85922

Ratgeber

So knacken Sie Ihr vergessenes Passwort

29.01.2016 | 08:54 Uhr |

Fritzbox- oder Windows-Passwort, Online-Account- oder Android – egal, welches Passwort Sie vergessen oder verloren haben, so knacken Sie verlorenen Passwörter.

Die Vorbemerkung ist wichtig: In diesem Artikel geht es nicht um das Ausspähen oder Abfangen von Passwörtern, um damit an fremde Daten zu gelangen – ausdrücklich auch nicht als „erwünschter Nebeneffekt“! Vielmehr wollen wir für gängige Geräte, Software, verschlüsselte Datenformate und Online-Konten aufzeigen, wie Sie wieder an Ihre Daten kommen, falls Sie sich ausgesperrt haben.

Das ist gar nicht so unwahrscheinlich, denn schon nach einem zweiwöchigen Urlaub soll sich mancher PC-Nutzer nicht mehr an sein Windows-Passwort erinnern können. Ganz zu schweigen von einem vor Jahren verschlüsselten Zip-Archiv oder den diversen Internetzugängen, die sich im Laufe der Jahre so angesammelt haben. Und wer nicht stets das gleiche Passwort verwendet – wovon dringend abzuraten ist – oder seine Zugangscodes perfekt organisiert, braucht schon einmal Hilfe beim Erinnern oder Zurücksetzen.

Passwort-Generator: Sichere Passwörter automatisch erstellen

Passwörter: Die Stärke, das Knackrisiko und etwas Theorie

Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher – wir zeigen noch, warum.

Zum einen ist die verfügbare Leistung schon eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Nun lässt sich argumentieren, dass das Erhöhen der Passwortlänge die Zahl der Versuche und damit die Zeit für einen solchen Brute-Force-Angriff drastisch steigen lässt.

Das ist zwar richtig, allerdings nur in der Theorie. Denn die Hacker verwenden längst andere Methoden, und selbst Rainbow-Tabellen, die eine Vielzahl von Passwort-Hashwerten bereits gespeichert und damit die Zeit für einen Angriff erheblich verkürzt hatten, haben an Bedeutung verloren.

In den vergangenen Jahren wurden von zahlreichen Großunternehmen Kundendaten inklusive der Passwörter gestohlen. All die dabei verwendeten Muster sind längst in „Wörterbüchern“ zum Ausspähen gespeichert.
Vergrößern In den vergangenen Jahren wurden von zahlreichen Großunternehmen Kundendaten inklusive der Passwörter gestohlen. All die dabei verwendeten Muster sind längst in „Wörterbüchern“ zum Ausspähen gespeichert.

Listen mit Zugangscodes beschleunigen die Hacker-Angriffe

Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter.

Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen „wahrscheinlichsten“ Ausdrücken durchzuführen: Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. Zwar sind simple Phrasen wie „12345..“, „Password“ oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung. Beliebt ist beispielsweise das Ersetzen von Buchstaben nach dem „1337-Speak-Muster“: Aus dem „Taschenrechner“ wird dann „745ch3nr3chn3r“, und selbst die gerne benutzte Verlängerung mit dem Dienst-oder Domainnamen ergäbe bei Online-Händler Amazon zwar einen Ausdruck mit 21 Stellen. Ein solcher Zugangscode ist trotzdem wenig wert, denn solche „Regeln“ sind in den Wörterbüchern längst berücksichtigt.

Darüber hinaus existieren unsichere Systeme: So blockiert Android den Lockscreen für nur 30 Sekunden, wenn fünf Mal ein falscher Entsperrcode eingegeben wurde. Führt man die Eingaben automatisiert aus, ist eine 4-Ziffern-Kombination nach spätestens 17 Stunden überlistet. Der Tastaturroboter USB Rubber Ducky (35 Euro) arbeitet das automatisch ab. Erst die neue Android-Version 6.0 („Marshmallow“) erhöht den Schutz etwas; deutlich sicherer sind hier iOS und Windows Phone.

