PCtipp 0610 - Das richtige Passwort

50
Praxis Passwörter
PCtipp, Oktober 2006
■ von Sascha Zäch
H
eute kann sich ein Computernutzer nicht
mehr mit ein, zwei Passwörtern durchschlagen. Immer mehr Dienste wandern ins
Internet – vom Online-Banking über das elektronische Zugbillett bis hin zum virtuellen Postschalter. Alle verlangen eine Registrierung mit
Benutzernamen und Passwort. Zusätzlich muss
man sich die Zugangsdaten für die WindowsAnmeldung und E-Mail merken; und dann ist da
noch der Geschäfts-PC.
Um sich nicht an diesem Passwortsalat zu verschlucken, wählen viele Anwender äusserst einfache Passwörter oder sogar für verschiedene
Dienste dasselbe Passwort. Ein grosses Sicherheitsrisiko: Kurze Passwörter können innert
Sekunden geknackt werden – mit kostenlosen
Programmen aus dem Internet.
Die Wahl guter Passwörter und deren Verwaltung sind deshalb das A und O jedes sicherheitsbewussten PC-Anwenders. Glücklicherweise gibt es dafür ein paar einfache Regeln und
gute Programme. Und sollten Sie dennoch einmal ein wichtiges Passwort vergessen, können Sie
es eventuell sogar mit einer Knack-Software zurückzaubern.
Gute & schlechte Passwörter
STOP and GO
Passwörter sind die Hausschlüssel der
virtuellen Welt – und genauso wertvoll. Der
PCtipp zeigt, wie Sie sichere Passwörter
kreieren und vergessene zurückholen.
Ist «qwert» ein gutes Passwort? Auf den ersten
Blick ja. Es handelt sich weder um einen Namen
noch um ein sinnvolles Wort, scheint vielmehr
eine zufällige Zeichenfolge zu sein. Dennoch
könnte ein moderner Rechner das Passwort in
null Komma nichts mit sturem Durchprobieren
(sogenannte Brute-Force-Methode) knacken.
Aus mehreren Gründen: Es ist zu kurz, verwendet keine Sonderzeichen und besteht aus
Buchstaben, die auf der Tastatur nebeneinanderliegen. Dies sind nur drei häufige Fehler, die bei
der Passwortwahl vermieden werden sollten.
Weitere Regeln siehe Box «Passwort-Einmaleins», rechts unten.
Möchten Sie wissen, wie sicher Ihre aktuellen
Passwörter sind? Auf der Website des Datenschutzbeauftragten des Kantons Zürich finden
Sie einen Passwort-Check (https://passwort
check.datenschutz.ch), Screen 1. Die Seite verwendet zwar eine verschlüsselte Verbindung, aus
Sicherheitsgründen sollten Sie dennoch nicht Ihr
richtiges Passwort, sondern nur ein typähnliches
eingeben.
Passwort kreieren
Ein Passwort zu erstellen scheint das Einfachste
auf der Welt. Man muss sich nur ein paar Zeichen
ausdenken und schreibt diese auf einen Zettel. So
einfach ist die Sache leider nicht: Komplizierte
Passwörter kann sich keiner merken, zu einfache
werden schnell geknackt. Das Aufschreiben von
Passwörtern empfiehlt sich nicht. Der Merkzettel
kann in falsche Hände gelangen oder verloren
gehen. Hilfe bieten die folgenden Strategien: Mit
ihnen kreieren Sie sichere Passwörter, die Sie sich
erst noch gut merken können.
Hinweis: Vermeiden Sie bei folgenden Tipps als
Grundlage Begriffe aus Ihrem unmittelbaren
51
Lösungen von Computer-Problemen auf www.pctipp.ch/helpdesk
Umfeld (z. B. Name der Frau, Geburtsdatum,
Wohnort). Damit würden Sie Passwortknackern
nur das Handwerk erleichtern.
