So knacken Sie Ihr vergessenes Passwort

Fritzbox- oder Windows-Passwort, Online-Account- oder Android – egal, welches Passwort Sie vergessen oder verloren haben, so knacken Sie verlorenen Passwörter.

Die Vorbemerkung ist wichtig: In diesem Artikel geht es nicht um das Ausspähen oder Abfangen von Passwörtern, um damit an fremde Daten zu gelangen – ausdrücklich auch nicht als „erwünschter Nebeneffekt“! Vielmehr wollen wir für gängige Geräte, Software, verschlüsselte Datenformate und Online-Konten aufzeigen, wie Sie wieder an Ihre Daten kommen, falls Sie sich ausgesperrt haben.

Das ist gar nicht so unwahrscheinlich, denn schon nach einem zweiwöchigen Urlaub soll sich mancher PC-Nutzer nicht mehr an sein Windows-Passwort erinnern können. Ganz zu schweigen von einem vor Jahren verschlüsselten Zip-Archiv oder den diversen Internetzugängen, die sich im Laufe der Jahre so angesammelt haben. Und wer nicht stets das gleiche Passwort verwendet – wovon dringend abzuraten ist – oder seine Zugangscodes perfekt organisiert, braucht schon einmal Hilfe beim Erinnern oder Zurücksetzen.

Passwörter: Die Stärke, das Knackrisiko und etwas Theorie

Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher – wir zeigen noch, warum.

Zum einen ist die verfügbare Leistung schon eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Nun lässt sich argumentieren, dass das Erhöhen der Passwortlänge die Zahl der Versuche und damit die Zeit für einen solchen Brute-Force-Angriff drastisch steigen lässt.

Bei www.experte.de/passwort-check wird zusätzlich überprüft, ob Ihr Passwort in der Vergangenheit durch ein Datenleck oder einen Hacker-Angriff an die Öffentlichkeit gelangt ist.

Das ist zwar richtig, allerdings nur in der Theorie. Denn die Hacker verwenden längst andere Methoden, und selbst Rainbow-Tabellen, die eine Vielzahl von Passwort-Hashwerten bereits gespeichert und damit die Zeit für einen Angriff erheblich verkürzt hatten, haben an Bedeutung verloren.

vergessenes Passwort

In den vergangenen Jahren wurden von zahlreichen Großunternehmen Kundendaten inklusive der Passwörter gestohlen. All die dabei verwendeten Muster sind längst in „Wörterbüchern“ zum Ausspähen gespeichert.

Listen mit Zugangscodes beschleunigen die Hacker-Angriffe

Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter.

Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen „wahrscheinlichsten“ Ausdrücken durchzuführen: Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. Zwar sind simple Phrasen wie „12345..“, „Password“ oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung. Beliebt ist beispielsweise das Ersetzen von Buchstaben nach dem „1337-Speak-Muster“: Aus dem „Taschenrechner“ wird dann „745ch3nr3chn3r“, und selbst die gerne benutzte Verlängerung mit dem Dienst-oder Domainnamen ergäbe bei Online-Händler Amazon zwar einen Ausdruck mit 21 Stellen. Ein solcher Zugangscode ist trotzdem wenig wert, denn solche „Regeln“ sind in den Wörterbüchern längst berücksichtigt.

Darüber hinaus existieren unsichere Systeme: So blockiert Android den Lockscreen für nur 30 Sekunden, wenn fünf Mal ein falscher Entsperrcode eingegeben wurde. Führt man die Eingaben automatisiert aus, ist eine 4-Ziffern-Kombination nach spätestens 17 Stunden überlistet. Der Tastaturroboter USB Rubber Ducky (35 Euro) arbeitet das automatisch ab. Erst die neue Android-Version 6.0 („Marshmallow“) erhöht den Schutz etwas; deutlich sicherer sind hier iOS und Windows Phone.

vergessenes Passwort

Der USB Rubber Ducky agiert als programmierbare Tastatur und kann nicht nur PCs, sondern auch Smartphones und Tablet-PCs systematisch angreifen.

