Hätte Moses etwas mehr Platz auf den zwei Gesetzestafeln gehabt, so hätte er bestimmt noch ein weiters Gebot aufgenommen, das da lautet: Du sollst nicht verwenden eines schwachen Passworts. Selbst wenn seine Zeitgenossen diesem Text mit Unverständnis gegenüber gestanden hätten -- heutzutage ist er umso zutreffender. Denn ein schwaches Passwort ist die Todsünde der Informationsgesellschaft. Es eröffnet erst die Möglichkeit für Betrug und Raub.

Zugegeben -- es gibt untadelige Motive für das Brechen eines Passworts, meist des eigenen, wenn man es vergessen hat. Passwörter sind die Schlüssel der digitalen Welt und jeder Anwender sollte sich Gedanken machen, wie, wo und welche Passwörter er verwendet.

Gut zugehört

Vor dem Knacken muss man etwas haben, das man knacken kann. Hier liegt meist die eigentliche Schwachstelle, denn oft genug werden Passwörter im Klartext übertragen -- nicht nur im Netz, sondern auch z.B. über das Telefon. Unbedachte Anwender geben oft Passwörter über eine unverschlüsselte Verbindung auf einer Webseite ein. Diese Daten kann eine Vielzahl von Administratoren unterwegs mitlesen. Denn eine Internetverbindung geht über viele, viele Rechner. Wer sich einen Eindruck machen möchte kann dies über den Trace Route von All Nettools.

Wenn Sie beispielsweise www.pc-magazin.de eingeben, erhalten Sie eine Liste aller Rechner zwischen All Nettools und unserer Webseite. An allen Stationen kann ein neugieriger Praktikant sitzen, der meint er verdient zu wenig und der deshalb Zugangsdaten (E-Mail-Adressen oder sonstiges) verkauft. Dasselbe gilt für vertrauliche Daten in E-Mails.

Ein Programm zum erschnüffeln eines Netzdatenstroms ist ein so genannter Sniffer. Sehr beliebt ist die Freeware Ethereal. Sie liest alle Pakete, die an der Netzwerkschnittstelle vorbeikommen -- wenn diese entsprechend eingestellt ist, auch alle Pakete, die für andere Rechner im lokalen Verbund bestimmt sind.

Installieren Sie WinPcap und anschließend Ethereal. Die aktuelle Version ist 0.10.8. Bei der Installation können Sie zusätzlich das Modul GTK-Wimp (Windows Impersonator) wählen, das Ethereal eine nette Windows-Oberfläche verleiht.

Um das Lauschen zu starten, gehen Sie auf Capture/Start. Im obersten Eingabefeld wählen Sie unter Interface die Netzwerk-, DSL- oder ISDN-Schnittstelle aus. Das Tool kann immer nur an einer Stelle lauschen. Nachdem Sie OK geklickt haben, öffnet sich ein kleines Statistik-Fenster, das bald eintrudelnde Pakete nach Protokollen sortiert anzeigen sollte. Wenn Sie surfen, wächst der Balken bei TCP rapide -- wenn nicht, haben Sie vielleicht die falsche Netzwerkkarte gewählt.

Wollen Sie einen Passwortdialog belauschen, öffnen Sie im Browser eine Login-Seite, die auf SSL verzichtet, z.B. die von PIA. Geben Sie nun einen (fiktiven) Benutzernamen sowie ein Passwort ein und schicken Sie das Login ab. Wechseln Sie zu Ethereal und stoppen die Aufzeichnung. Nun sehen Sie eine lange Liste aller Pakete. Die wichtigen zu finden, erfordert etwas Übung. Lassen Sie sich alle Pakete nach Protokoll ordnen. Unter HTTP und POST werden Sie fündig. In obigem Beispiel lautet das richtige Paket: POST /login/login.jsp HTTP/1.1.

Nun ist der ganz Login-Dialog über mehrere Pakete verteilt. Alle einzeln zu lesen, ist sehr umständlich, aber Sie können sie zusammenführen. Klicken Sie mit der rechten Maus auf das gewünschte Paket und dann auf Follow TCP-Stream. Nun öffnet sich klar lesbarer Code: user_name=xyz&password=passwort. Bei dieser Suche war relativ klar, was gesucht wird. Sie können die Datenflut einschränken, wenn Sie z.B. beim Sammeln als Filter tcp eingeben.

Mit Gewalt

Cracker verwenden viele weitere Möglichkeiten, um an unverschlüsselte Passwörter zu gelangen. Immer häufiger gibt es Phishing-Attacken. Selbst einfache Trojaner lauschen auf Passwörter. Bessere Exemplare wie MiniMo durchsuchen sogar die Festplatte und versuchen Passwörter gleich zu knacken. Cain & Abel ist ebenfalls als Mix aus Trojaner und Passwort-Cracker.

