Passwörter knacken ?

Jeder benutzt sie, die wenigsten kennen sich damit aus- Passwörter! Sie sollen nicht zu kurz sein, Grossbuchstaben, Kleinbuchstaben, Zahlen, und Satzzeichen enthalten, soweit so klar. Aber nehmen wir mal beispielsweise an, mein Passwort hier im Macwelt- Forum würde lauten: AbC123!? . Wenn ich das in das entsprechende Feld eingebe, sehe ich nur Punkte. Aber der Server von Macwelt hat logischerweise keine Punkte, sondern AbC123!? gespeichert, damit er bei der Anmeldung erkennt, dass ich es wirklich bin. Dann müsste ein Mitarbeiter von Macwelt doch eigentlich mein Passwort im Klartext lesen können oder? Das war die erste Frage die mir nicht klar ist, und über die ich mir bisher komischerweise nie Gedanken gemacht habe. Frage Nummer Zwei: Angenommen der Mitarbeiter von Macwelt kann mein Passwort nicht im Klartext lesen. Gibt es keine Software, die mein achtstelliges Passwort nacheinander von der ersten Stelle bis zur letzten Stelle einfach durchprobiert und bei einem Treffer leuchtet jedesmal sozusagen ein grünes Lämpchen auf neben dem "Bingo" steht? Das wär doch kein grosser Aufwand, es müssten doch nur achtmal Grossbuchstaben, Kleinbuchstaben, Zahlen, und Satzzeichen durchprobiert werden. Hat hier jemand in der Beziehung mehr Durchblick als ich? Für Antworten die meinen Horizont erweitern, bedanke ich mich hiermit schon mal im Voraus!

 

Nnabend!

Die erste Frage tät ich mal vorsichtig mit „ja“ beantworten wollen. Wenn bei der Passworteingabe und -übermittlung keine besonderen Verschlüsselungstechniken angwendet werden, dann kann es auf Seite des Providers (hier Macwelt) gelesen werden. Für Windows-Rechner gab es auch immer schon Programme, die auf der Browser-Seite diese Sternchen wieder sichtbar machen konnten. Keine Ahnung, ob es sowas für den Mac auch gibt. Also Vorsicht in Hotels, Internet-Cafes und an anderen öffentlich zugänglichen Rechnern.

Zur zweiten Frage: Wenn Du ein achtstelliges Passwort hättest, bei dem für jede Stelle nur 50 Zeichen in Frage kämen (alleine Klein- und Großbuchstaben sind schon 52), dann könntest Du damit Fünfzig hoch Acht veschiedene Kombinationen erzeugen. Würde es Dein Rechner schaffen, pro Sekunde davon 1000 zu erzeugen (einfach) und auch zu übermitteln (schwierig), dann bräuchte er etwa 1200 Jahre, bis er alle durchprobiert hätte. Um sowas zu verhindern, nehmen die meisten Login- Seiten pro Client nur eine bestimmte Zahl von Zugangsversuchen an und sperren sich dann komplett gegen Zugriffe oder verzögern die Antwortzeit künstlich, damit in endlicher Zeit nur eine endliche Zahl von Kombinationen ausprobiert werden kann. Manche (Online-Banking vor allem) sperren auch die IP-Adresse des Clients oder seinen Login-Namen komplett, wenn mehr als drei Versuche unternommen werden, ein Passwort einzugeben.

Das mit dem Passwortknacken funktioniert nur in Fernsehserien und Filmen so einfach... im wahren Leben muss man da andere Wege gehen (z.B. die Tastatur hochheben und schauen, ob Zettelchen mit Passworten drunter liegen oder einfach in der obersten Schribtisch-Schublade nachschauen. )

 

Die Passwörter für einen Web-Account werden meines Wissens nicht auf dem Web-Server sondern auf einem Cookie auf dem eigenen Rechner gespeichert. Der Web-Server frägt also das Cookie auf dem Rechner ab. Wenn du in den Sicherheitseinstellungen die Erstellung von Cookies deaktivierst kommst du auch nicht mehr auf die Web-Seite. Daher können die MW-Mitarbeiter auch ein Passwort nicht in Klartext sehen.

