Die Vorbemerkung ist wichtig: In diesem Artikel geht es nicht um das Ausspähen oder Abfangen von Passwörtern, um damit an fremde Daten zu gelangen – ausdrücklich auch nicht als „erwünschter Nebeneffekt“! Vielmehr wollen wir für gängige Geräte, Software, verschlüsselte Datenformate und Online-Konten aufzeigen, wie Sie wieder an Ihre Daten kommen, falls Sie sich ausgesperrt haben.
Das ist gar nicht so unwahrscheinlich, denn schon nach einem zweiwöchigen Urlaub soll sich mancher PC-Nutzer nicht mehr an sein Windows-Passwort erinnern können. Ganz zu schweigen von einem vor Jahren verschlüsselten Zip-Archiv oder den diversen Internetzugängen, die sich im Laufe der Jahre so angesammelt haben. Und wer nicht stets das gleiche Passwort verwendet – wovon dringend abzuraten ist – oder seine Zugangscodes perfekt organisiert, braucht schon einmal Hilfe beim Erinnern oder Zurücksetzen.
Siehe auch: Die besten Tricks für ein sicheres Passwort
Passwörter: Die Stärke, das Knackrisiko und etwas Theorie
Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher – wir zeigen noch, warum.
Zum einen ist die verfügbare Leistung schon eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Nun lässt sich argumentieren, dass das Erhöhen der Passwortlänge die Zahl der Versuche und damit die Zeit für einen solchen Brute-Force-Angriff drastisch steigen lässt.
Das ist zwar richtig, allerdings nur in der Theorie. Denn die Hacker verwenden längst andere Methoden, und selbst Rainbow-Tabellen, die eine Vielzahl von Passwort-Hashwerten bereits gespeichert und damit die Zeit für einen Angriff erheblich verkürzt hatten, haben an Bedeutung verloren.
Listen mit Zugangscodes beschleunigen die Hacker-Angriffe
Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter.
Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen „wahrscheinlichsten“ Ausdrücken durchzuführen: Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. Zwar sind simple Phrasen wie „12345..“, „Password“ oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung. Beliebt ist beispielsweise das Ersetzen von Buchstaben nach dem „1337-Speak-Muster“: Aus dem „Taschenrechner“ wird dann „745ch3nr3chn3r“, und selbst die gerne benutzte Verlängerung mit dem Dienst-oder Domainnamen ergäbe bei Online-Händler Amazon zwar einen Ausdruck mit 21 Stellen. Ein solcher Zugangscode ist trotzdem wenig wert, denn solche „Regeln“ sind in den Wörterbüchern längst berücksichtigt.
Darüber hinaus existieren unsichere Systeme: So blockiert Android den Lockscreen für nur 30 Sekunden, wenn fünf Mal ein falscher Entsperrcode eingegeben wurde. Führt man die Eingaben automatisiert aus, ist eine 4-Ziffern-Kombination nach spätestens 17 Stunden überlistet. Der Tastaturroboter USB Rubber Ducky (35 Euro) arbeitet das automatisch ab. Erst die neue Android-Version 6.0 („Marshmallow“) erhöht den Schutz etwas; deutlich sicherer sind hier iOS und Windows Phone.
Ausgesperrt: So setzen Sie Kennwörter Ihrer Online-Konten zurück
Einige Hintergründe zu Passwörtern inklusive Angriffen haben wir nun vorgestellt, die verschiedenen Möglichkeiten zum Erstellen von Passwörtern erläutert der Kasten unten. Hier geht es nun ums Zurücksetzen von Kennwörtern. Einen häufigen und zugleich einfachen Fall stellen Online-Konten von A wie Amazon bis Z wie Zattoo dar. All diese Dienste erlauben, das Passwort über die hinterlegte Mailadresse zurückzusetzen. Der dann in einer automatisch generierten Nachricht enthaltene individuelle Link gibt dem Nutzer die Möglichkeit, einen neuen Zugangscode zu setzen. Das verdeutlicht die zentrale Bedeutung des verwendeten Postfachs: Kennt nämlich ein Angreifer das Passwort für diesen Account, bekommt er über die Zurücksetzen-Funktion leicht Zugriff auf andere Dienste. Wählen Sie gerade hier einen besonders sicheren Schutz.
