Geniale Passworttricks 24 eload
Transcrição
Geniale Passworttricks 24 eload
eload 24 Geniale Passworttricks Tobias Weidemann Klicken, Lesen, Weitermachen. So einfach geht das. Rubrik Thema Umfang eBook Internet Sicherheit 19 Seiten 00845 Autor Tobias Weidemann Der moderne Mensch jongliert mit Dutzenden von Passwörtern – für Online-Banking und Windows-PC, für Internet-Zugang und Mailkonto, für eBay, Amazon und Co. Wir zeigen in diesem eBook, wie Sie ein Höchstmaß an Sicherheit erhalten und trotzdem den Überblick behalten. eload 24 Geniale Passworttricks Tobias Weidemann eload24 AG Sonnenhof 3 CH-8808 Pfäffikon SZ [email protected] www.eload24.com Inhalt Geniale Passworttricks......................................................... 3 Sichere Passwörter.............................................................. 3 Passwörter wählen............................................................... 5 Das sichere Passwort: Die Zeichenkombination macht’s............ 5 Copyright © 2009 eload24 AG Alle Rechte vorbehalten. Trotz sorgfältigen Lektorats können sich Fehler einschleichen. Autoren und Verlag sind deshalb dankbar für Anregungen und Hinweise. Jegliche Haftung für Folgen, die auf unvollständige oder fehlerhafte Angaben zurückzuführen sind, ist jedoch ausgeschlossen. Copyright für Text, Fotos, Illustrationen: PC-WELT – IDG Magazine Media GmbH Coverfoto: © Alex Hinds – Fotolia.com Passwörter merken.............................................................. 8 Codestar-Tool: Alles auf eine Karte setzen............................... 8 Keepass: Sichere Passwort-Verwaltung für den USB-Stick....... 11 Passwörter geknackt.......................................................... 14 (Fast) unbegrenzte Möglichkeiten: Wie sicher ist ein Passwort?................................................ 15 Achtung: Windows-Passwort leicht auszuhebeln..................... 17 eload 24 lösungen auf einen klick. Geniale Passworttricks Sichere Passwörter Der moderne Mensch jongliert mit Dutzenden In der Controlling-Abteilung eines internatio von Passwörtern – für Online-Banking und nalen Konzerns gilt für sämtliche Rechner Windows-PC, für Internet-Zugang und Mail- dasselbe Passwort. Raten Sie mal, wie es konto, für eBay, Amazon und Co. Wir zeigen heißt. Genau: „Controlling“. Das sei so, er- in diesem eBook, wie Sie ein Höchstmaß an klärt ein Mitarbeiter unter der Hand, damit Sicherheit erhalten und trotzdem den Über- die Kollegen auch dann an einen bestimmten blick behalten. Rechner kommen, wenn sein Besitzer in Urlaub oder nicht erreichbar ist. Es ist wirklich erstaunlich, wie leichtsinnig man selbst in großen Firmen mit Passwörtern umgeht: Sie stehen zum Beispiel auf Zetteln, die der Mitarbeiter an den Monitor klebt. Zugangscodes werden auch mal im Klartext per Mail übertragen oder liegen in einer unverschlüsselten Textdatei auf dem Rechner oder im Mailkonto. copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 3 eload 24 lösungen auf einen klick. Kein Schlüssel für alles Ebenso riskant ist es, wenn Anwender für alle ihre Konten identische oder sehr ähnliche Kennwörter wählen. Wer ein Passwort weiß, kennt schlimmstenfalls auch den Rest Ihrer virtuellen Identität. ein Leichtes, das Mailkonto aufzurufen, das Passwort zu ändern und den Besitzer auszusperren. Gefährliche Gedächtnisstütze Es ist in der Tat nicht leicht, sich zwanzig