1
PasswortCheck zeigt:
Das Passwort
«qwert» ist
nicht sicher
2
Mit einer
Passwortkarte
erstellen Sie
komplizierte
Passwörter,
ohne sich diese
merken zu
müssen
Wörter verschmelzen: Wählen Sie zwei Wörter
und kreieren Sie aus deren Silben ein neues. Aus
«Katze» und «Hund» könnten Sie z.B. das Wort
«KatHuzend» bilden. Dieses ist schon sehr schwer
zu knacken. Um die Sicherheit zu erhöhen, fügen
Sie zusätzlich eine Zahl und ein Sonderzeichen
ein: z. B. «Kat1Hu;zend».
Satz als Vorlage: Denken Sie sich einen Satz aus
und bilden Sie aus den Anfangsbuchstaben das
Passwort. Aus «Ich mag Eis nur im Sommer gerne
essen» wird etwa «ImEniSge». Würzen Sie auch
ein solches Passwort zusätzlich mit einer Zahl
und einem Sonderzeichen. Achten Sie darauf,
dass Sie als Satzvorlage kein bekanntes Sprichwort wählen. Einige Knack-Tools probieren genau solche Varianten durch.
Hilfreiche Nachbartaste: Tippen Sie einen Begriff, indem Sie jeweils die benachbarten Tasten
drücken. Dadurch werden einfache Wörter wie
«Geldgier» zu unsinnigen Zeichenfolgen («Fwksfuwe»). Wie immer lohnt es sich auch hier, Sonderzeichen und Zahlen einzusetzen.
Analogien und Gegenteile: Ersetzen Sie Teile
eines Wortes durch einen analogen oder gegenteiligen Begriff. Ein schönes Beispiel ist das Wort
«komfortabel». Für «fort» wählen wir «weg», für
«abel» den Namen «Kain». Das Ergebnis ist das
Passwort «komwegKain» oder noch besser
«kom2weg!Kain».
Eigenes Rezept: Denken Sie sich ein eigenes
Rezept aus, um ein Wort zu «verunstalten». Das
könnte etwa sein: «Ersetze jeden zweiten Buchstaben durch seine Position im Alphabet.» Damit
wird «Querkopf» zu «Q21e18k15p6».
Ein anderes Rezept wäre: «Vertausche den ersten mit dem letzten Buchstaben, den zweiten mit
dem zweitletzten etc.» Durch solche Rezepte können Sie das Passwort jederzeit rekonstruieren und
müssen sich nur das Ausgangswort merken.
Passwortkarte: Die Schweizer Firma Savernova
bietet eine Passwortkarte an. Jede ist individuell
und umfasst eine Vielzahl von Zeichen. Der Clou:
Man muss sich keine Passwörter mehr merken,
FACHCHINESISCH
USB-Token
Ein USB-Token ist ein handliches Gerät, mit
dem sich ein Anwender über die USB-Schnittstelle für einen Dienst authentifizieren muss.
Es kann digitale Zertifikate, Passwörter oder biometrische Daten (z.B. Fingerabdruck) enthalten. Meist hat es die Form eines USB-Sticks.
Keylogger
Keylogger (zu Deutsch etwa «Tastaturaufzeichner») sind äusserst unangenehme Zeitgenossen und gehören zur Familie der Spyware. Sie überwachen Tastatureingaben und
leiten diese an Dritte weiter.
sondern nur den Weg auf der Karte (z.B. Starte
beim Buchstaben M gehe fünf Zeichen nach unten,
eins nach rechts und zwei nach unten), Screen 2.
Diesen Weg kann man für jedes Passwort verwenden und jeweils bei einem anderen Buchstaben starten. Selbst wenn die Karte verloren geht,
könnte ein Gauner kaum den richtigen Weg herausfinden.
Der Nachteil der Methode: Die Karte müssen
Sie immer dabeihaben. Geht sie verloren, sind
auch die Passwörter futsch. Für Letzteres bietet
Savernova aber eine Backup-Karte. Passwortund Backup-Karte können kostenlos unter www.
savernova.com/cms/downloads.html als PDF
heruntergeladen und ausgedruckt werden.
Hardware-Lösung: Vermehrt wird die Anmeldung per Passwort durch Hardware-Lösungen
wie Fingerabdruck-Scanner, Smartcards oder
➔ USB-Token ersetzt. Der Vorteil liegt auf der
Hand: Das Risiko von zu einfachen oder vergessenen Passwörtern wird eliminiert. Zudem sind
diese Systeme vor ➔ Keyloggern und anderen Spionen sicher.