Daneben existieren weitere Fallback-Mechanismen wie das Erzeugen eines Sicherheitscodes per App oder das Zusenden per SMS. Das stellt einen vom PC und Internet unabhängigen Weg dar. Google und andere Unternehmen ermöglichen eine solche Zwei-Faktor-Anmeldung sogar als Standardmethode, sie lässt sich jeweils in den Kontoeinstellungen einrichten. Kaum wirksamen Schutz bieten dagegen Standardfragen, also solche nach dem Lieblingsessen, dem Namen der Mutter oder der Grundschule. Denn die Antworten – vorausgesetzt man beantwortet sie wahrheitsgemäß – lassen durch Social Engineering oft leicht herausfinden.
Einerseits lassen sich vergessene Zugangscodes für Online-Dienste leicht zurücksetzen und damit „knacken“, auf der anderen Seite bemerken die Unternehmen anders als bei Offline-Attacken schnell systematische Angriffe, weil sie über ihre Infrastruktur laufen. Deutlich mehr Gefahr droht, wenn Diebe in die IT-Systeme solcher Firmen eindringen, dabei Kundendaten erbeuten und dann unbemerkt offline attackieren. Hier haben sie dann alle Werkzeuge und Zeit der Welt.
Web-Authentifizierung: Warum das Passwort so schnell nicht aussterben wird
Hacker-Paragraf: Tools zum Knacken erlaubt?
Nach § 202c Strafgesetzbuch ist das Ausspähen oder Abfangen von Passwörtern mit dem Ziel, sich Zugang zu weiteren Daten zu verschaffen, verboten. Das gilt auch für entsprechende Software: Wer Computerprogramme herstellt, deren Zweck die Begehung einer solchen Tat ist, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, heißt es im geltenden Strafgesetzbuch („Hacker-Paragraf“).
Sind dann nicht alle aufgeführten Knack-Tools illegal? Nein, hat das Bundesverfassungsgericht geurteilt. „Dual Use Tools“, die sowohl für die Sicherheitsanalyse von Netzwerken als auch zur Begehung von Straftaten nach den im Strafgesetzbuch genannten Vorschriften verwendet werden können, stellen keine geeigneten Tatobjekte im Sinne des § 202c dar. Diese Art Software sei gerade nicht mit der Absicht entwickelt worden, sie zur Ausspähung oder zum Abfangen von Daten einzusetzen, urteilten die Karlsruher Richter. Nutzen dürfen Sie die Software aber wirklich nur, um Ihr eigenen Passwörter zu knacken – sonst machen Sie sich strafbar!
Passwortknacker Microsoft Office
Word, Excel und Powerpoint bieten an, ein Dokument zu verschlüsseln und mit einem Passwort zu versehen, ohne das es sich nicht öffnen lässt. Hierzu klicken Sie in den aktuellen Versionen auf „Datei“ und finden danach in dem Abschnitt „Informationen“ den Befehl „Dokument schützen“ (Word), „Arbeitsmappe schützen“ (Excel) oder „Präsentation schützen“ (Powerpoint). Wählen Sie bitte jeweils die Option „Mit Kennwort verschlüsseln“, um das File zu sichern.
Diesen Kennwortschutz gibt es in Office bereits sehr lange. Bis hin zur Version 2003 verwendete er einen 40 Bit langen Schlüssel, der sich verhältnismäßig schnell knacken ließ. Ab Version 2007 baute Microsoft das Verschlüsselungsverfahren AES-128 mit der Hash-Funktion SHA-1 ein. Seit Office 2013 verwenden die Programme AES-128 mit SHA-2, eine Verschlüsselung, die nur mit beträchtlichem Aufwand zu knacken ist. Aus diesem Grund funktionieren die verfügbaren Passwortknacker größtenteils nur mit den älteren Versionen der Office-Dateien.