oder mehr unterschiedliche Passwörter aus- Wohin das führen kann, zeigte ein Fall vor zudenken – und vor allen Dingen zu merken. zwei Jahren. Damals kursierte die Kunden- Viele Anwender sichern daher Passwörter im liste eines stillgelegten illegalen Download- Browser und in anderen Programmen. Was Dienstes im Internet: Die Liste enthielt aber, wenn sich jemand Zugang zu Ihrem PC Login-Namen und Passwörter der Kunden, verschafft? In Firefox beispielsweise lassen außerdem die Mailadressen. In vielen Fällen sich gespeicherte Passwörter einfach über passte das Passwort zum Login des Down- Extras | Einstellungen | Datenschutz | Pass- load-Dienstes genauso wie zur angegebenen wörter | Gespeicherte Passwörter anzeigen Mailadresse. sichtbar machen. Firefox bietet Ihnen zwar an, abgelegte Kennwörter mit einem Master- copyright © 2009 eload24 AG Nicht nur der Betreiber des Dienstes hätte Passwort zu schützen. Aber auch diese Maß- sich so Zugang zu den Mails des Kunden ver- nahme lässt sich umgehen, indem man die schaffen können. Auch für jeden böswilligen Festplatte in einen anderen Rechner einbaut User war es nach dem Erscheinen der Liste und von dort ausliest. Geniale Passworttricks Tobias Weidemann Seite 4 eload 24 lösungen auf einen klick. Mehr Sicherheit Wer einige wichtige Regeln beachtet, kann trotz allem ein Höchstmaß an Sicherheit erreichen. Wir stellen Strategien vor, wie Sie perfekte Passwörter wählen. Spezial-Tools helfen dabei, die Kennwörter zu verwalten und sich zu merken – und zwar ohne Risiko. Auf der Seite www.codestar.de finden Sie „Codestar – Passwörter für die Hosentasche“. Außerdem haben wir die Probe aufs Exempel gemacht und Knack-Tools auf unsere Passwörter angesetzt. Passwörter wählen Selbst wer nicht immer das gleiche Passwort wählt, riskiert, ausspioniert zu werden. Wer sich etwa immer Nachnamen von berühmten Fußballern der 70er-Jahre aussucht, hat zwar Abwechslung bei seinen Kennwörtern. Das Problem dabei: Ein Angreifer könnte sie erraten – insbesondere, wenn es sich um einen Neugierigen aus dem persönlichen Umfeld handelt. Das sichere Passwort: Die Zeichenkombination macht’s Ungünstig ist es auch, sinnvolle Namen und Begriffe zu verwenden. Denn viele PasswortKnack-Tools arbeiten mit Hilfe von Wörterlisten, die beispielsweise aus dem Internet generiert werden. Diese werden nach Häufigkeit geordnet und so nach den Gesetzen der copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 5 eload 24 lösungen auf einen klick. Wahrscheinlichkeitsrechnung abgearbeitet. Wer also Aguilera als Passwort hat, sollte sich das noch einmal überlegen. Aguilera4711 wäre zwar besser, aber noch nicht optimal. Wir geben Ihnen Tipps, wie Sie sichere Passwörter finden. Sonderzeichen Mehrteilige Codes Benutzen Sie einen Code, der sich aus mindestens je einer Buchstaben- und Zahlenkombination zusammensetzt. Den Zahlenblock platzieren Sie am besten vorn. Eine Untersuchung des amerikanischen Verschlüsselungs- und Passwortexperten Bruce Schneier (www.schneier.com) ergab nämlich, dass Wählen Sie Ihr Passwort so, dass es Groß- nur 10 Prozent aller untersuchten mehrtei- und Kleinbuchstaben, Sonderzeichen und ligen Passwörter diesen Teil vorn haben, hin- Zahlen enthält. Das funktioniert allerdings ten dagegen 90 Prozent. Knack-Tools setzen nicht bei allen Zugängen, denn nicht immer deshalb hinten mit ihrer Arbeit an. werden alle verfügbaren 128 Zeichen oder die 96 gebräuchlichen Zeichen des Ascii-Zeichensatzes unterstützt. Ratsam ist es auch, statt Zahlen die mit [Shift] erreichbaren Sonderzeichen zu verwenden oder beide Modi zu kombinieren. Aus 1964 wird so !)