TIPP
Passwort-Einmaleins
EIN GUTES PASSWORT SOLLTE
■ aus mindestens acht Zeichen bestehen;
■ gross- und kleingeschriebene Buchstaben
beinhalten;
■ nicht nur Buchstaben, sondern auch Zahlen und Sonderzeichen umfassen;
■ regelmässig gewechselt werden (ca. alle 60
bis 90 Tage).
VERMEIDEN SIE UNBEDINGT
■ benachbarte Tasten;
■ doppelte Zeichen;
■ Umlaute, denn diese sind nicht auf allen
Tastaturen vorhanden;
■ Begriffe aus Wörterbüchern;
■ Spitznamen, Filmfiguren, Namen von
Freunden, Telefonnummern, Geburtstage,
Autokennzeichen etc.;
■ rückwärts geschriebene Begriffe;
■ Wörter, an die eine Zahl oder ein Sonderzeichen gehängt wird (z.B. PCtipp12).
52
Praxis Passwörter
Um Passwörter kommt man heute aber noch immer nicht herum. Hardware-Lösungen sind nicht
für alle Dienste verfügbar. Zudem müssen sie
zusätzlich angeschafft werden. Für sensible Anwendungen wie das Online-Banking lohnt sich
dieser Mehraufwand aber allemal, wenn der Anbieter eine solche Lösung unterstützt.
PCtipp, Oktober 2006
3
Passwörter verwalten
Mit der Zunahme von Internetdiensten muss
man sich immer mehr Passwörter merken. Irgendwann macht aber sogar das beste Gedächtnis
schlapp. Die einfachste Lösung: Man notiert sich
die Passwörter. Leider geht dadurch ein grosser
Teil der Sicherheit verloren. Kriegt jemand die
Passwortliste in die Hand, hat er Zugriff auf alle
sensiblen Daten.
Schreiben Sie deshalb die Passwörter nie zusammen mit Benutzernamen oder gar dazugehörigen Diensten auf. Ausserdem sollten Sie den
Notizzettel nicht in der Nähe des Computers aufbewahren. Ein guter Trick: Tarnen Sie den Zettel
mithilfe von Füllwörtern als Einkaufsliste.
Besser als eine Passwortliste ist die erwähnte
Passwortkarte. Mit ihr können Diebe überhaupt
nichts anfangen. Auch hier liegt das Problem jedoch darin, dass die Passwörter futsch sind, wenn
Sie die Karte verlieren. Machen Sie deshalb unbedingt eine Kopie und bewahren Sie diese an
einem sicheren Ort auf.
Gängige Browser wie Internet Explorer, Firefox oder Opera ermöglichen es, Webpasswörter
zu speichern. Dies lässt sich z.B. unter Extras/
Internetoptionen/Inhalte unter AutoVervollständigen festlegen (Internet Explorer)
bzw. im Menü Extras/Einstellungen/Datenschutz (Firefox). Passwörter automatisch speichern sollten Sie aber nur, wenn die Kennwörter
verschlüsselt abgelegt werden und sich mit einem
Hauptpasswort (sogenanntes Master-Passwort)
schützen lassen. Der Internet Explorer bietet
diese Möglichkeit leider nicht.
Software Password Safe: Der Browser ist keine
richtige Alternative zur Passwortliste oder -karte.
Er speichert nur Web-Logins. Zudem haben Sie
die Passwörter nicht immer dabei. Verwenden
ANZEIGE
Password Safe legt alle Passwörter in einer passwortgeschützten und verschlüsselten Datei ab
Sie stattdessen lieber ein spezielles Programm wie
Password Safe (WEBCODE 34052). Damit können Sie
Hunderte von Passwörtern eintragen und so bequem verwalten, Screen 3.
Mit einem Doppelklick auf einen Eintrag kopieren Sie das Passwort in die Zwischenablage,
um es anschliessend per Ctrl+V einzufügen. Alle
Daten sind durch ein Hauptpasswort geschützt;
sie werden verschlüsselt gespeichert.