Achtung: Kostenfallen
Das Tool Free Word and Excel Password Recovery Wizard soll die Kennwörter von Word- und Excel-Dateien der Versionen Office 95 bis Office 2003 knacken können. Der Word Password Recovery Master hingegen verspricht eine Unterstützung für Word-Versionen bis hin zu 2013.
Als wir ihn im Test aber mit einer aktuellen Word-Datei fütterten, verweigerte das Tool die Annahme mit der Begründung, dass die Hardwareanforderungen zum Knacken von Passwörtern sehr hoch seien, und verwies auf die Website https://rixler.password-find.com . Der dortigen Dechiffrierfunktion gelang es tatsächlich, unser einfaches Sechs- Buchstaben-Passwort in wenigen Sekunden aus dem hochgeladenen Dokument zu entfernen – angeblich mithilfe eines Supercomputers. Das anschließend zum Downloaden verfügbare Word-File ließ sich dann zwar öffnen, zeigte jedoch lediglich die ersten Zeilen des Dokuments. Für die Anzeige des vollständigen Texts und die Entschlüsselung von neun weiteren Word-Dateien verlangt der Anbieter den Kauf einer Lizenz für 20 US-Dollar. Möchte man das Kennwort nicht nur löschen, sondern angezeigt bekommen, so kann das bis zu 24 Stunden dauern und kostet 40 US-Dollar.
Der Hersteller von Smartkey Office Password Recovery verlangt gleichfalls Geld für sein Produkt, ist dabei allerdings wesentlich transparenter. Für 25 US-Dollar erhält man die Standardausgabe des Programms, die alle Word-, Excel-, Access- und Powerpoint-Dateien wie auch die PST-Archive von Outlook aus Office 97 bis 2016 entschlüsselt. Legt man noch 10 US-Dollar drauf, gibt es die Professional-Version, die auch die GPU in ihre Rechenoperationen einbezieht und mehr als vier CPUs unterstützt. Von beiden Ausgaben ist eine kostenfreie Testversion erhältlich, die aber lediglich Passwörter mit nur einem Zeichen entschlüsselt. Nahezu baugleich ist Passfab for Office , das mit seiner Testversion maximal vierstellige Passwörter entschlüsselt. Wer mehr will, bezahlt 40 US-Dollar für eine Monatslizenz oder 50 US-Dollar für ein ganzes Jahr.
Knacken von Office-Dokumenten
Am besten gefiel uns im Test Elcomsoft Advanced Office Password Recovery . Das Tool beherrscht sämtliche Office-Dateiformate und knackt außerdem die Verschlüsselung von Microsoft-Project-, Money-, Visio- oder Onenote-Dateien. Die Testversion meldete nach wenigen Minuten zuverlässig einen Erfolg, verbarg das ermittelte Kennwort jedoch hinter Platzhaltern. Um das Programm tatsächlich einsetzen zu können, muss man zumindest die Lizenz für die Home-Version kaufen. Diese kostet 49 US-Dollar und bietet keine GPU-Unterstützung, die Zahl der CPUs ist auf eine beschränkt. Letzteres fällt erst beim Erwerb der Standardversion für 59 US-Dollar weg.
Elcomsoft für PDF-Passwörter
Auch PDF-Dateien lassen sich mit einem Passwort schützen. Dies funktioniert zwar nicht mit dem Acrobat Reader – das ist ein reines Anzeigeprogramm –, aber beispielsweise mit Word. Klicken Sie dazu dort auf „Datei –› Exportieren –› PDF/XPS-Dokument erstellen“ und danach auf „Optionen“. Im nachfolgenden Fenster finden Sie die Funktion „Dokument mit einem Kennwort verschlüsseln“.
