dem Portal securityfocus.com räumte Solar Designer ein, dass er das weltweit geachtete password cracker-Tool John the Ripper stets weiter entwickele. Damit steht er nicht alleine, vielmehr zeichnet dies einen Trend.

Dass es auch unter Passwortknackern Wettbewerb gibt, zeigt die jährliche Hackerkonferenz Defcon in Las Vegas, welche unter dem Motto läuft, "Crack me if you can" (http://contest-2012.korelogic.com/). Das Treffen wird von dem Security-Anbieter Korelogic aus Maryland, USA, angeboten. In den Jahren 2010 und 2012 gingen als beste Passwortknacker die Mitglieder des Teams "Hashcat" hervor. Im Team ist auch der Deutsche Jens Steube aus München. Die Gewinner hatten auf das Passwort-Knackertool "Hashcat" zurückgegriffen. Kennengelernt hatten sich die Cracks rund ums Passwortknacken im Forum der Hackerwebseite "Hashkiller". Neben der amerikanischen Hackerkonferenz "Crack me if you can" gibt es ein russisches Pendant - und zwar den Wettbewerb "Positive Hack".

Als besonders knacksicher gelten Passwörter, welche PHPass- sowie DCC2-Hashes involvieren. Das ist für private Nutzer eher nicht relevant, kann aber für wichtige Firmenpasswörter Bedeutung haben. DCC steht für "Domain Cached Credentials" und wird beispielsweise von Microsoft im Betriebssystem Vista angewendet.

Bislang geben Firmen ihren Mitarbeitern gerne auf den Weg, wonach die Passwörter nur drei Monate gelten sollten, sie mindestens sechs bis acht Zeichen haben sollten und zwischen Buchstaben, Zahlen und Sonderzeichen (&,% etc.) abwechseln sollten. Hinzu komme, dass keine bekannten Wörter genutzt werden sollten, welche in den Enzyklopädien oder dem Duden vorkomme. Denn alle bekannten Wörter und Wortkombinationen sind längst in Passwortknacker-Tools hinterlegt. Wer als Passwort Tina31 oder Microsoft123 nutzt, nutzt letztlich gar kein Passwort. Deshalb muss man sich davon verabschieden, dass sich ein Passwort "merken" lassen können muss. Am wichtigsten ist es, dass es von Externen nicht geknackt werden kann.

Deshalb ist es durchaus in Ordnung, wenn man sich das Passwort irgendwo abspeichert - aber eben nicht direkt angibt, für welchen Zugang das Passwort hinterlegt ist. Wer also ein gmx-Passwort hat, könnte beispielsweise das Passwort auf dem Computer oder dem USB-Stick, den man bei sich trägt, abspeichern, aber nicht dazu schreiben "gmx". Ergänzend sollte man das Passwort ausgedruckt irgendwo an einem sicheren Ort hinterlegen.

Eines wird immer deutlicher: Je mehr kriminelle Hacker und Passwort-Knacker unterwegs sind, desto schärfer muss die Passwort-Policy privat und in den Unternehmen sein. Das liegt vor allem an der explodierenden Leistungskraft der Grafikkarten - beispielsweise von Nvidia 2007 oder ADM. Diese Karten bieten Rechenleistungen von mehreren Teraflops. Noch um die Jahrtausendwende, also um das Jahr 2000, hätte man dafür über 100 Millionen Dollar bezahlen müssen.

Wie stark Passwortknacker-Programme sind, belegt das vom Deutschen Steube entwickelte Tool "oclGaussCrack". Es bombardiert den zu knackenden Computer- oder Internetzugang mit fast einer halben Million Versuche pro Sekunde. Zur Anwendung kommt dabei eine AMD Radeon HD 7970 Grafikkarte. "oclGaussCrack" ist ein kostenloses open-source-Tool.

Password Cracker oder Cracking-Tools sind in Deutschland so lange nicht illegal, solange die Computerprogramme zum Knacken von Passwörtern eindeutig nicht dem "Zweck der Begehung einer Straftat" und "deren Zweck nicht eindeutig kriminell" ist (Urteil Bundesverfassungsgericht aus dem Jahr 2009). Auf der sicheren Seite bewegt man sich mit Dual-use-Tools. Mit ihnen lassen sich - und das ist auch das Ziel des Gesetzgebers sowie der Gerichte - die Entwickler von Spionageprogrammen, sogenannten Trojanern, entdecken. Deshalb fördert auch das Bundesamt für Datensicherheit, das BSI, die Verbreitung von Programmen wie Jack the Ripper.