&$, 1)6$ tipp Wenn Sie noch einen Schritt weiter gehen wollen, dann positionieren Sie einen Zahlenblock an mehreren Stellen, etwa vor und innerhalb des merkbaren Begriffs. oder !9&4. Aus einem Passwort lassen sich auf diese Weise mindestens zwei oder drei verschiedene ähnliche Passwörter erzeugen. copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 6 eload 24 lösungen auf einen klick. Abgekürzter Satz Adressbuch-Methode Weit verbreitet und sinnvoll ist auch die Satz- Denken Sie sich eine Regel aus, die Sie auf Methode. Dabei setzen Sie die Anfangsbuch- Anschriften aus Ihrem eigenen Adressbuch staben der Wörter eines Satzes zu Ihrem anwenden. Beispielsweise verwenden Sie bei Passwort zusammen. Beispielsweise wird aus Wörtern nur jeweils den ersten Buchstaben „Alles hat ein Ende, nur die Wurst hat zwei“ und übernehmen alle Zahlen. Aus „Gerda auf diese Weise AHEENDWHZ. Eine solche Mustermann, Bahnhofstr. 3, 12345 Wolken- Aneinanderreihung von Zeichen taucht in kei- kuckucksheim“ wird dann GMB312345W. Hier ner Wörterliste auf, und Sie können sie sich müssen Sie sich nur merken, wem Sie einen dennoch gut merken. bestimmten Code zugeordnet haben. Dann können Sie die Passwörter aus Ihrem Adress- Abwandeln lässt sich die Kombination, indem buch reproduzieren, das Sie immer bei sich Sie Groß- und Kleinbuchstaben benutzen haben. (AheEndWhz) und Zahlwörter durch Zahlen ersetzen (Ah1EndWh2). Weitere Varianten: Sie tauschen das O durch eine Null aus oder ein doppeltes O durch eine 8. Statt you schreiben Sie U, statt E eine 3, statt i ein ! und so weiter. Jahreszahlen Nicht nur für Historiker eignet sich die Strategie, bei der Sie sich an Jahreszahlen und Daten orientieren. Die Methode ist ideal, wenn’s um reine Zahlencodes geht, zum Beispiel die PIN fürs Online-Banking. Der Code 54749006 copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 7 eload 24 lösungen auf einen klick. ist seit der letzten Fußball-WM wohl jedem Passwörter merken bekannt, er erklärt aber gut das dahinter stehende Konzept. Nehmen Sie mehrere Daten, Was nützen optimal gewählte Passwörter, etwa das Jahr Ihrer Geburt, Ihrer Einschu- wenn man sie sich nicht merken kann … Ge- lung und Ihrer Hochzeit, und reihen Sie die rade wer sich an die oben beschriebenen zweistelligen Zahlen aneinander. Auch die Sicherheitsregeln hält, muss eine Vielzahl Kombination mit Datum und Monatszahl ist von komplexen Codes parat haben. Es gibt möglich. Auf Ihr Geburtsdatum sollten Sie Anwender, die über 50 verschiedene Login- verzichten – es wäre zu leicht zu erraten, Passwort-Kombinationen mehr oder weniger wenn Sie jemand kennt. häufig benötigen. Da hilft letztlich nur eine Gedächtnisstütze – und die sollte nicht aus Zufallsprinzip Am sichersten sind Kennwörter, die vollstän- einem Blatt im Geldbeutel bestehen, das alle Infos im Klartext enthält. dig nach Zufallsprinzipien erstellt werden. Das geht mit Passwort-Tools wie Keepass, Codestar-Tool: Alles auf sofern Sie die Passwörter auch in einem Tool eine Karte setzen speichern. Denn ohne Hilfe können Sie sich diese Kombinationen definitiv nicht merken. Informationen, die nur Sie