MACaerer

 

Wenn das so wäre, könnte ich mich aber nur von meinem eigenen Rechner aus anmelden.

 

Das Hacken wie es in den Filmen immer gezeigt wird, kann so an sich schon Realität sein...wenn das FBI, die CIA oder der Mossad (bzw. alle 3 zusammen) irgendwo rein wollen - und die kommen dann auch rein...siehe Stuxnet.

Viel verbreiteter ist eher das "Social Hacking", d. h. ganz vereinfacht gesagt, die Passwörter erfragen. Wer sich näher dafür interessiert, dem sei als Google Suchbegriff "Kevin Mitnick" ans Herz gelegt.

Die Passwort-Knack-Methode, die Du ansprichst ging früher bei den alten Fahrradschlössern mit den 4 Zahlenrädchen, da konnte man (etwas Übung vorausgesetzt) erkennen wann eine Zahl stimmte. Bei Passwörtern geht das aber nicht weil es hier nur richtig oder falsch gibt...also Passwort ist komplett richtig (alle Stellen) oder falsch.

Deine Frage ist auch so pauschal nicht zu beantworten, da es einige unterschiedliche Authentifizierungsmethoden gibt.

Unter Windows ist z. B. "Kerberos" die übliche Methode. Bei Kerberos läuft die Authentifizierung ausschließlich über sog. Tickets, dabei geht nie ein Passwort im Klartext über das Netzwerk.

Es gibt aber auch ein Verfahren, das beim Generieren des Passworts einen sog. Hash-Wert erzeugt (stell Dir das vereinfacht als eine Art Quersumme vor). Dieser Hash (und auch nur dieser) wird auf dem Server abgelegt und gespeichert. Wenn ein Benutzer sein Passwort eingibt, wird von diesem wieder der Hash berechnet und mit dem auf dem Server verglichen...so soll erreicht werden, dass der Server keine Passwörter speichern muss.

PGP ist auch noch recht lustig. Wenn ich Dir ne PGP verschlüsselte Mail schicke, verschlüssel ich diese mit meinem privaten und Deinem öffentlichen Key...Du brauchst zum Entschlüsseln Deinen privaten und meinen öffentlichen Schlüssel.

Für alles weitere empfehle ich Dir Google..!
John L.

 

Alles schön und gut. Auf diesem Macwelt Forum hier ist die Passwort-Abfrage aber als einfaches HTML-Formular mit Übertragung von Benutzernamen und Passwort im Klartext ausgeführt:

Code:

<!-- login form -->
		<!-- form action="/idgSsoAuth/signinBoard" method="post" onsubmit="md5hash(password, vb_login_md5password, vb_login_md5password_utf, 0)" -->
		<form action="/idgSsoAuth/signinBoard" method="post">
		<!-- script type="text/javascript" src="clientscript/vbulletin_md5.js?v=372"></script -->
		<table cellpadding="0" cellspacing="3" border="0">
		<tr>
			<td class="smallfont" style="white-space: nowrap;"><label for="navbar_username">Benutzername</label></td>