Ausgesperrt: So setzen Sie Kennwörter Ihrer Online-Konten zurück

Einige Hintergründe zu Passwörtern inklusive Angriffen haben wir nun vorgestellt, die verschiedenen Möglichkeiten zum Erstellen von Passwörtern erläutert der Kasten unten. Hier geht es nun ums Zurücksetzen von Kennwörtern. Einen häufigen und zugleich einfachen Fall stellen Online-Konten von A wie Amazon bis Z wie Zattoo dar. All diese Dienste erlauben, das Passwort über die hinterlegte Mailadresse zurückzusetzen. Der dann in einer automatisch generierten Nachricht enthaltene individuelle Link gibt dem Nutzer die Möglichkeit, einen neuen Zugangscode zu setzen. Das verdeutlicht die zentrale Bedeutung des verwendeten Postfachs: Kennt nämlich ein Angreifer das Passwort für diesen Account, bekommt er über die Zurücksetzen-Funktion leicht Zugriff auf andere Dienste. Wählen Sie gerade hier einen besonders sicheren Schutz.

Daneben existieren weitere Fallback-Mechanismen wie das Erzeugen eines Sicherheitscodes per App oder das Zusenden per SMS. Das stellt einen vom PC und Internet unabhängigen Weg dar. Google und andere Unternehmen ermöglichen eine solche Zwei-Faktor-Anmeldung sogar als Standardmethode, sie lässt sich jeweils in den Kontoeinstellungen einrichten. Kaum wirksamen Schutz bieten dagegen Standardfragen, also solche nach dem Lieblingsessen, dem Namen der Mutter oder der Grundschule. Denn die Antworten – vorausgesetzt man beantwortet sie wahrheitsgemäß – lassen durch Social Engeneering oft leicht herausfinden.

vergessenes Passwort

Google bietet wie viele andere Internetdienste die Möglichkeit, Online-Konten zusätzlich per SMS-Code auf eine zuvor angegebene Telefonnummer abzusichern.

Einerseits lassen sich vergessene Zugangscodes für Online-Dienste leicht zurücksetzen und damit „knacken“, auf der anderen Seite bemerken die Unternehmen anders als bei Offline-Attacken schnell systematische Angriffe, weil sie über ihre Infrastruktur laufen. Deutlich mehr Gefahr droht, wenn Diebe in die IT-Systeme solcher Firmen eindringen, dabei Kundendaten erbeuten und dann unbemerkt offline attackieren. Hier haben sie dann alle Werkzeuge und Zeit der Welt.

Hacker-Paragraf: Tools zum Knacken erlaubt?

Nach § 202c Strafgesetzbuch ist das Ausspähen oder Abfangen von Passwörtern mit dem Ziel, sich Zugang zu weiteren Daten zu verschaffen, verboten. Das gilt auch für entsprechende Software: Wer Computerprogramme herstellt, deren Zweck die Begehung einer solchen Tat ist, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, heißt es im geltenden Strafgesetzbuch („Hacker-Paragraf“).

Sind dann nicht alle aufgeführten Knack-Tools illegal? Nein, hat das Bundesverfassungsgericht geurteilt. „Dual Use Tools“, die sowohl für die Sicherheitsanalyse von Netzwerken als auch zur Begehung von Straftaten nach den im Strafgesetzbuch genannten Vorschriften verwendet werden können, stellen keine geeigneten Tatobjekte im Sinne des § 202c dar. Diese Art Software sei gerade nicht mit der Absicht entwickelt worden, sie zur Ausspähung oder zum Abfangen von Daten einzusetzen, urteilten die Karlsruher Richter. Nutzen dürfen Sie die Software aber wirklich nur, um Ihr eigenen Passwörter zu knacken – sonst machen Sie sich strafbar!