entschlüsseln und nutzen können, erzeugen Sie mit der Software „Codestar – Passwörter für die Hosentasche“ von SAD (www.s-a-d.de, 6,59 MB, copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 8 eload 24 lösungen auf einen klick. für Windows 98/ME, NT 4, 2000 und XP). Das praktische kleine Tool generiert eine Codematrix, mit deren Hilfe Sie sich bis zu acht Passwörter notieren können – oder bis zu 16, wenn Sie Vorder- und Rückseite eines Blattes nutzen. Sie brauchen nur einen Drucker – möglichst einen Farbdrucker – und ein einfaches Master-Passwort. Dabei darf es sich sogar um einen Begriff aus dem täglichen Leben handeln. Der Clou dabei: Selbst wenn jemand die Karte mit den Codes findet, kann er nichts da- Nur das Master-Passwort merken: Codestar druckt Passwörter verschlüsselt auf Karten. mit anfangen. Er sieht lediglich, für welchen Zweck das jeweilige Passwort ist. An das So geht’s: Nach der Installation starten Sie Kennwort selbst kommt nur, wer das Master- das Programm und akzeptieren die Lizenz- Passwort weiß. Das Tool bietet eine Hilfe- bedingungen. Nun tragen Sie Ihre Passwör- datei, seine Bedienung ist aber simpel und ter und den jeweiligen Verwendungszweck absolut selbsterklärend. ein. Sie können die Angaben auch um Ihren Login-Namen ergänzen. Das geht im Feld Für (Karte, Gerät, etc.). Passwörter können aus copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 9 eload 24 lösungen auf einen klick. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Codestar fordert Sie jeweils auf, das Passwort zur Sicherheit noch einmal einzutippen. So tragen Sie bis zu acht stop Die Einstellungen müssen bereits beim Start des Programms richtig gewählt sein – eine nachträgliche Korrektur ist nicht möglich. Passwörter ein. Je länger das Master-Passwort sein muss, Im nächsten Schritt legen Sie das Master- desto schwieriger wird es, einen Begriff zu Passwort fest. Es muss so viele Buchsta- wählen, in dem kein Buchstabe mehrfach ben umfassen wie Ihre längste PIN oder Ihr vorkommt. Hier bietet sich die Methode des längstes Passwort. Und: Jeder Buchstabe darf abgekürzten Satzes an, die wir vorgestellt lediglich einmal vorkommen. haben. Ein Beispiel: „Ein Vogel wollte Hochzeit machen in dem grünen Walde“ wird zu Im letzten Schritt drucken Sie Ihre Codekarte EVWHMIDGW. Das ergibt ein neunstelliges aus. Das Tool nutzt automatisch Ihren Stan- Passwort, das man sich gut merken kann. darddrucker mit den vorgegebenen Einstellungen. Wenn also beispielsweise Ihr Druck nur in Schwarz-Weiß erfolgt, obwohl Sie in copyright © 2009 eload24 AG Karte lesen Codestar Farbe gewählt haben, müssen Sie Jedem Passwort ist am Rand der Karte ein die Druckereinstellungen entsprechend an- farbiges Feld zugeordnet. Daran erkennen passen (Start | Systemsteuerung | Drucker Sie, auf welche Farbe Sie sich beim Auslesen und Faxgeräte). eines bestimmten Codes konzentrieren müs- Geniale Passworttricks Tobias Weidemann Seite 10 eload 24 lösungen auf einen klick. sen. Nun arbeiten Sie Ihr Master-Passwort Zeichen für Zeichen ab: Bei jedem Zeichen brauchen Sie das jeweils passende farbige Feld daneben. Falls Sie die Karte nur schwarzweiß ausgedruckt haben, hilft Ihnen die Position des Feldes weiter, also zum Beispiel oben links. So setzen Sie nach und nach den Code zusammen. Weitere Infos bietet die Anleitung (PDF-Datei). Keepass: Sichere PasswortVerwaltung