Oft Erfolg versprechend ist das Social-Hacking. Ein Anruf "Hallo, hier ist Steinberger aus der EDV-Abteilung. Geben Sie mir bitte schnell Ihr Passwort für...", wirkt oft Wunder. Ein Cracker, der in ein Firmennetz einbrechen will, wird sich zuerst so viele Informationen wie möglich über die Struktur der Firma besorgen (Telefonlisten etc.)

Gibt es keine Möglichkeit trickreich an das Passwort im Klartext zu kommen, hilft nur die rohe Gewalt. Der Sicherheitsexperte spricht von Passwort brechen. Da gibt es zwei Varianten. Manche Passwörter sind schwach im Programm implementiert. Sie lassen sich mathematisch mit einem kryptoanalytischen Verfahren brechen. Das ist bei den meisten Passwörtern von Office oder von älteren Windows-Varianten der Fall und eine Vielzahl an passenden Tools steht zur Verfügung. Cain & Abel findet z.B. jedes Access-Passwort in Sekunden.

Anwendungen, die aktuelle Algorithmen verwenden und fehlerfrei implementieren, sind so nicht zu knacken. Der Datendieb muss alle möglichen Passwörter eines nach dem anderen durchprobieren. Man spricht von einer Brute-Force-Attacke. Auch hierfür gibt es spezielle Tools, die die Passwörter in sekundenschnelle durchprobieren. Sie funktionieren mit allen gängigen Eingabedialogen, sei es von Programmen sei es von Webseiten.

Hier hängt die Sicherheit nun nicht von der Art des Passwortes ab, sondern allein von der Länge und Zusammensetzung.

Eine spezielle Variante der Brute-Force-Attacke ist der Lexikon-Angriff. Das Tool versucht nicht sinnlos alle Buchstaben- und Zahlenkombinationen einzusetzen, sondern gezielt Begriffe aus einem Lexikon. Es gibt Sammlungen für viele Sprachen. Die Begriffe werden auch in Abwandlungen eingesetzt. Es spielt also keine Rolle, ob man Knackwürstchen, KnaCKwürstchen oder Knack77würstchen als Kodewort verwendet. Alles was auf einem Begriff basiert, ist nicht sicher.

Ein neu wieder entdecktes Verfahren der Brute-Force-Attacke ist der Tabellenangriff -- er arbeitet umgekehrt. Verwendet ein Programm beispielsweise den MD5-Algorithmus, um das Passwort zu verschlüsseln, so legt der Cracker zuvor eine (riesige) Tabelle aller möglichen MD5-Passwörter an. Das dauert Tage -- den MD5-Hash in der Tabelle zu suchen, hingegen dann nur noch wenige Minuten.

Ein derartiges Verfahren heißt z.B. Rainbow Tables vorgelegt vom schweizer Wissenschaftler Philippe Oechslin.

Schwieriger ist es die verschlüsselten Passwörter zu erbeuten. Bei Windows finden sie sich in der Datei C:\Windows\System32\config\Sam, die sich im laufenden XP-Betrieb aber nicht öffnen lässt. Man muss das System fremd booten, z.B. mit einer Linux-CD. Hinzu kommt, dass die Datei bei neueren Windows-Versionen zusätzlich verschlüsselt ist. Dem Cracker bleibt nichts übrig als ein Tool zu verwenden, das alle Hürden überwindet. Sehr bekannt ist LophtCrack (jetzt: Symantec), kostet jedoch 650 Dollar aufwärts. Die Version, die Rainbow-Tabellen verwendet, kommt auf 850 Dollar. Es gibt aber auch freie Tools, wie Cain & Abal oder John the Ripper, die gute Dienste tun.

Cain & Abel besteht, wie der Name schon andeutet, aus zwei Komponenten: einer lokalen (Cain) und einer entfernten (Abel). Der Anwender kann alle Aktionen also auch über das Netz an einem anderen Rechner ausführen. Cain zeigte in unseren Versuchen zuverlässig das aktuelle Passwort des angemeldeten Anwenders im Klartext (über Tools/Credential Manager). Aber auch alle anderen Passwörter sind nicht sicher. Über den Reiter Cracker und LM & NTLM Hashes öffnet sich eine Tabelle. Mit der rechten Maustaste und Add to List/Dump NT Hashes füllt sich die Tabelle mit allen Anwendernamen und den verschlüsselten Passwörtern. Auch wenn die SAM-Datei mit Syskey verschlüsselt wurde -- was bei XP der Standard ist -- funktioniert es.