			<td><input type="text" class="bginput" style="font-size: 11px" name="username" id="navbar_username" size="10" accesskey="u" tabindex="101" value="Benutzername" onfocus="if (this.value == 'Benutzername') this.value = '';" /></td>
			<td class="smallfont" nowrap="nowrap"><!-- label for="cb_cookieuser_navbar"><input type="checkbox" name="cookieuser" value="1" tabindex="103" id="cb_cookieuser_navbar" accesskey="c" /><acronym style="border-bottom: 1px dotted #000000; cursor: help;" title="Sie bleiben angemeldet, bis Sie sich selbst abmelden.">Angemeldet bleiben?</acronym></label --></td>
		</tr>
		<tr>
			<td class="smallfont"><label for="navbar_password">Kennwort</label></td>
			<td><input type="password" class="bginput" style="font-size: 11px" name="password" id="navbar_password" size="10" tabindex="102" /></td>
			<td><input type="submit" class="button" value="Anmelden" tabindex="104" title="Geben Sie zur Anmeldung Ihren Benutzernamen und Ihr Kennwort in die dafür vorgesehenen Textfelder ein oder klicken Sie auf die 'Registrieren'-Schaltfläche, um ein neues Benutzerkonto anzulegen." accesskey="s" /></td>
		</tr>

		</table>
		<input type="hidden" name="s" value="" />
		<input type="hidden" name="securitytoken" value="guest" />
		<input type="hidden" name="do" value="login" />
		<input type="hidden" name="vb_login_md5password" />
		<input type="hidden" name="vb_login_md5password_utf" />
		</form>
		<!-- / login form -->

 

Bin jetzt nicht wirklich der HTML Spezialist, aber das hier könnte evtl. auf ne Authentifizierung auf (MD5-)Hash Basis hinweisen...

Wie gesagt....nur ne Vermutung...

John L.

 

Vielleicht serverseitig. Browserseitig weist das „name“-Attribut dem eingegebenen Wert nur einen Namen zu, damit er von Skrpiten und dergleichen einfacher verarbeitet werden kann (http://www.w3.org/TR/html401/interact/forms.html#adef-name-FORM).

 

OK...glaub ich Dir...hab ich wieder was gelernt..! HTML ist nicht so wirklich meine Baustelle..! ;-))

John L.

 

Nach dieser Seite:
http://www.hammerofgod.com/passwordcheck.aspx

braucht es ca. 85 Tage um das „AbC123!?“ zu knacken...

Willi

 

wie lange bräuchte man wohl, um Passworte dieser Art zu knacken?

wdc?wd10eAlS!~JäH≠1960~!0Oz8a0&wd!¿!wcatr4824326

 

Das ist relativ einfach zu knacken, denn man kann sich so ein Passwort weder merken, noch auf einen Zettel schreiben. Es wird also in irgendeiner Textdatei auf dem Rechner liegen. Und wenn man mehrere Rechner benutzt, dann ist diese Textdatei auch auf dem USB-Stick, mit dem man Dateien zwischen seinen Rechnern hin- und herträgt. Oder man schickt sie sich selber per Mail bzw. legt sie auf einen Online-Speicher à la MobileMe. Und jeder, der sich zu einem dieser Recher oder Medien Zugang verschaffen kann, kommt auch an das Passwort.

 

Maximilian, du bringst es auf den Punkt. Was hilft das komplizierteste Passwort, wenn man es sich nicht merken kann und daher irgendwo aufschreiben muss. Am besten auf dem berühmten Klebeetikett unten auf der Tastatur.
Ich gehe z. B. folgendermaßen vor: Ich nehme einen nur mir bekannten Satz aus meinem Umfeld. Von dem nehme ich nur die Anfangsbuchstaben und ersetze an mehreren Stellen die Buchstaben durch Ziffern oder Sonderzeichen. Z. B. ein "l" durch eine "1" oder ein "s" durch ein "$". Da ich mir das ohne Hilfsmittel merken kann ist es IMHO sicherer als ein komplizierteres und daher irgendwo notiertes Passwort.

MACaerer

 

Ich machs ähnlich...ich hab bei meinen wichtigen Passwörtern einen 6-stelligen "Stamm", der überall gleich ist und Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen enthält. VOn diesem Stamm ausgehend füge ich dann pro "System" noch 4 Stellen, die halbwegs zum System passen, hinzu...zB. bei meinem Linux Server fürs root Passwort "Ro0t"...

John L.