Eine wichtige Webseite der Passwort-Hackerszene ist Pastebin. Zwar steht die Seite im Verdacht, auch ein Sumpf für kriminelle Aktivitäten zu bieten - also von illegalen digitalen Einbrüchen -, dennoch wird sie auch von den good guys genutzt. Dabei spricht die Szene nicht nur von einem geknackten Passwort, sondern gerne auch im englischen Slang, also dem Knacken von Hashes.

Wer ein Passwortknacker-Tool nutzen möchte, der greift in der Regel auf Programmierschnittstellen wie GPUs oder das open source Tool OpenCL sowie auf Nvididas (CUDA) zurück. Besonders Tahiti-GPUs (wie die AMD Radeon HD 7970) sind bekannt dafür, dass sie immer wiederholende Befehle sehr gut ausführen. Diese Technik spielt auch im Verschlüsseln von Computerfestplatten eine zentrale Rolle, man spricht von der Kryptografie.

Als besonders schnell gelten beispielsweise die AMD-Grafikkarten HD 6990, welche potentiell 40 Milliarden Single-NTLM-Hashes (Windows Passwörter) innerhalb einer Sekunde abfragen kann. Dabei nimmt die Geschwindigkeit für Passwort-Knacker-Versuche immer weiter zu. Mittlerweile gibt es Grafikkarten, die es auf 348 Milliarden Hackerversuche pro Sekunde bringen. Das bedeutet: Ein Passwort mit acht Zeichen wäre in circa fünf Stunden geknackt. Doch selbst 14-Zeichen-Passwörter können heute in bis zu sechs Minuten geknackt werden - beispielsweise Windows-XP-Kennwörter.

Deshalb gilt als Richtlinie: Ein Passwort sollte möglichst nicht für mehrere Zugänge genutzt werden. Auch gilt ein Passwort mit nach dem Motto "xla823%7?smx33(3,d2" nicht mehr als sicher und muss deshalb in besonders sicherheitsrelevanten Feldern ebenfalls regelmäßig gewechselt werden, wobei zu beachten ist, dass die alte Regel, wonach ein 18-Zeichen-Passwort faktisch unknackbar ist, nicht mehr Anwendung finden sollte – zumindest im Hochsicherheits-Bereich. Auch sollte der Zugangsname nicht unbedingt eins zu eins mit dem eigenen Namen oder dem Firmennamen in Zusammenhang stehen.

Ein besonderes Sicherheitsrisiko stellen soziale Netzwerke, wie Facebook, Xing, RockYou, Last.fm oder LinkedIn dar. Grund: Manchmal genügt es schon, dass die zentrale Datenverwaltung dieser Social Media Anbieter einmalig gekackt werden und darüber ein Zugriff auf alle Passwörter aller Mitglieder erreicht wird. In diesem Fall ergänzen die Hacker ihre eigenen Wörterbuch-Schätze für Hackerangriffe leicht um einige Millionen weitere potentielle und im Umlauf befindliche Passwörter.

Manche Hacker haben bereits über 110 Mio. Wörter oder Wörterkombinationen sowie bereits verwendete Passwörter "auf Lager". Wer mit einer solchen Bastion einen digitalen Passwort-Hackangriff startet, kommt in der Regel in 99,9 Prozent der Fälle in wenigen Minuten zum Ziel.

Wichtige Regeln für das Nutzen von Passwörtern sind: Möglichst über 8 Zeichen verwenden. Möglichst zwischen Groß- und Kleinschreibung abwechseln. Möglichst keine Wörter nutzen, sondern einzelne sinnlose Buchstaben. Zwischen diese Buchstaben sollten Sonderzeichen oder Zahlen gemischt werden. Eine weitere Sicherheitsstufe kann - sofern das angeboten wird (wie beispielsweise von gmail) - die Abfrage über eine zusätzliche Nummer, eine digitale Pin, sein. Sie könnte zum Beispiel (wie im Falle von gmail) aufs Handy geschickt werden.

Neben den erwähnten Hashcracking-Tools sind zu nennen: ophcrack, Ivan Golubes Password Recovery Suite (besonders für: Apple iOs Backups, BlackBerry Backups, TrueCrypt, WPA/WPA2), PDFCrack (für PDFs), TCHead (für Truecrypt), TrueCrack (für Truecrypt), PstPassword (für Outlook), PasswordFox (für Firefox Passwort-Safe), Elcomsoft (unterschiedliche).