Der USB Rubber Ducky agiert als programmierbare Tastatur und kann nicht nur PCs, sondern auch Smartphones und Tablet-PCs systematisch angreifen.
Vergrößern Der USB Rubber Ducky agiert als programmierbare Tastatur und kann nicht nur PCs, sondern auch Smartphones und Tablet-PCs systematisch angreifen.

Ausgesperrt: So setzen Sie Kennwörter Ihrer Online-Konten zurück

Einige Hintergründe zu Passwörtern inklusive Angriffen haben wir nun vorgestellt, die verschiedenen Möglichkeiten zum Erstellen von Passwörtern erläutert der Kasten unten. Hier geht es nun ums Zurücksetzen von Kennwörtern. Einen häufigen und zugleich einfachen Fall stellen Online-Konten von A wie Amazon bis Z wie Zattoo dar. All diese Dienste erlauben, das Passwort über die hinterlegte Mailadresse zurückzusetzen. Der dann in einer automatisch generierten Nachricht enthaltene individuelle Link gibt dem Nutzer die Möglichkeit, einen neuen Zugangscode zu setzen. Das verdeutlicht die zentrale Bedeutung des verwendeten Postfachs: Kennt nämlich ein Angreifer das Passwort für diesen Account, bekommt er über die Zurücksetzen-Funktion leicht Zugriff auf andere Dienste. Wählen Sie gerade hier einen besonders sicheren Schutz.

Daneben existieren weitere Fallback-Mechanismen wie das Erzeugen eines Sicherheitscodes per App oder das Zusenden per SMS. Das stellt einen vom PC und Internet unabhängigen Weg dar. Google und andere Unternehmen ermöglichen eine solche Zwei-Faktor-Anmeldung sogar als Standardmethode, sie lässt sich jeweils in den Kontoeinstellungen einrichten. Kaum wirksamen Schutz bieten dagegen Standardfragen, also solche nach dem Lieblingsessen, dem Namen der Mutter oder der Grundschule. Denn die Antworten – vorausgesetzt man beantwortet sie wahrheitsgemäß – lassen durch Social Engeneering oft leicht herausfinden.

Google bietet wie viele andere Internetdienste die Möglichkeit, Online-Konten zusätzlich per SMS-Code auf eine zuvor angegebene Telefonnummer abzusichern.
Vergrößern Google bietet wie viele andere Internetdienste die Möglichkeit, Online-Konten zusätzlich per SMS-Code auf eine zuvor angegebene Telefonnummer abzusichern.

Einerseits lassen sich vergessene Zugangscodes für Online-Dienste leicht zurücksetzen und damit „knacken“, auf der anderen Seite bemerken die Unternehmen anders als bei Offline-Attacken schnell systematische Angriffe, weil sie über ihre Infrastruktur laufen. Deutlich mehr Gefahr droht, wenn Diebe in die IT-Systeme solcher Firmen eindringen, dabei Kundendaten erbeuten und dann unbemerkt offline attackieren. Hier haben sie dann alle Werkzeuge und Zeit der Welt.

Hacker-Paragraf: Tools zum Knacken erlaubt?

Nach § 202c Strafgesetzbuch ist das Ausspähen oder Abfangen von Passwörtern mit dem Ziel, sich Zugang zu weiteren Daten zu verschaffen, verboten. Das gilt auch für entsprechende Software: Wer Computerprogramme herstellt, deren Zweck die Begehung einer solchen Tat ist, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, heißt es im geltenden Strafgesetzbuch („Hacker-Paragraf“).

Sind dann nicht alle aufgeführten Knack-Tools illegal? Nein, hat das Bundesverfassungsgericht geurteilt. „Dual Use Tools“, die sowohl für die Sicherheitsanalyse von Netzwerken als auch zur Begehung von Straftaten nach den im Strafgesetzbuch genannten Vorschriften verwendet werden können, stellen keine geeigneten Tatobjekte im Sinne des § 202c dar. Diese Art Software sei gerade nicht mit der Absicht entwickelt worden, sie zur Ausspähung oder zum Abfangen von Daten einzusetzen, urteilten die Karlsruher Richter. Nutzen dürfen Sie die Software aber wirklich nur, um Ihr eigenen Passwörter zu knacken – sonst machen Sie sich strafbar!