Für unseren kleinen Test ließen wir mehrere Tools auf ein PDF los, das wir über Word mit einem einfachen Passwort aus sechs Zeichen versehen hatten. Keines davon funktionierte wie gewollt. Die meisten Tools reagierten nicht oder informierten uns darüber, dass es sich um eine sehr starke Verschlüsselung handle, die zu knacken mehrere Jahre (!) in Anspruch nehmen würde. Das einzige Tool, das funktionierte, kam von Elcomsoft und heißt Advanced PDF Password Recovery . Der Wörterbuch-Angriff fand unser Passwort in weniger als einer Sekunde, wir hatten allerdings auch einen englischen Begriff gewählt. Die Testversion entschlüsselt nur die ersten zehn Prozent der Seiten des PDFs, Brute-Force-Angriffe funktionieren nur für Passwörter mit vier Buchstaben.
123456: Die 25 schlechtesten Passwörter des Jahres 2018
ZIP-, RAR- und ACE-Archive
Für verschlüsselte ZIP-Archive empfiehlt sich das kostenlose Free ZIP Password Recovery von der Firma Krylack. Dieses Tool arbeitet mit einem Brute-Force-Angriff, der irgendwann zum Erfolg führt. Weil es keine GPU-Beschleunigung unterstützt, kann der Entschlüsselungsvorgang je nach der Passwortlänge jedoch eine Weile dauern. In der kostenpflichtigen Version unterstützt es außerdem Wörterbuch-Angriffe und Mask Attacks, bei denen man bereits bekannte Teile des Passworts eingeben kann. Vom selben Hersteller kommt auch das Tool Krylack RAR Password Recovery . Trotz seines Namens nimmt das Tool neben RAR- auch ZIP- und ACE-Archive an, arbeitete aber verhältnismäßig langsam. Die Testversion kann Passwörter mit nur drei Zeichen entschlüsseln.
Zugänge knacken: So kommen Sie in Ihren Windows-PC und Mac
Im Fall eines vergessenen Passworts für das Windows-Konto: Erschrecken Sie bitte nicht, denn ein Knack-Tool ist nicht erforderlich. Vielmehr bekommen Sie in wenigen Minuten den vollen Zugriff auf Ihren PC, auch wenn Sie Ihr Zugangskennwort vergessen haben. Das funktioniert sogar im aktuellen Windows 10, die Anleitung dazu finden Sie als Tipp auf unserer Webseite . Bei Windows XP und Vista hat Microsoft die Passwörter noch anders gespeichert, da benötigen Sie tatsächlich ein Programm wie Ophcrack oder Offline NT Windows Password & Registry Editor .
Möchten Sie Änderungen an den Bios-Einstellungen ändern, lässt sich das System und damit ein Bios-Passwort durch Umsetzen des „Clear CMOS“-Jumpers auf der Platine zurücksetzen . Häufig helfen aber schon die Standardpasswörter der Board-und Hardware-Hersteller . Beim Mac stehen verschiedene Optionen zur Verfügung, falls man sich versehentlich ausgesperrt hat: Eine davon ist die Rettungs-oder Recovery-Partition .
Mobilgeräte: Unterschiede bei Android, iOS und Windows Phone
Haben Sie sich bei Ihrem Android-Gerät ausgesperrt, müssen Sie das Gerät keineswegs unter Verlust aller Daten zurücksetzen. Sie können das Sperrmuster des Mobilgerätes per Android Debug Bridge entfernen; dazu haben wir einen ausführlichen Ratgeber .
©AVM
Beim iPhone ohne Jailbreak existieren jenseits der offiziellen Wege keine Tricks, um den Lockscreen zu umgehen. Immerhin lässt sich über iTunes ein zuvor gespeichertes Backup wiederherstellen, so dass man das Gerät anders als beim „Wartungszustand“ nicht ganz von neuem Aufsetzen muss.
Smartphones mit Windows Phone lassen sich aus der Ferne löschen und zurücksetzen . Alternativ geht das über eine etwas mühsame Abfolge der Tasten am Gerät . In jedem Fall ist nicht nur der Lockscreen gelöscht, sondern auch alle Handyinhalte.
