Passwörter mit John the Ripper testen

Der Faktor "Wissen" ist nach wie vor der dominierende bei der Authentisierung von Benutzern. Im Gegensatz zu den anderen Faktoren "Besitz" und "Biometrie" lässt sich ein gewähltes Passwort in gewissem Maße auch vor Diebstahl schützen. Genauso wie die beiden anderen Faktoren hat aber das Passwort ein Problem: Kennt ein Angreifer das Kennwort als Komponente bereits oder stiehlt er es, bietet es keinen Schutz mehr. Um an Zugangsdaten zu gelangen, greifen Cyberkriminelle daher zu unterschiedlichen Tricks.

Mit der Brechstange

Schwache Passwörter sind in aller Munde. Als Verantwortlicher haben Sie mit Passwortrichtlinien etwa in Ihrem Active Directory die Möglichkeit, Angreifern das Leben etwas schwerer zu machen. Bei Bruteforce-Attacken probiert ein Angreifer alle möglichen Zeichenkombinationen für ein Passwort gegen ein Authentifikations-Backend oder gleicht dieses mit einer Liste gehashter Passwörter ab. Gegen derartige Angriffe geschützte Kennwörter sind möglichst lang und setzen sich aus einer großen Auswahl an möglichen Zeichen zusammen (Entropie). Das erhöht die Anzahl der möglichen Passwörter, die ein Angreifer ausprobieren muss.

Die Macher von Dropbox bieten ein Open-Source-Tool mit dem etwas holprigen Namen "zxcvbn" für unterschiedliche Programmiersprachen an [1]. Damit bestimmten Sie die Güte eingegebener Passwörter, ausgehend von unterschiedlichen Ansätzen, um solche Kennwörter zu knacken. Dabei werden auch verschiedene, aber häufig genutzte Variationen wie etwa "L33t-Speak" berücksichtigt.

Wörterbücher und Phishing

Das Bruteforcing gehashter Passwörter ist zwar in den letzten Jahren, vor allem dank Nvidias CUDA und anderer spezialisierter Hardware, immer schneller geworden, doch genügt dies allein nicht, um in realistischer Zeit das

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.