Zugänge knacken: So kommen Sie in Ihren Windows-PC und Mac

Im Fall eines vergessenen Passworts für das Windows-Konto: Erschrecken Sie bitte nicht, denn ein Knack-Tool ist nicht erforderlich. Vielmehr bekommen Sie in wenigen Minuten den vollen Zugriff auf Ihren PC, auch wenn Sie Ihr Zugangskennwort vergessen haben. Das funktioniert sogar im aktuellen Windows 10, die Anleitung dazu finden Sie als Tipp auf unserer Webseite . Auf die gleiche Art und Weise lässt sich das Passwort nicht nur zurück-, sondern sogar neu setzen. Wie, das erklärt unser Video . Bei Windows XP und Vista hat Microsoft die Passwörter noch anders gespeichert, da benötigen Sie tatsächlich ein Programm wie Ophcrack oder Offline NT Windows Password & Registry Editor .

Android-Geräte lassen sich über die Ferninstallation von Apps vergleichsweise einfach entsperren, wenn man den Zugangscode für seinen gesperrten Bildschirm (Lockscreen) vergessen hat.
Vergrößern Android-Geräte lassen sich über die Ferninstallation von Apps vergleichsweise einfach entsperren, wenn man den Zugangscode für seinen gesperrten Bildschirm (Lockscreen) vergessen hat.

Möchten Sie Änderungen an den Bios-Einstellungen ändern, lässt sich das System und damit ein Bios-Passwort durch Umsetzen des „Clear CMOS“-Jumpers auf der Platine zurücksetzen . Häufig helfen aber schon die Standardpasswörter der Board-und Hardware-Hersteller . Beim Mac stehen verschiedene Optionen zur Verfügung, falls man sich versehentlich ausgesperrt hat: Eine davon ist die Rettungs-oder Recovery-Partition .

Mobilgeräte: Unterschiede bei Android, iOS und Windows Phone

Haben Sie sich bei Ihrem Android-Gerät ausgesperrt, müssen Sie das Gerät keineswegs unter Verlust aller Daten zurücksetzen. Vielmehr können Sie, sofern Sie Zugang zu Ihrem Google-Account haben, Apps zum Entsperren des Sperrbildschirms vom PC aus – so wie es bei allen anderen Applikationen auch möglich ist. Kostenlos ist die App [Free] Screen UnLock/Lock , für die App Screen Lock Bypass Pro muss man 3,20 Euro bezahlen. Die Handhabung beider Apps ist äußerst einfach. Wenn Sie dennoch Hilfe benötigen, bei uns finden Sie sie online . Etwas aufwendiger ist es, das Sperrmuster des Mobilgerätes per Android Debug Bridge zu entfernen; dazu haben wir einen ausführlichen Ratgeber .

Über die Software Brutus kann man das vergessene eigene Passwort für die Konfigurationsoberfläche der Fritzbox herausfinden – auch wenn die Prozedur etwas umständlich ist.
Vergrößern Über die Software Brutus kann man das vergessene eigene Passwort für die Konfigurationsoberfläche der Fritzbox herausfinden – auch wenn die Prozedur etwas umständlich ist.
© AVM

Beim iPhone ohne Jailbreak existieren jenseits der offiziellen Wege keine Tricks, um den Lockscreen zu umgehen. Immerhin lässt sich über iTunes ein zuvor gespeichertes Backup wiederherstellen, so dass man das Gerät anders als beim „Wartungszustand“ nicht ganz von neuem Aufsetzen muss.

Smartphones mit Windows Phone lassen sich aus der Ferne löschen und zurücksetzen . Alternativ geht das über eine etwas mühsame Abfolge der Tasten am Gerät . In jedem Fall ist nicht nur der Lockscreen gelöscht, sondern auch alle Handyinhalte.