für den USB-Stick Die Codestar-Karte eignet sich für Situatio Ach, wie gut, dass niemand weiß … Mit Keepass generieren Sie Passwörter und speichern sie sicher, wo Sie wollen, etwa auf dem USB-Stick. nen, in denen Sie keinen PC zur Verfügung haben, wenn Sie etwa Ihre Kreditkartendaten Experten beurteilen die Open-Source-Pass- und Bank-PINs brauchen. Wenn ein PC mit wort-Verwaltung in ungewohnter Überein- USB-Anschluss bereit steht, bietet sich Kee- stimmung als extrem sicher (www.keepass. pass an. info, 854 KB, für Windows 98/ME, NT 4, 2000, XP und Vista). Nicht nur die Passwörter werden bei Keepass verschlüsselt, son- copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 11 eload 24 lösungen auf einen klick. dern auch die gesamte Datenbank, in der So geht’s: Ähnlich wie bei Codestar benöti- die Kennwörter abgelegt sind. Zum Einsatz gen Sie zum Entschlüsseln ein Master-Pass- kommen die Algorithmen AES/Rijndael und wort. Sie können es entweder selbst bestim- Twofish, die auch viele professionelle Ban- men oder vom Tool erzeugen lassen (Extras | king-Systeme verwenden. Die Passwörter zu Passwort-Generator oder [Strg – Z]). Bei entschlüsseln würde durchschnittlich mehrere einem automatisch generierten Passwort le- Millionen Jahre dauern. Kombiniert wird das gen Sie zunächst fest, welche Zeichen enthal- Ganze mit einem SHA-256-Hash-Algorith- ten sein dürfen, und bewegen dann die Maus mus, einer Prüfsumme mit 256 Bit, die zu auf dem Bildschirm. Anhand der Bewegungen jeder Abfrage erstellt wird. Wer sich genauer wird das Kennwort quasi zufällig generiert. für das zugrunde liegende Sicherheitskonzept interessiert, findet unter keepass.info/help/ Nun richten Sie für Ihre Passwörter eine neue base/security.html ausführliche Infos dazu. Datenbank ein. Sie können auch mehrere verwalten, etwa für jedes Familienmitglied tipp Keepass ist in englischer Sprache – eine deutsche Sprachdatei tegorien fest und geben die einzelnen Kenn- lässt sich nachrüsten. Kopieren wörter ein. Um eins abzurufen, markieren Sie Sie die Datei in dasselbe Verzeichnis wie das Tool, und wählen Sie sie copyright © 2009 eload24 AG eine eigene. Danach legen Sie die Unterka- den jeweiligen Eintrag und klicken auf Passwort in Zwischenablage kopieren. Wahlweise unter View | Change Language. Danach star- lässt sich auch der Login-Name in die Zwi- ten Sie Keepass neu. schenablage kopieren. Geniale Passworttricks Tobias Weidemann Seite 12 eload 24 lösungen auf einen klick. Passwort und Schlüsseldatei Die Dateien lassen sich in ein beliebiges Verzeichnis verschieben, also auch auf einen USB-Stick oder eine Diskette. Ein virtuelles Laufwerk im Internet eignet sich ebenfalls, sofern sich über diesen Pfad Dateien nachladen lassen. Wenn Sie das Tool auf die im PC eingebaute Festplatte kopiert haben, können Sie auch eine Key-Disk generieren. Das ist sinnvoll, wenn Sie sich nicht oder nicht nur auf Ihr Master-Passwort verlassen wollen. In diesem Fall prüft das Programm am angegebenen Passwörter to go: Der Passwort-Safe Keepass lässt sich auch vom USB-Stick starten. tipp Auf eine ähnliche Weise funktionieren übrigens auch fertige USBStick-Lösungen mit integrierter Passwort-Software wie der Codemeter-Stick von Wibu-Systems (www.codemeter.de, ab 49,98 Euro). Ort nach, ob der Schlüssel steckt, also etwa ob ein bestimmter USB-Stick angeschlossen ist. Am sichersten