Wie kann man ein Passwort knacken?
Ich habe eine Frage und zwar wie kann man ein passwort knacken da ich in Informatik ein Referat über Passwörter machen muss.
Danke an jede Antwort.
MFG IBims2Pumpiii
8 Antworten
Also schön, dann noch eine seriöse Antwort von mir.
Passwörter werden oft nicht geknackt, sondern Sicherheitslücken ausgenutzt. Letztens gab es erst wieder die reißerische Meldung, dass S/MIME geknackt worden sei und fortan unsicher ist. Das ist natürlich absoluter Blödsinn. Es wurde nur die schlampige Programmierung der Email-Clients ausgenutzt, die mit Schuld daran sind, dass aus einfachen Emails inzwischen flackernde Gameshows mit JavaScript und Bildern und winkenden Smileys geworden sind.
Unsinnige Vorgaben in Firmen wie "Jeden Monat muss das Passwort geändert werden" mit unsinnigen Forderungen verknüpft wie "Es muss ein Sonderzeichen, ein Großbuchstabe, eine Ziffer enthalten sein" etc. DIE sorgen dafür, dass die Mitarbeiter ihre Passwörter unter die Tastatur kleben. DAS wird dann ausgenutzt, wenn man WIRKLICH an das Passwort herankommen will.
Bei Facebook schreiben Freunde immer wieder, dass sie gehackt worden seien. Ich bekomme dann per Messenger die Aufforderung, irgendein Video zu öffnen. Diese Freunde WURDEN nicht gehackt, sie haben sich selbst gehackt, indem sie ihr Passwort gutgläubig irgendwo eingegeben haben. Auf einer Seite, die so ein bisschen wie Facebook aussieht.
Social Engineering ist das Zauberwort. Oder das Ausspähen mithilfe von Keyloggern und ähnlichem.
Aber es gibt natürlich auch noch die brute force-Angriffe (mit roher Gewalt), bei denen einfach alle möglichen Passwörter ausprobiert werden, oft unter Zuhilfenahme von Lexika. Denn oft genug geben die Leute Passwörter wie admin123 ein.
Bei mehr Interesse empfehle ich das Buch "Angewandte Kryptographie" von Bruce Schneier.
Mittlerweile wahrscheinlich am ehesten mit phishing, social engineering und dem "Passwort vergessen?" Link, den man häufig findet. In manchen Fällen, wie z.B. passwortgeschützten Dokumenten kann man auch einfach ein neues Passwort vergeben. Falls man Zugriff auf den jeweiligen PC hat, kann man auch einen Keylogger installieren. Entweder als Hardware (USB-Stick, der zwischen Tastatur und PC gesteckt wird) oder als Software.
Wenn das Passwort gut ist (also mindestens 8 Zeichen lang und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen ohne sinnvolle Wörter oder Abkürzungen) und es mit einem guten Passworthash-Algorithmus (z.B. bcrypt) gespeichert wurde und die Website nach ein paar Fehlversuchen den Zugang sperrt, kommt man mit den klassischen Methoden (brute-force, Wörterbuch, Rainbowtables) nicht weit.
ja, finde ich auch. Wobei Passwörter nur indirekt mit Kryptografie zusammenhängen, weil sie z.B. verschlüsselt übertragen werden sollten oder weil das passwortgeschützte Dokument logischerweise auch verschlüsselt sein muss, damit man es nicht einfach mit einem Editor lesen kann.
Ich weiß nicht, ob Hash-Funktionen offiziell auch als Kryptografie zählen. Für mich bedeutet Kryptografie, dass man einen verschlüsselten Text wieder entschlüsseln kann.
Ich hab mir als "Freizeitprojekt" vorgenommen, dass ich versuche, den ECDSA-Algorithmus zu knacken, also aus einem öffentlichen Schlüssel wieder einen privaten Schlüssel zu berechnen. Die Erfolgschance ist zwar recht gering, aber vielleicht werde ich ja dadurch doch noch reich mit Bitcoins ^^
Ja das hört sich doch mal gut an.
Ich bin gerade dabei mir erstmal über das Thema den Ganzen überblick zu verschaffen :D
Aber zu Kryptografie kannst eigentlich alles zählen was zu Verlüsselungen zählt
Passwörter kann man versuchen zu knacken indem man all Möglichkeiten ausprobiert. Stell Dir vor Du hast ein Zahlenschloss an einem Fahrrad, das 4 Stellen hat mit jeweils Ziffern von 0 bis 9. Dann gibt es 10x10x10x10 = 10^4 = 10 000 Möglichkeiten die Du ausprobieren kannst. Mit einem Computer geht das natürlich schnell, nur ist erstens Dein Alphabet größer (26 Buchstaben + 10 Ziffern + einige Sonderzeichen) und Du weißt nicht wie lang das Passwort ist, d.h. Du musst die Wörter aller Längen einzeln betrachten (bis zu einer Obergrenze natürlich). Damit das nicht so leicht ist haben einige Systeme einen Schutzmechanismus eingebaut, nämlich sie blockieren oder verzögern den Zugang zum System nach 3 Fehlversuchen. Um das Ausprobieren abzukürzen gibt es die sogenannten Wörterbuchattacken, bei dem eben Wörter (oder Kombinationen von Wörtern) aus einem digitalen Wörterbuch (in welcher Sprache?) ausprobiert werden, denn die Meisten benutzen ja Passwörter, die man sich leicht merken kann.Das heißt andersherum, wenn du ein gutes Passwort haben willst, das man nicht knacken kann, dann solltest du eben keines benutzen, dass in einem Wörterbuch steht. Mehr zum Thema Passwörter findest Du beim Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
Bruteforce oder abgleichen mit Rainbowtables. Je nachdem was sich anbietet. Im Optimalfall kannst du es auch einfach via SQL injection ändern.
Eine ganz andere Art, dennoch keine unerfolgreiche ist social engeneering.
Wenn es symmetrisch verschlüsselt ist, mit dem symmetrischen Schlüssel.
Wenn es gar nicht verschlüsselt ist, dann einfach auslesen.
Wenn es verhasht ist dann kannst du das Passwort gar nicht knacken, ausser durch probieren. Dabei entstehen aber soviele Möglichkeiten, dass heutige Rechner länger brauchen würden, als das Universum überhaupt existiert.
Kryptographie ist ein sehr interessantes Thema in der Informatik.