Hashwerte auslesen
So einfach lassen sich Passwörter knacken
von
Jens
Stark - 05.04.2017
Foto:
Passwörter werden in den meisten Systemen nicht in Klartextform abgelegt, sondern als sogenannter Hashwert. Trotzdem ist das Knacken derart geschützter Passwörter nicht allzu schwer.
Trotz der zunehmenden Verwendung von biometrischen Zugangssicherungen haben Passwörter nach wie vor eine große Bedeutung. Es gibt kaum einen Dienst im Internet oder im Büro, der nicht nach einem digitalen Kennwort verlangt. Um es Hackern nicht allzu einfach zu machen, werden die Passwörter nicht im Klartext gespeichert, sondern als Hashwert. "Passwort1" wird dann etwa als "g759f0fee8b9d447af25fa4d428928bb" abgelegt.
Unknackbar, könnte man meinen. Dass es dennoch möglich ist, solche gehashte Passwörter in die Klartextform zu überführen, hat Immanuel Willi vom Schweizer Penetration-Testing-Spezialisten Oneconsult an der Afterwork-Veranstaltung der Security Interest Group Switzerland (Sigs) in Basel gezeigt.
Eines wurde bei der Demonstation des Experten klar: Mit den richtigen Tools, mit etwas Know-how und je nachdem mit mehr oder weniger Rechenpower ist das Knacken der Passworthashes nicht allzu schwer.
Auf die Hashfunktion kommt es an
Wie schnell die Passwörter herausgefunden werden können, hängt laut Penetration-Testing-Spezialisten Immanuel Willi von mehreren Faktoren ab.
Auch wie wichtig die Länge von Passwörtern ist, konnte Willi anhand von Rechenbeispielen sehr schön zeigen. Ein 7-stelliges mit MD5 codiertes Passwort lässt sich in gut zwei Stunden herausfinden, bei einem 8-stelligen dauert der Vorgang schon 7 Tage und bei einem 9-stelligen muss gar 2 Jahre lang gerechnet werden.
Ebenfalls ein Faktor stellt laut Willi die verwendete Hardware dar, eine gewöhnliche CPU verarbeitet – wieder unter Verwendung von MD5 als Hashfunktion – 99 Millionen Hashes pro Sekunde. Weit schneller arbeitet hingegen ein Grafikprozessor. Dann lassen sich nämlich 12 Milliarden Hashes pro Sekunde verarbeiten.