ist natürlich die Methode, Passwort und Schlüsseldatei zu kombinieren. copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 13 eload 24 lösungen auf einen klick. Passwörter geknackt zehn. Danach wird das Konto gesperrt und erst nach einigen Minuten selbständig oder Wie sicher ein Passwort ist, hängt vor allem auf Nachfrage wieder entsperrt. Eine solche davon ab. mit welcher Strategie es zu kna- Sperre können Sie in einigen Fällen selbst in cken ist. Daher ist es sinnvoll, keinen Begriff den Einstellungen setzen. Wenn das möglich aus dem normalen Sprachgebrauch zu wäh- ist, sollten Sie das zur Sicherheit tun. len – es wäre über eine Wörterlistenstrategie herauszufinden. Bei allen anderen Zeichenkombinationen hilft nur ein „Brute-ForceAngriff“ (englisch für „brutale Gewalt“). Dabei wird nach und nach jede mögliche Kombina tion durchprobiert – so lange, bis das Passwort ermittelt ist. Brute Force stoppen Um sich gegen eine solche Attacke zu schüt- Die Sicherheits-Formel Wie viele mögliche Kombinationen gibt es eigentlich für ein Passwort? Anders gefragt: Wie sicher ist ein Passwort wirklich? Die Passwortqualität, also die Zahl der möglichen Kombinationen N, hängt zum einen von der Zahl der unterschiedlichen verfügbaren Zeichen Z ab, zum andern von der Länge der Zeichenfolge L. Die Formel lautet: N = ZL. zen, gibt es einen ganz einfachen Trick. Vor copyright © 2009 eload24 AG allem Websites, die eine Passworteingabe Damit können Sie sehr schnell ausrechnen, voraussetzen, können ihn anwenden: Der wie sicher ein Passwort ist. Der vollständige Administrator lässt nur eine bestimmte Zahl Ascii-Zeichensatz besteht aus insgesamt 128 von Fehlanmeldungen zu, beispielsweise Zeichen – das ist das Maximum an verfüg- Geniale Passworttricks Tobias Weidemann Seite 14 eload 24 lösungen auf einen klick. baren Zeichen. Wenn ein Passwort allerdings ter in eigenen Dateien angesetzt. Bei einem keine Sonderzeichen oder Zahlen enthalten aktuellen Rechner schafften die Programme darf oder nicht zwischen Groß- und Klein- durchschnittlich 25 Millionen Versuche pro schreibung unterschieden wird, verringert Sekunde – auf den ersten Blick eine beein- sich die Zahl Z entsprechend. druckende Zahl. Der Wert relativiert sich aber, wenn man die Zahl der möglichen Kom- (Fast) unbegrenzte Möglichkeiten: binationen durch diese Zahl teilt. Wie sicher ist ein Passwort? So dauert es nur knapp elf Sekunden, bis copyright © 2009 eload24 AG Wie viele Versuche maximal nötig sind, um ein Knack-Tool ein vierstelliges Passwort er- ein Passwort mit einer bestimmten Länge mittelt hat, das aus sämtlichen Zeichen des und Zeichentiefe zu knacken, sehen Sie in Ascii-Zeichensatzes bestehen kann. Für ein der Tabelle auf Seite 16. Wie lange Ihr Rech- zehnstelliges Passwort, das nur Großbuchsta- ner dafür braucht, lässt sich nur schwer vor- ben kombiniert, bräuchte das Tool immerhin hersagen. Der Wert hängt zum einen von rund 66 Tage. Ein zehnstelliger Code, der aus der CPU-Leistung ab, zum andern vom Pro- sämtlichen Ascii-Zeichen bestehen kann, ist gramm, das die Passwörter ausprobiert. faktisch per Brute Force nicht zu knacken. Knacker im Einsatz Sicherheit ist relativ Zu Testzwecken haben wir Knack-Tools von Nicht zu knacken – so eine Aussage gilt wohl Elcomsoft (www.elcomsoft.com) auf Passwör- gemerkt nur aus heutiger Sicht. Das Moore- Geniale Passworttricks