Passwortknackerei versteh' ich nicht!

Internet Internet Sicherheit
#21

Hallo,

So - und nu komm’ ich mit einer (wahrscheinlich???) ganz
doofen Frage: Warum und wieso lassen Betriebssysteme es
überhaupt zu, dass diese ollen „Knacker“ in wenigen Sekunden
millionen Kombinationen ausprobieren dürfen?

Hast Du mal überlegt, warum öffentliche Toiletten Schlösser haben, die auch von außen geöffnet werden können? Wahrscheinlich, weil es praktisch ist, manchmal hilfreich, und weil diese Argumente gegenüber dem Bedürfnis der Benutzer nach Privatsphäre überwiegen.

Wieso sagen die nicht einfach: Du hast 5 Versuche! Wenn Du zu
blöd bist, Dir Dein Passwort zu merken, musst Du dann halt
erst mal 5 Minuten warten. Und mit jedem fünften Versagen des
Hirns (oder eben mit krimineller Absicht) verlängert sich die
Zeit progressiv, so dass auch der pfiffigste Passwort-Knacker
nach spätestens 20 probierten Kombinationen - Stunden später -
entnervt aufgeben muss.

Dazu wurde ja schon geschrieben: Wenn dem Einbrecher die Haustür (Windows-Passwort) zu nervig ist, kommt er halt durchs Fenster. Wenn er glaubt, dass es sich lohnt.

In vielen Internet-Logins für Foren und ähnliches unnützes
Zeug gibt’s das doch schon lange. WARUM also verzichtet zum
Beispiel Microsoft bei seinem Windows von Anfang an darauf,
diese Methode des Passworthackens von vornherein zu
verunmöglichen.

Genau aus dem obigen Grund. Es macht einen großen Unterschied, ob ich in Internetforen - die Du jetzt „unnützes Zeug“ nennst - die Daten von Tausenden oder Millionen von Nutzern klauen kann, oder ob ich, vor Mamis PC sitzend, den Inhalt ihrer Festplatte klaue. Stell Dir vor:

  1. Ein Hacker findet alle Benutzerdaten bei wer-weiss-was heraus. Er vergleicht die mit Nutzerdaten von anderen Foren und hat in Nullkommanix eine komplette 1984-mäßige Übersicht des größten Teils der Bundesbürger mit ziemlich vielen Daten über ihre Interessen, ihre Bankkonten und so weiter.
  2. Ein Hacker, der an Deinem PC sitzt, findet das Passwort Deines Computers heraus. Na und? Dann änderst Du es halt.

Wieder 1) Ein User von wer-weiss-was hat sein Passwort vergessen und weiß keinen Hack, wie er es wieder kriegt. Na gut, dann fragt er den Support.
Wieder 2) Du hast das Passwort Deines PC vergessen. Der PC ist so wasserdicht konfiguriert, dass keiner das Passwort herausfinden kann. Deine Daten sind also weg. Was dann?

Cheers, Felix

#22

Unterschiedliche Dinge
Hallo Fatzikowsky,

obwohl viele Dinge hier schon gesagt worden sind, scheint ein Aspekt nicht betrachtet zu sein.

Man muss nämlich das Passwort-Knacken und das Eindringen in ein System getrennt voneinander betrachten.

Entgegen der landläufigen Meinung ist nämlich Letzteres sehr viel einfacher und nur selten über das Erste zu erreichen. Oft ist es sogar erwünscht, dass der physische Zugriff auf ein System eine Möglichkeit gibt, an die Daten und an die Systemhoheit zu gelangen.

Das richtige Passwort-Knacken kümmert sich deshalb nicht mehr um die Frage, wie man in das betroffene System eindringt, sondern ob man die dort gespeicherten Passwort entschlüsseln kann. Denn die Wahrscheinlichkeit ist nicht gering, dass geknackte Passworte auch woanderes passen. Es geht als darum, wie viel Sicherheit noch vorhanden ist, wenn alles offen liegt.

Auch wenn man es im Fernsehen immer wieder sieht: In halbwegs aktuellen Betriebssystemen ist das Entschlüsseln keine Aufgabe, die der Assistenz des Kommissars an einem Nachmittag erledigt. Wenn das Wort nicht gerade in einem Wörterbuch vorkommt, ist das Entschlüsseln selbst für Spezialisten nicht in sinnvoller Zeit möglich.

Bei Foren oder Onlineshops wird aber gerne schon mal geschlampt. Dort wird dann Software eingesetzt, die schon uralt ist oder einfach falsch verwenden. Selbst unter Sicherheitsfirmen kommt bodenlose Inkompetenz vor:
http://www.heise.de/security/meldung/Hintergruende-z…

Die Schlagworte für sichere Ablage von Passworten und Ansätzen, wie trotzdem zu knacken sind: Asymetrische Verschlüsselung, Hash-Funktion, Gesalzener Hash und Rainbow-Tables.

Ciao, Allesquatsch