Zugänge knacken: So kommen Sie in Ihren Windows-PC und Mac

Im Fall eines vergessenen Passworts für das Windows-Konto: Erschrecken Sie bitte nicht, denn ein Knack-Tool ist nicht erforderlich. Vielmehr bekommen Sie in wenigen Minuten den vollen Zugriff auf Ihren PC, auch wenn Sie Ihr Zugangskennwort vergessen haben. Das funktioniert sogar im aktuellen Windows 10, die Anleitung dazu finden Sie als Tipp auf unserer Webseite . Bei Windows XP und Vista hat Microsoft die Passwörter noch anders gespeichert, da benötigen Sie tatsächlich ein Programm wie Ophcrack oder Offline NT Windows Password & Registry Editor .

vergessenes Passwort

Android-Geräte lassen sich über die Ferninstallation von Apps vergleichsweise einfach entsperren, wenn man den Zugangscode für seinen gesperrten Bildschirm (Lockscreen) vergessen hat.

Möchten Sie Änderungen an den Bios-Einstellungen ändern, lässt sich das System und damit ein Bios-Passwort durch Umsetzen des „Clear CMOS“-Jumpers auf der Platine zurücksetzen . Häufig helfen aber schon die Standardpasswörter der Board-und Hardware-Hersteller . Beim Mac stehen verschiedene Optionen zur Verfügung, falls man sich versehentlich ausgesperrt hat: Eine davon ist die Rettungs-oder Recovery-Partition .

Mobilgeräte: Unterschiede bei Android, iOS und Windows Phone

Haben Sie sich bei Ihrem Android-Gerät ausgesperrt, müssen Sie das Gerät keineswegs unter Verlust aller Daten zurücksetzen. Sie können das Sperrmuster des Mobilgerätes per Android Debug Bridge entfernen.

vergessenes Passwort

Über die Software Brutus kann man das vergessene eigene Passwort für die Konfigurationsoberfläche der Fritzbox herausfinden – auch wenn die Prozedur etwas umständlich ist.
© AVM

Beim iPhone ohne Jailbreak existieren jenseits der offiziellen Wege keine Tricks, um den Lockscreen zu umgehen. Immerhin lässt sich über iTunes ein zuvor gespeichertes Backup wiederherstellen, so dass man das Gerät anders als beim „Wartungszustand“ nicht ganz von neuem Aufsetzen muss.

Smartphones mit Windows Phone lassen sich aus der Ferne löschen und zurücksetzen . Alternativ geht das über eine etwas mühsame Abfolge der Tasten am Gerät . In jedem Fall ist nicht nur der Lockscreen gelöscht, sondern auch alle Handyinhalte.
Zugang zur Fritzbox wiederherstellen – und weitere Tools

Ein weiteres verbreitetes Gerät, bei dem sich die meisten Anwender nicht alle Tage einloggen, ist die Fritzbox. Zunächst bietet der Hersteller AVM auf der Konfigurationsoberfläche unter „System -> Push Service“ die Möglichkeit, eine E-Mail-Adresse zu hinterlegen, an die man sich das vergessene Kennwort schicken lassen kann. Hat man dies im Vorfeld aber nicht eingerichtet, half bis vor kurzem die Software Brutus über einen Brute-Force-Angriff. Allerdings erfordert das Tool jenen Telnet-Zugang, den AVM in der neuesten Firmware deaktiviert hat. Wer seine Router-Firmware schon aktualisiert und zudem die Einstellungen gesichert hat, kann das Gerät aber „hart zurücksetzen“, dann die Firmware downgraden, die Einstellungsdatei einspielen, mit einem angeschlossenen Telefon über die Tastenfolge „# 96*7*“ den Telnet-Zugang freischalten und danach den Passwortangriff starten – etwas mühsam, es gibt aber gute Erklärungen im Netz.

Quelle: www.pcwelt.de