Die Spalte 8 markiert alle Passwörter mit einem Sternchen, die kürzer als acht Zeichen sind und daher leicht zu attackieren. Klickt der Cracker einen Eintrag mit der rechten Maustaste an, öffnet sich die ganze Palette der Werkzeuge: Lexikalische-, Brute-Force- und kryptographische Attacke (Rainbow Tables). Die Rainbow-Tabellen oder Lexika muss der Cracker zuvor jedoch einbinden. Zum Erzeugen der Tabellen liefert Cain das Tool Winrtgen mit.

Der Schutz eines kurzen Passworts (6 Zeichen), das kein Sonderzeichen enthält, ist garantiert in wenigen Minuten dahin. Die erste ernsthafte Barriere für Hobby-Cracker bilden 8 Zeichen, die sich aus keinem Begriff bilden und mindestens ein Sonderzeichen enthalten. Ein normaler PC ist damit einen Monat beschäftigt.

Passwort überschreiben

Ein weiteres Verfahren zum Umgehen eines XP-Passworts bietet das Tool OO Bluecon. Es überschreibt einfach das vorhandene Passwort. Der Anwender bootet mit der speziellen Start-CD des Tools und findet eine Konsole vor. Mit dem Befehl users erhält er eine Liste aller Login-Namen auf dem Rechner. Mit passwd user 123456 setzt er als neues Passwort für den Anwender user 123456. Damit kann er sich nun einloggen.

In unserem Test war dieser Angriff nur zu verhindern, wenn der Anwender mit Syskey ein Passwort für den Systemstart eingerichtet hatte. Nach dem Überschreiben konnte sich der Anwender nicht einloggen -- weder mit dem alten noch mit dem neuen Passwort. :whs

Anhang I: Das sichere Passwort

Cain & Abel gibt Auskunft darüber, wie lange es benötigt, ein Passwort mit der Brut-Force-Attacke zu brechen.

6 Zeichen aus Kleinbuchstaben und Ziffern: 5 Minuten.

8 Zeichen aus Kleinbuchstaben und Ziffern: 5 Tage

8 Zeichen: Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen 30 Jahre

8 Zeichen: Groß-, Kleinbuchstaben, Ziffern, Sonderzeichen und deutsche Umlaute 50 Jahre

Sie können sich also selbst ausrechnen, wie sicher Ihr Passwort sein soll. Um eine Lexikonattacke unmöglich zu machen, sollte Ihr Passwort nicht auf einem Begriff beruhen. Es bieten sich die Anfangsbuchstaben aller Wörter eines Satzes an. Eine Attacke mit Rainbow-Tabellen erschweren Sie, indem Ihr Passwort Sonderzeichen enthält, denn je mehr Zeichen der Angreifer in seinen Tabellen abdecken muss, desto umfangreicher werden diese. Am sichersten sind Ihre Daten in einer PGP- oder GnuPG-verschlüsselten Datei. Aber auch Ihr privater Schlüssel sollte mit einem sicheren Passwort geschützt sein. Für unsichere Passwort-Implementierungen, wie z.B. die von Office, gibt es noch einen kleinen Trick. Verwenden Sie Zeichen, die sich nicht auf der Tastatur finden. Diese Zeichen erhalten Sie, wenn Sie die Alt-Taste gedrückt halten und eine Nummer eingeben, z.B.: Alt + 4545.

Der Cracker wird nur Kästchen oder Fragezeichen, statt Klartext sehen.

Anhang II: Das richtige Tool

Accent Office Password Recovery 2.11 Cracker für Office-Programme, ab 25 Dollar

Aster Win IE Cracker für im IE gespeicherte Passwörter, Freeware

AsterLog Zeigt Passwörter im Klartext (z.B. Outlook Express), Freeware

Cain & Abel Trojaner, Sniffer und Passwort-Cracker. Enthält Winrtgen, Freeware

Elcomsoft Diverse Cracker (Windows, Office), ab 30 Dollar

Ethereal Sniffer, Open Sorce

Excel Passwort Cracker Cracker für Tabellen von Excel 2000/XP, Freeware

John the Ripper Cracker für Windows- und Unix-Passwörter, Open Source

Lastbit Diverse Cracker (Windows, Office), ab 25 Euro

LophtCrack Cracker für Windows-Passwörter, ab 650 Euro

MiniMo (MoSucker) Trojaner und Passwort-Sniffer, Freeware

OOBluecon Überschreibt Passwörter

Project RainbowCrack Cracker für MD5-, LM-, SHA1-Hashes mit Rainbow Tables, Open Source

Sarca Cracker für LM-Hashes (Windows-Passwörter), kostenlose Web-Anwendung

Winrtgen Generator für Rainbow Tables, Freeware

Wortlisten Lexikalische Angriffe, umsonst

Artikel in Heft 3/2005 des PC-Magazins