Tobias Weidemann Seite 15 eload 24 lösungen auf einen klick. sche Gesetz besagt, dass sich regelmäßig innerhalb von 18 Monaten die Leistung von Rechnern verdoppelt – und es hat bislang stets Recht behalten. Ein Passwort, das heute als sicher gilt, dürfte mit hoher Wahrscheinlichkeit in einigen Jahren von handelsüblichen Rechnern zu knacken sein. Und RechnerCluster – also vernetzte Rechner mit gebündelter Leistung – rücken einem Passwort noch wesentlich schneller zu Leibe als ein einzelner PC. Knacken: So lange dauert es Wie sicher ein Kennwort ist, hängt vom Zei- Passwortlänge 4 Zeichen 8 Zeichen 10 Zeichen Buchstaben von A bis Z (26 Zeichen) 456.976 208,8 Millionen 141,2 Billio nen Maximale Entschlüsselungsdauer 0,2 Sekunden 2,3 66 Tage Stunden Kompletter Ascii-Zeichensatz (128 Zeichen) 268,4 Millionen 72,1 Billiarden 1,2 Trilliarden Maximale Entschlüsselungsdauer 11 Sekunden 91 Jahre ca. 1,5 Mio. Jahre chensatz, also der Zahl der unterschiedlichen Buchstaben, Zahlen sowie Sonderzeichen und von seiner Länge ab. Pro Sekunde können – je nach System – durchschnittlich 25 Millionen Passwörter getestet werden. copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 16 eload 24 lösungen auf einen klick. Achtung: Windows-Passwort leicht auszuhebeln Das Windows-Passwort soll Ihren PC vor den Zugriffen Unbefugter schützen. Doch es ist weniger sicher, als es sein könnte. Windows erstellt beim Einloggen mit dem LAN-Manager für Windows NT 4, 2000, XP und Vista (NTLM) einen Hash-Wert. Ein Hash-Wert ist eine eindeutige Umwandlung mit Hilfe einer komplexen Berechnung, deren Wert eine bestimmte festgelegte Länge aufweist und eine einfache Identifikation Sicherheitsrisiko Die Umwandlung in einen LM-Hash hat gleich mehrere Schwächen. Da Windows aus Kompatibilitätsgründen Buchstaben in Großbuchstaben umwandelt, verringert sich die Zahl der verfügbaren Kombinationen. Zudem wird ein Passwort auf 14 Stellen gekürzt oder aufgefüllt und der Code in zwei siebenstellige Codes aufgeteilt. Nun sind aber zwei siebenstellige Codes leichter zu knacken als ein vierzehnstelliger. Testlauf ermöglicht. Sie dient der schnellen Identifi- Wer sich für die Methode interessiert, kann kation, ob ein Passwort richtig oder falsch ist. zu Testzwecken versuchen, sein eigenes Aus Kompatibilitätsgründen passiert das Glei- Windows-Passwort auszuhebeln. Mit einer che aber auch mit dem LAN-Manager (LM) cleveren mathematischen Strategie und ei- für die älteren Windows-Versionen. Und der ner kostenlosen Software kommt man unter ist veraltet und unsicherer als NTLM-Hash. Windows selbst in der aktuellen Version vergleichsweise leicht und in kürzester Zeit an copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 17 eload 24 lösungen auf einen klick. den Code. Die englischsprachige Freeware bereits ein einfaches Linux-Betriebssystem). Ophcrack arbeitet mit Hilfe von Rainbow-Ta- Gegebenenfalls müssen Sie zuvor die Boot- bles (für Windows NT 4, 2000, XP und Vista, reihenfolge im Bios anpassen. ophcrack.sourceforge.net, 3,62 MB). Diese Technik hat der Kryptographie-Experte Philippe Oechslin entwickelt. Rainbow-Table-Ansatz Statt in einer langwierigen Prozedur den je- Die Rainbow-Tables stehen zum Download weiligen Hash-Wert zu errechnen und auszu- unter ophcrack.sourceforge.net/tables.php. probieren, werden die Hash-Werte zu jeder Je nach Rechner ist eine andere