So einfach hackt man Passwörter
So kommt man an die Hashwerte
So kommt man an die Hashwerte
Doch um die zu den Passwörtern gehörenden Hashwerte cracken zu können, muss man erst einmal in deren Besitz kommen. In seiner Demo zeigte Willi drei Hackingmethoden, wie aus entsprechenden Systemen Hashwerte ausgelesen werden können. Zum einen verwendete er eine Schwachstelle in einer Version des Open-Source-CMS Drupal, um an den Hash für den Root-Zugang des darunterliegenden Linux-Betriebssystems zu gelangen. Aber auch, wie via SQL-Injection Hashes aus einer Datenbank ausgelesen werden und ein kompletter KeePass-2-Passwort-Safe geknackt werden kann, wurde vorgeführt.
Ist man im Besitz der Hashwerte, muss in einem weiteren Schritt herausgefunden werden, mit welcher Hashfunktion dieser erstellt wurde. Wie Willi berichtet, gibt es Hunderte von Hashfunktionen. Neben den allgemeineren DES, MD5 und SHA256 gibt es auch produktspezifische Algorithmen. Auch um herauszufinden, welche Hashfunktion verwendet wurde, gibt es ein Tool namens «hashID», das dem Hacker – oder Penetration-Tester – die Arbeit erleichtert. Dieses lässt sich mit dem gefundenen Hashwert füttern, worauf es die verwendete Funktion ermittelt.
So crackt man die Passwörter
Für das eigentliche Cracking verwendete Willi die Software Hashcat. Dieses Tool versteht sich nicht nur auf diverse Hashalgorithmen, es können diverse Parameter bestimmt werden, um die Brute-Force-Angriffe einzuschränken. So lassen sich die Passwörter anhand diverser Wörterbücher und Passwortlisten durchprobieren. Dabei wird anhand der Ausführungen von Willi schnell klar: Nicht nur Passwörter, die auf Grundbegriffen bestehen, lassen sich einfach cracken. Auch zum Teil komplexe Verdrehungen und Ergänzungen sowie Kombinationen aus Wörtern, Zahlen und Sonderzeichen sind herauszufinden.
Empfehlungen des Experten
Aufgrund der Erfahrungen aus seinen Penetration-Tests kann Willi diverse Tipps zum Umgang mit und zur Wahl von Passwörtern geben. Generell gilt: Wenn ein Passwortbestandteil in einer Wörter- oder einer Passwortliste auftaucht, ist die Losung recht einfach knackbar. Deshalb sei es besser, Passwörter zu verwenden, die mithilfe eines Zufallsgenerators erzeugt wurden, und diese dann in einem Passwortmanagementprogramm, die es auch von Schweizer Anbietern gibt, zu verwalten. Daneben rät er sehr davon ab, dieselben Passwörter für verschiedene Dienste und Webseiten zu verwenden. Selbst wenn man sich Varianten für die unterschiedlichen Sites ausdenkt, biete dies keinen speziellen Schutz.
Und: Wo immer Zwei-Faktor-Authentifikation angeboten wird, wie mittlerweile selbst bei grossen Sites wie Google, soll man diese auch in Anspruch nehmen.
Kommentare
Es sind keine Kommentare vorhanden.