Zugang zur Fritzbox wiederherstellen – und weitere Tools
Ein weiteres verbreitetes Gerät, bei dem sich die meisten Anwender nicht alle Tage einloggen, ist die Fritzbox. Zunächst bietet der Hersteller AVM auf der Konfigurationsoberfläche unter „System -> Push Service“ die Möglichkeit, eine E-Mail-Adresse zu hinterlegen, an die man sich das vergessene Kennwort schicken lassen kann. Hat man dies im Vorfeld aber nicht eingerichtet, half bis vor kurzem die Software Brutus über einen Brute-Force-Angriff. Allerdings erfordert das Tool jenen Telnet-Zugang, den AVM in der neuesten Firmware deaktiviert hat. Wer seine Router-Firmware schon aktualisiert und zudem die Einstellungen gesichert hat, kann das Gerät aber „hart zurücksetzen“, dann die Firmware downgraden, die Einstellungsdatei einspielen, mit einem angeschlossenen Telefon über die Tastenfolge „# 96*7*“ den Telnet-Zugang freischalten und danach den Passwortangriff starten – etwas mühsam, es gibt aber gute Erklärungen im Netz .
Sichere Passwörter: Wie Sie sich „aTL>9§Rp34e;E“ leicht merken können
Sichere Passwörter zu managen ist nicht ganz einfach. Ein einziger sicherer Zugangscode für mehrere Konten verbietet sich, denn wenn Hacker das Kennwort für ein Konto haben, haben sie zugleich Zugang zu weiteren. Einfache Phrasen, Zitate und Ähnliches inklusive simpler Zahlen-Buchstaben-Änderungen stehen längst in sogenannten „Wörterbüchern“, also Kennwortlisten, die in Hacker-Tools implementiert sind und das Knacken erleichtern. Mehr Schutz bietet die Zwei-Faktor-Authentifizierung.
Passwort-Manager, also Programme zum verschlüsselten Speichern der Zugangscodes, sind zwar bequem, weil man sich nur noch ein Master-Passwort für dieses Tool merken muss. Aber sie haben den Nachteil, dass ein unbemerkter Trojaner oder Keylogger auf dem PC genügt, um völlig ungeschützt dazustehen. Kritisch ist auch das Auslagern in die Cloud, um von überall Zugriff darauf zu haben, weil man die Sicherheit aller Codes einem Dienst anvertraut.
Eine Möglichkeit, für jeden Dienst unterschiedliche Kennwörter zu verwenden, ist ein jeweils individuell abgewandelter Code. Wenn Sie ein 10stelliges und aus Zahlen, Klein-und Großbuchstaben sowie Sonderzeichen bestehendes Kennwort ohne jegliches Muster wie zum Beispiel „aT>9§Rp3;E“ kreieren, ist das zwar zunächst schwer zu merken, dafür aber sicher. Nun können Sie dieses „Grundkennwort“ für jeden Zweck nach einem bestimmten Muster abwandeln, indem Sie beispielsweise die letzten beiden Buchstaben des gewählten Dienstes (oder etwa der Domain, des Programm usw.) nach einem bestimmten Muster integrieren. Zusätzlich kann man eine Zahl anhängen, etwa die Zeichenzahl des Namens plus oder minus X. Klingt alles furchtbar kompliziert, ist es aber nicht. Bei Google würde aus dem genannten Passwort damit „aTL>9§Rp34e;E“: „l“ und „e“ als Endbuchstaben von Google haben Sie an die dritte und drittletzte Stelle gesetzt und davor noch eine 4 (für 6 Google-Buchstaben minus 2). Analog hieße das Passwort für Paypal „aTA>9§Rp34l;E“.
Enthält Ihr Grundkennwort Zahlen und Sonderzeichen, lassen sich aus den systematischen Ergänzungen umgekehrt keinerlei Rückschlüsse ziehen – alles erscheint rein zufällig. Sogar wenn ein Zugangscode gestohlen werden sollte, lässt sich daraus nichts rekonstruieren. Sie selbst aber haben aus dem Grundkennwort und dem Ergänzungsmuster jeden Zugang schnell parat. Gefährlich wird es erst, wenn Hacker mehrere Ihrer Passwörter erbeuten und daraus das Muster erkennen – Kontensparsamkeit hat durchaus Vorteile.