Variante Passwortvariante nur einmal errechnet und nötig. Die Tabelle SSTIC04-10k eignet sich in einer Liste gespeichert. Eine solche Liste für einen älteren PC mit weniger als 512 MB wäre aber viele Terabyte groß. RAM, SSTIC04-5k für einen schnelleren Rechner mit mindestens 512 MB RAM. Jetzt kommt die Rainbow-Table ins Spiel: Hier werden die ermittelten Werte zu kürzeren copyright © 2009 eload24 AG Alternativ gibt es die Ophcrack Live-CD Hash-Werten reduziert. Der zum Passwort er- (ophcrack.sourceforge.net, 462 MB), die rechnete Hash-Wert gibt nun vor, in welchem bereits die nötigen Rainbow-Tables enthält. Teil der Tabelle man nachsehen muss. So sind Brennen Sie aus der ISO-Datei mit einem viel weniger Variationen durchzuprobieren. beliebigen Programm (etwa Nero) eine CD, Zwar sind es immer noch etliche tausend, sie und booten Sie Ihr System davon (sie enthält lassen sich aber viel schneller austesten. Geniale Passworttricks Tobias Weidemann Seite 18 eload 24 lösungen auf einen klick. So dauert es nur wenige Sekunden, ein Passwort zu knacken. stop Nutzen Sie das Programm ausschließlich für Ihre eigenen Passwörter. Das Aushebeln fremder Passwörter ist illegal. Vertrackte Mathematik: Mit Hilfe der Rainbow-Tables lässt sich ein Windows-Passwort binnen Sekunden entschlüsseln. copyright © 2009 eload24 AG Geniale Passworttricks Tobias Weidemann Seite 19 Wir machen Sie fit für die digitale Welt! Technik Wissen Faszination Jetzt eine Ausgabe kostenlos testen: www.pcwelt.de/shopcode 246 Shopcode merken für die Online-Bestellung ratschlag24.com Das neue Ratgeber-Portal ratschlag24.com liefert Ihnen täglich die besten Ratschläge direkt auf Ihren PC. Viele bekannte Autoren, Fachredakteure und Experten schreiben täglich zu Themen, die Sie wirklich interessieren und für Sie einen echten Nutzen bieten. Zu den Themen zählen Computer, Software, Internet, Gesundheit und Medizin, Finanzen, Ernährung, Lebenshilfe, Lernen und Weiterbildung, Reisen, Verbrauchertipps und viele mehr. Alle diese Ratschläge sind für Sie garantiert kostenlos. Testen Sie jetzt ratschlag24.com – Auf diese Ratschläge möchten Sie nie wieder verzichten. ratschlag24.com ist ein kostenloser Ratgeber-Dienst der eload24 AG www.eload24.com eload 24 Viel guter Rat ab 3 Euro monatlich Die neuen Flatrate Modelle von eload24 Das ist ein Wort: Sie bekommen freien Zugang zu allen eBooklets und eBooks bei eload24. Sie können alles laden, lesen, ausdrucken, ganz wie es Ihnen beliebt. Eine echte Flatrate eben, ohne Wenn und Aber. Sie werden staunen: Unser Programm mit nützlichen eBooklet-Ratgebern ist groß und wird laufend erweitert. Der Preisvorteil ist enorm: 24 Monate Flatrate für nur 72,– E (3,– E monatlich) 12 Monate Flatrate für nur 48,– E (4,– E monatlich) 6 Monate Flatrate für nur 36,– E (6,– E monatlich) Selbst wenn Sie nur zwei eBooklets der preiswertesten Kategorie im Monat laden, sparen Sie im Vergleich zum Einzelkauf. Tausende Kunden haben dieses Angebot schon wahrgenommen, profitieren auch Sie dauerhaft. Wenn Sie nach Ablauf der Flatrate weitermachen wollen, dann brauchen Sie nichts zu tun: das Flatrate-Abonnement verlängert sich automatisch. Bis Sie es beenden. Kaufen Sie jetzt die Flatrate Ihrer Wahl. Und schon einige Augenblicke später stehen Ihnen hunderte toller Ratgeber uneingeschränkt zur Verfügung: Packen Sie mal richtig zu! www.eload24.com/flatrate