Hacker

Passwörter von Windows 7 und Windows 8 sollen unsicher sein

Freitag den 24.08.2012 um 13:25 Uhr

von Benjamin Schischka

Ist der Passwort-Hinweis in Windows ein Einfallstor für Hacker?
Vergrößern Ist der Passwort-Hinweis in Windows ein Einfallstor für Hacker?
© iStockphoto.com / mipan
Ein acht Zeilen winziges Ruby-Script soll ausreichen, um die Sicherheit von Windows-Passwörtern massiv zu gefährden. Hacker könnten damit aus der Ferne den Passwort-Hinweis knacken.
Schon länger hilft Windows seinen Usern bei vergessenen Passwörtern per Passwort-Hinweis auf die Sprünge. Scheinbar werden die Hinweise, die auf das Passwort hindeuten, in der Windows-Registry abgelegt. Das berichtet zumindest arstechnica.com und fährt fort: Dort lägen die Hinweise zwar nicht im Klartext vor, aber in einem Format, das man nur zu leicht in den Klartext umwandeln könne. Der Sicherheitsforscher Jonathan Claudius von SpiderLabs soll bereits ein Script geschrieben haben, das automatisch die Registry absucht und die Passwort-Hinweise lesbar macht. Nur acht Zeilen Code mit der Programmiersprache Ruby on Rails genügen angeblich schon, um den Text sichtbar zu machen, schreibt arstechnica.
 
Bislang kann nur jemand die Passwort-Hinweise lesen, der physischen Zugang zu Ihrem Windows-7- oder Windows-8-Rechner hat. So weit ist das nichts Neues. Wenn sich die Hinweise aber wirklich so leicht aus der Ferne knacken lassen, dann könnten Hacker auch über das Internet wertvolle Tipps abgreifen, die auf das Passwort des Users hinweisen. Über den Passwort-Hinweis lässt sich nämlich Social Engineering betreiben. Das heißt: Die Hacker werfen einfach einen Blick auf das Facebook-Profil oder den Blog des Opfers. Oft lauten Passwort-Hinweise konkret „Lieblingsfarbe“ oder „Grundschule“. Dinge, die man im Internet relativ leicht herausbekommen kann. Erst vor kurzem konnten Hacker gleich mehrere Konten ihres Opfers knacken, in dem sie via Social Engineering Sicherheitsfragen beantworteten. Doch selbst wenn vorsichtige Windows-User ihren Facebook-Account uneinsehbar von außen gemacht haben und die Passwort-Info nirgends verraten - Hacker können theoretisch Brute-Force-Attacken auf ein Minimum einschränken und das Passwort etwa in wenigen Minuten statt einigen Monaten knacken.
 
Darum unser Tipp: Verwenden Sie keinen allzu offensichtlichen Passwort-Hinweis, egal ob es um Windows oder ein anderes Login geht.

Freitag den 24.08.2012 um 13:25 Uhr

von Benjamin Schischka

Kommentieren Kommentare zu diesem Artikel (0)
1561066