Passwortsicherheit (4): Verlässliche Feinde? – Wie werden Passwörter angegriffen?

Es ist müßig, an dieser Stelle einen Überblick über alle Möglichkeiten geben zu wollen, wie Daten und die zu ihrem Schutz eingesetzten Methoden umgangen und gebrochen werden können. Die Liste ist endlos und es kommen kontinuierlich neue Angriffswege hinzu. Also beschränke ich mich auf die gängigsten Mechanismen, mit welchen grundlegenden Mitteln Passwörter angegriffen werden. Es wird keine Anleitung sein, wie man es macht, sondern dient lediglich der allgemeinen Informationen darüber, dass man es Crackern leicht machen kann und warum.

Schweigende Lemma(ta)

Wann auch immer in Filmen Passwörter geknackt werden, sieht es so aus als wäre es schweißtreibende Arbeit für Mensch und Maschine. Der Teil mit der Maschine stimmt vielleicht noch, der mit der Maschine sicherlich nicht. Darum hat der Mensch sich doch die Maschine zugelegt. Prinzipiell benötigt es auch nicht viel Hirnschmalz, um ein Passwort zu knacken. Eher Geduld. Meistens aber nicht einmal wirklich viel davon. Die Unbedarftheit derer, die ihre Daten schützen wollen, oder auch schlicht ihre Faulheit machen es schon viel leichter. Es gibt zwar ausgefeilte, raffinierte technische Mittel und Wege wie zum Beispiel die unter dem Begriff der Seitenkanalangriffe zusammgengefassten, aber die sind hier weniger von Bedeutung.

In der Theorie wird beim Passwortknacken immer noch mit Wasser gekocht, zwar mit viel davon und durchaus bei hohen Temperaturen. Anstrengend ist es allerdings in der Regel nicht. Für die erste Variante, die sich immer noch großer Beliebtheit erfreut, was wohl auch daran liegt, dass Wissen um sichere Passwörter noch immer nicht sehr weit verbreitet ist, hat mit Wörterbüchern zu tun. Anders ausgedrückt, mit Wortlisten, Worttabellen und Wortdatenbanken. Dies sind die Protagonisten der so genannten Wörterbuchangriffe.

Das Prinzip könnte leichter kaum sein. Es baut darauf auf, dass Passwörter aus verschiedenen Gründen aus einem weit engeren Pool an Wörtern bestehen. Eigentlich ist es schon erstaunlich, dass es Passwörter überhaupt aus tatsächlichen Wörtern bestehen. Damit braucht es nur einer Liste mit sagen wir den beliebtesten Namen und Vornamen. Die werden im Wörterbuch hinterlegt und Kombinationen davon einfach abgefragt. Anscheinend fruchtet dies immer noch.

Im Kern machen es Menschen den Passwortdieben leicht, wenn sie einfache Wörter oder simple Kombinationen davon verwenden. Das macht in der Masse Passwörter ausrechenbar. Sicherlich kann es in einem einzelnen Fall immer noch lang dauern, um ein bestimmtes Passwort zu knacken. Wenn aber jemand in Besitz einer Liste mit Zugangsdaten gekommen ist, die können gerne auch mit den zuvor bereits erwähnten Hash-Algorithmen bearbeitet sein, ist es kein Problem erst einmal eine Wörterbuch-Suche zu starten. Es werden dabei schon einige bis jede Menge Zugangsdaten geknackt werden, um die man sich dann nicht mehr aufwändig kümmern muss. Auch hilft nicht, dass die Daten als Hash vorliegen, dann macht man eben noch eine Liste der gängigsten oder beliebtesten Passwörter und lässt sie durch die bekannten Algorithmen laufen (Rainbow Table). Dann werden auch noch diese abgefragt.

Und bist du nicht willig

Vielleicht hat es jemand genau auf nur mein Passwort abgesehen oder es blieben noch einige übrig, nachdem schon andere Methoden angewandt wurden. Was dann? Auch hier braucht es keine mathematischen oder technischen Auszeichnungen, um ein Passwort zu knacken. Rohe Gewalt führt auch in solchen Fällen oft genug ans Ziel. Derart roh ist die Gewalt, das sie Namensgeberin des Angriffes wurde: Brute-Force.

