1818736

Achtung

Truecrypt-Nutzer aufgepasst - Hacker-Tool knackt Passwort in Rekordzeit

28.08.2013 | 14:57 Uhr |

Truecrypt-Nutzer sollten dringend ihre Passwörter überprüfen, aber auch Lastpass-User und Besitzer von Android-Phones von Samsung sind betroffen. Das Hacker-Tool oclHashcat-plus knackt nun auch Passwörter jenseits der 15-Zeichen-Grenze und geht dabei scheinbar besonders schnell vor.

Mit dem Update von oclHashcat-plus auf Version 0.15 ist das Knack-Tool noch viel gefährlicher worden. Die Entwickler rühmen es als das schnellste Truecrypt-Knack-Tool der Welt. Bislang waren Truecrypt-Nutzer sicher vor oclHashcat-plus, wenn sie ein Passwort mit mehr als 15 Zeichen benutzt haben - was Truecrypt ohnehin empfiehlt. Doch ab sofort kann das Hacker-Tool - mit ein paar Einschränkungen - auch Passwörter mit einer Länge von bis zu 55 Zeichen knacken. Dass oclHashcat jetzt auf noch mehr Wörterbücher beim Passwort-Knacken zurückgreift, ist dagegen beinahe belanglos. Ein Passwort, das so in einem Wörterbuch oder Lexikon zu finden wäre, sollten Sie sowieso niemals verwenden!

Bedient sich ein Hacker zweier Radeon-Grafikkarten vom Typ HD6990, rechnen die Entwickler vor, schaffe er mit oclHashcat im besten Fall 451.000 Passwort-Kombinationen pro Sekunde in seiner Brute-Force-Attacke. Das setzt allerdings voraus, dass der Nutzer für seinen Truecrypt-Container die (verbreitete) AES-Verschlüsselung gewählt hat. Die Alternativen Serpent und Twofish stehen noch nicht auf der Liste der mit Hashcat knackbaren Passwörter.

OclHashcat knackt aber nicht nur Truecrypt-Passwörter, sondern auch solche von 1Password, Lastpass, MacOS X, Mircosoft SQL Server, alle Samsung Android-Geräte und viele weitere. Außerdem greift das Tool auf die Power von weiteren Grafikkarten zurück.

Achtung: Im für die Hacker ungünstigsten Fall benötigen diese mit oclHashcat-plus 0.15 rund fünf Tage, um Ihr Truecrypt-Passwort zu knacken, wenn dieses nur acht Zeichen lang ist und nur Buchstaben des Alphabets in Kleinschreibung enthält. Wahrscheinlich geht das Knacken aber in deutlich kürzerer Zeit vonstatten. Ist es ein Wort, das so in einem Lexikon oder Wörterbuch steht, dauert es vielleicht nur eine Sekunde, bis Ihr Passwort enthüllt ist.

Wir empfehlen Ihnen darum dringend, die Passwortlänge zu erhöhen - 20 und mehr Zeichen sind gut - und in das Passwort Buchstaben in Groß- und Kleinschreibung, sowie Zahlen und Sonderzeichen zu mischen. Verzichten Sie auf "geometrische Muster" wie qwert12345 und einfache Mixturen wie Passwort1. Der Gebrauch von Serpent oder Twofish bringt fürs erste Sicherheit vor oclHashcat, weil die aktuelle Version sich nicht darauf versteht. Darauf alleine sollten Sie sich aber nicht verlassen. Schreiben Sie Ihr Passwort nirgendwo ungesichert auf, schon gar nicht am gleichen Rechner, auf dem Sie es einsetzen. Selbst das beste Passwort ist nichts wert, wenn es im Klartext ausgelesen werden kann.

0 Kommentare zu diesem Artikel
1818736