Zugang zur Fritzbox wiederherstellen – und weitere Tools

Ein weiteres verbreitetes Gerät, bei dem sich die meisten Anwender nicht alle Tage einloggen, ist die Fritzbox. Zunächst bietet der Hersteller AVM auf der Konfigurationsoberfläche unter „System -> Push Service“ die Möglichkeit, eine E-Mail-Adresse zu hinterlegen, an die man sich das vergessene Kennwort schicken lassen kann. Hat man dies im Vorfeld aber nicht eingerichtet, half bis vor kurzem die Software Brutus über einen Brute-Force-Angriff. Allerdings erfordert das Tool jenen Telnet-Zugang, den AVM in der neuesten Firmware deaktiviert hat. Wer seine Router-Firmware schon aktualisiert und zudem die Einstellungen gesichert hat, kann das Gerät aber „hart zurücksetzen“, dann die Firmware downgraden, die Einstellungsdatei einspielen, mit einem angeschlossenen Telefon über die Tastenfolge „# 96*7*“ den Telnet-Zugang freischalten und danach den Passwortangriff starten – etwas mühsam, es gibt aber gute Erklärungen im Netz .

Sichere Passwörter: Wie Sie sich „aTL>9§Rp34e;E“ leicht merken können

Sichere Passwörter zu managen ist nicht ganz einfach. Ein einziger sicherer Zugangscode für mehrere Konten verbietet sich, denn wenn Hacker das Kennwort für ein Konto haben, haben sie zugleich Zugang zu weiteren. Einfache Phrasen, Zitate und Ähnliches inklusive simpler Zahlen-Buchstaben-Änderungen stehen längst in sogenannten „Wörterbüchern“, also Kennwortlisten, die in Hacker-Tools implementiert sind und das Knacken erleichtern. Mehr Schutz bietet die Zwei-Faktor-Authentifizierung.

Passwort-Manager, also Programme zum verschlüsselten Speichern der Zugangscodes, sind zwar bequem, weil man sich nur noch ein Master-Passwort für dieses Tool merken muss. Aber sie haben den Nachteil, dass ein unbemerkter Trojaner oder Keylogger auf dem PC genügt, um völlig ungeschützt dazustehen. Kritisch ist auch das Auslagern in die Cloud, um von überall Zugriff darauf zu haben, weil man die Sicherheit aller Codes einem Dienst anvertraut.

Eine Möglichkeit, für jeden Dienst unterschiedliche Kennwörter zu verwenden, ist ein jeweils individuell abgewandelter Code. Wenn Sie ein 10stelliges und aus Zahlen, Klein-und Großbuchstaben sowie Sonderzeichen bestehendes Kennwort ohne jegliches Muster wie zum Beispiel „aT>9§Rp3;E“ kreieren, ist das zwar zunächst schwer zu merken, dafür aber sicher. Nun können Sie dieses „Grundkennwort“ für jeden Zweck nach einem bestimmten Muster abwandeln, indem Sie beispielsweise die letzten beiden Buchstaben des gewählten Dienstes (oder etwa der Domain, des Programm usw.) nach einem bestimmten Muster integrieren. Zusätzlich kann man eine Zahl anhängen, etwa die Zeichenzahl des Namens plus oder minus X. Klingt alles furchtbar kompliziert, ist es aber nicht. Bei Google würde aus dem genannten Passwort damit „aTL>9§Rp34e;E“: „l“ und „e“ als Endbuchstaben von Google haben Sie an die dritte und drittletzte Stelle gesetzt und davor noch eine 4 (für 6 Google-Buchstaben minus 2). Analog hieße das Passwort für Paypal „aTA>9§Rp34l;E“.

Enthält Ihr Grundkennwort Zahlen und Sonderzeichen, lassen sich aus den systematischen Ergänzungen umgekehrt keinerlei Rückschlüsse ziehen – alles erscheint rein zufällig. Sogar wenn ein Zugangscode gestohlen werden sollte, lässt sich daraus nichts rekonstruieren. Sie selbst aber haben aus dem Grundkennwort und dem Ergänzungsmuster jeden Zugang schnell parat. Gefährlich wird es erst, wenn Hacker mehrere Ihrer Passwörter erbeuten und daraus das Muster erkennen – Kontensparsamkeit hat durchaus Vorteile.

0 Kommentare zu diesem Artikel
85922