Nichts ist leichter als eine Brute-Force-Attacke, wenn man nur die intellektuelle Herausforderung betrachtet. Man geht einfach alle möglichen Kombinationen durch. Bis es passt. Nicht mehr. Die einzige aktive Erfahrung als Cracker habe ich selbst gemacht, als meine Eltern in meinen jungen Jahren ein Fernsehverbot damit durchzusetzen versuchten, indem sie ein vierstelliges Passwort in das Gerät eingaben. Sie hatten nicht damit gerechnet, dass das Fernsehprogramm und mein Trotz hinreichender Grund waren, mich an die Arbeit zu machen. Anfangs war ich schockiert, denn es musste ewig dauern, das Passwort zu erhalten. Dann blickte ich auf die Tastatur in meinen Händen. Es konnten doch nur Zahlen sein. Und das Passwort war vierstellig. Nicht mehr. Es war eine meine frühesten und bis heute eine der wenigen mathematischen Leistungen, dass mir schlagartig klar wurde, dass es nur 9999 Kombinationen sein konnten (Ja, ich hatte die 0000 nicht bedacht.). Ich überschlug im Kopf, wie viel Zeit es brauchen würde alle durchzuspielen. Zehn Passwörter konnte ich pro Minute ausprobieren, also würde ich für alle Kombinationen 1000 Minuten brauchen. Etwas unter 17 Stunden. Das mag nach viel wirken, aber nicht für ein Kind, das sechs Wochen Fernsehverbot hat. Aber auch jeden Nachmittag von 13 bis 18 Uhr freie Bahn, um zu testen. Außerdem war ja nicht gesagt, dass es so lange dauern würde, es war nur ein Maximalwert.

Natürlich machte ich mich an die Arbeit. Wenn ich es mir recht überlege, versuchte ich vorher noch so etwas wie eine Wörterbuchattacke, denn ich probierte erst einmal alle mir bekannten Geburtsdaten aus. Das brachte aber nichts. Also setzte ich mich in die Ledercouch im Wohnzimmer und fing an zu tippen. Ich fing aber nicht vorne an und spulte es hoch. Ein leise Stimme in meinem Hinterkopf riet mir, von 5000 an aus in beide Richtungen zu arbeiten. Es war bloß ein Ahnung, doch war ich schon an diesem Nachmittag durch. Es war 491 und die letzte Ziffer habe ich vergessen, aber was kümmert mich diese Minute.

An dieser Stelle ist genug dazu gesagt, ich hatte meinen eigenen Brute-Force-Angriff ersonnen. Ich brauchte nur Zeit, die hatte ich. Der Erfolg war gewiss. Vergessen wir, dass meine Leichtfertigkeit zwei Wochen später zu meiner Enttarnung als Passwortknacker führte. Und dies dann dazu, dass meine Eltern den Kabelanschluss, der in einem verschließbaren Kellerraum lag, kappten, sobald sie das Haus verließen. Wie ich in einer ausgefeilten Nacht- und Nebelaktion zu einem Zweitschlüssel kam, das bleibt vorerst mein Geheimnis.

Brute-Force-Angriffe haben, wie wir gesehen haben, einen großen Nachteil. Und einen gewaltigen Vorteil. Sie brauchen Zeit, es kann lange dauern. Doch ist auch gewiss, dass sie zum Erfolg führen werden. Wenn ich alle möglichen Kombinationen durchspiele, muss ich zwangsläufig erfolgreich sein. Und damit wären wir kurz vorm Abschluss dieser kleinen Serie, an deren Schluss es ein wenig um die Mathematik gehen wird, wie die Variable ‚Zeit‘ so weit gedehnt werden kann, dass die Gewissheit des Erfolgs praktisch wertlos ist.

Ein Gedanke zu „Passwortsicherheit (4): Verlässliche Feinde? – Wie werden Passwörter angegriffen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.