Passwortsicherheit, Teil 1

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Hashcat kennt alle Schlüsseltricks

lassedesignen

Von Uli Ries

Für die Nutzer von Online-Diensten wie LinkedIn, LastFM oder der Dating-Plattform eHarmony war es der Verlust ihrer digitalen Persönlichkeit. Für (semi-)professionelle Passwort-Cracker sind es Schätze im Netz. Die Rede ist von den gehackten Nutzerdatenbanken der Dienste, die nach dem Einbruch im Internet kursierten. Im Fall von LinkedIn waren es über 6 Mio. Einträge mit Nutzernamen, E-Mail-Adresse und Passwort.

Auf diese Leaks stürzen sich Zeitgenossen wie Jens „atom“ Steube. Er interessiert sich nicht für die im Netz kursierenden Namen oder E-Mail-Adressen der geleckten Daten. Sein Augenmerk gilt ausschließlich dem Hashwert des Passworts. Steubes Ziel ist es, aus dem kryptischen Hash das zugrunde liegende Kennwort zu machen – nicht um sich persönlich zu bereichern oder mit den gewonnenen Informationen digitale Identitäten zu rauben, sondern nur um der Herausforderung willen. Gelangt er ans Ziel, fördert er auf den ersten Blick sichere Kennwörter wie „thatsthewayilikeitbabyidontwannaliveforever“, „poIU09*&l1nk3d1n“, „qwertzuiopüasdfghjklöäyxcvbnm,.-“ oder „script>alert(document.cookie);</script>“ zutage.

Hash Cracking als Kartentest

Im Hauptberuf ist der in München lebende Jens Steube Programmierer. „Mein Brotberuf hat so gut wie nichts mit IT-Sicherheit oder gar dem Passwortknacken zu tun“, sagt er. Sein Interesse fürs Hash Cracking wurde geweckt, als er eine praktische, lebensnahe Anwendung für den Einsatz von Grafikkarten für Berechnungen suchte: Es ging um GPGPUs (General Purpose Graphics Processing Units).

Serie: Passwortsicherheit
Teil 1 stellt die Sieger vor: Mit GPGPU-Leistung knackt das Team von Hashcat praktisch jedes Passwort. Teil 2 sagt, was Login-Crackern die Arbeit einfach macht: Faulheit, Leichtsinn und Gewohnheit. Teil 3 sieht sich die Hacker-Hardware näher an und gibt Tipps zum Umgang mit Passwort-Managern.

„Ich will als Programmierer immer up to date sein. Also habe ich mich mit GPGPU befasst. Nachdem ich an den in diesem Umfeld üblichen Wissenschafts- oder Finanzanwendungen kein Interesse hatte, wandte ich mich dem Hash Cracking zu“, erklärt der 34-Jährige. Genau wie manch wissenschaftliche Anwendung profitiert auch das Cracken von Passwörtern von der immensen Integer-Leistung, die insbesondere Grafikkarten von AMD zu Tage fördern.

Passwortsicherheit 1.jpg Hashcat ist eine kosten­lose Windows- und Linux-Software, die auf das GPU-basierte Knacken von Passwort-Hashes spezialisiert ist. (Bild: hashcat.net)

Platz eins: Team Hashcat

Eines der Resultate von Steubes Beschäftigung mit GPGPU ist die Familie der populären Hash-Cracking-Tools Hashcat (CPU-basiert) und oclHashcat (GPU-basiert), deren Haupt­entwickler der deutsche Pro­grammierer ist. Neben dem aus dem Unix-Umfeld stam­menden Passwort­cracker John the Ripper ist Hash­cat zum Standard­werkzeug von Hash-Knackern weltweit geworden.

Wie gut die Spezialisten mit den Tools umgehen können, beweisen sie jährlich in verschiedenen (legalen) Wettbewerben. Einer der Wettstreite trägt den Titel „Crack me if you can“; er findet seit 2010 im Rahmen der Hackerkonferenz DEFCON in Las Vegas statt. Organisator ist der IT-Sicherheitsdienstleister KoreLogic Security. Sieger in den Jahren 2010 und 2012: Team Hashcat.

Passwortsicherheit 2.jpg Das virtuelle Team Hashcat findet sich zu inter­nationalen Hash-Cracking-Wett­bewerben zusammen – und geht dabei des Öfteren als Sieger durchs Ziel – so wie z.B. beim Wett­bewerb der in Russ­land statt­findenden Positive Hack Days 2012. (Bild: Jens Steube)

„Das Team ist ein loser Verbund von Hashcat-Nutzern aus der ganzen Welt“, sagt Steube. „Es besteht nur, um bei Wett­bewerben wie ,Crack me if you can‘ mit­zumischen.“ Dabei beschränkt sich das Team nicht allein auf das namen­gebende Tool, sondern hantiert auch mit dem hin­länglich bekannten John the Ripper.

Password Policies nachschärfen

Jens Steube kann den Wettstreiten – unabhängig vom Spaß am Knacken und der damit verbundenen Herausforderung – Positives abgewinnen: Zum einen profitiere z.B. im Fall von „Crack me if you can“ der Veranstalter. Denn KoreLogic fordert von den Teilnehmern die Offenlegung aller verwendeten Tools und auch der jeweiligen Finessen beim Einsatz dieser Werkzeuge. Auf diese Weise könne KoreLogic bei Penetrationstests mit praxisnahen Techniken unsichere Passwörter der Mitarbeiter des Auftraggebers aufspüren. Letztendlich diene dies der Verbesserung der Passwortsicherheit des Kunden.

MittelstandsWiki 12.jpg
Schwarz auf weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT. Einen Gesamtüberblick mit freien Download-Links zu sämtlichen PDF-Einzelheften gibt es online im Pressezentrum des MittelstandsWiki.

Zum anderen profitiere aber auch die Gemeinde der Hash Cracker. Denn durchs Aufdecken der Klartextpasswörter stoßen die freundlichen Cracker auch auf alle Mutationen, die Menschen beim Erzeugen der Kennwörter ersinnen, um die in Unternehmen gängigen Passwortvorgaben auszutricksen. In der Regel wählen die Anwender ein Basispasswort und ändern es dann immer wieder ab, damit es die Vorgaben wie Mindestlänge oder Sonderzeichen erfüllt.

Dieses Wissen rund um die (endlichen) Mutationen fließe dann in die Entwicklung neuer, besserer Vorgaben ein. Jens Steube selbst arbeitet derzeit an einer Bibliothek, die eine neue Generation von Password Policies möglichen machen und schwieriger auszutricksen sein soll.

Dass keineswegs alle Hash Cracker sozal gesinnt sind und welchen Kennwortmustern die Angreifer dabei folgen, schildert Teil 2 dieser Serie.

Nützliche Links