Ein weiterer Vorteil: Password Safe kann auch
von einem USB-Stick oder einer Diskette aus betrieben werden. Damit haben Sie alle Zugangsdaten immer bei sich. Gleichzeitig bietet die Software eine Backup-Funktion. Ebenfalls nützlich:
Password Safe generiert per Mausklick Passwörter. Länge und Aufbau legen Sie in den Programmoptionen fest.
Verlorene Passwörter retten
Auch wenn die oben genannten Tipps beherzigt
werden, kann man ein Passwort einmal vergessen. Damit ist glücklicherweise noch nicht alles
verloren. Je nach Anwendung und Passwortqualität lassen sich die Zugangsdaten mehr oder weniger einfach herausfinden.
Achtung: Nutzen Sie die folgenden Methoden nur
zum Auffinden des eigenen Passwortes, andernfalls machen Sie sich strafbar.
Webdienste: Ist Ihnen das Passwort zu einem
Freemail-Service, einem Forum oder einem anderen Webdienst entfallen, besteht kein Grund
zur Panik. Meistens finden Sie neben der Login-
Maske einen Link Passwort vergessen? (engl.
Forgot your password?). Über diesen können
Sie ein neues Passwort bestellen, indem Sie den
Benutzernamen oder die E-Mail-Adresse angeben. Teilweise gilt es noch, eine Zusatzfrage zu
beantworten.
Der Firefox-Browser ermöglicht es sogar, gespeicherte Webpasswörter anzeigen zu lassen.
Möchten Sie jedoch nur wissen, wie ein früher
im Browser gespeichertes Passwort (vgl. «Passwörter verwalten», links) im Klartext lautet, gehen Sie wie folgt vor: Im Firefox-Browser finden
Sie die entsprechende Option unter Extras/Einstellungen/Datenschutz/Passwörter/Gespeicherte Passwörter anzeigen, Screen 4.
Verwenden Sie den Internet Explorer, hilft das
Programm AsterWin IE (WEBCODE 32707) weiter. Es
wandelt die Punktsymbole von gespeicherten
Passwörtern in Klartext um. Öffnen Sie dazu die
Seite mit dem verborgenen Passwort und klicken
Sie in AsterWin IE auf die Schaltfläche Show
Internet Explorer Passwords. Die Software
scannt die geöffnete Seite und liest das Passwort.
E-Mail-Programm: Fast alle Mailprovider bieten
die Möglichkeit, das Konto online abzufragen.
Auch hier finden Sie einen Link zur Anforderung
eines neuen Passwortes.
Noch schneller gehts mit der Software PantsOff
(WEBCODE 32709). Sie kann die typischen Passwortsternchen (*****) in Klartext umwandeln. Öffnen
Sie Ihr Mailprogramm und suchen Sie unter den
Kontoinformationen das Passwortfeld. In Outlook finden Sie dieses beispielsweise unter Extras/Optionen/E-Mail-Setup/E-Mail-Konten.
Ziehen Sie die Lupe von PantsOff auf das Passwortfeld, erscheint der verborgene Text. PantsOff
funktioniert nicht nur mit Mailprogrammen,
sondern auch mit vielen anderen Anwendungen.
ZIP-Dateien, Office, PDF-Dokumente: Für fast
jede Anwendung mit Passwortfunktion gibt es
eine spezielle Knack-Software. Einer der bekanntesten Hersteller solcher Programme ist die russische Firma Elcomsoft (www.elcomsoft.de). Sie
bietet unter anderem Tools für Archiv-, PDF-,
Office- und Mailpasswörter an. Diese Software
heimst in Tests immer wieder Bestnoten ein.
53
Lösungen von Computer-Problemen auf www.pctipp.ch/helpdesk
4
Alle Programme von Elcomsoft können auf der
Webseite des Unternehmens als Gratis-Demoversionen heruntergeladen werden. Die Vollversionen sind hingegen kostenpflichtig.
Für passwortgeschützte Zip-Archive ist eine
gute Gratisalternative erhältlich: der ZIP Password
Finder von Astonsoft (WEBCODE 34051). Das Programm ist zwar englischsprachig, die simple
Oberfläche macht die Bedienung aber dennoch
einfach, Screen 5.
Mit Open file A laden Sie die gewünschte
ZIP-Datei ins Programm. Geben Sie nun unter
«Max Password Length» B die Zeichenzahl des
Passworts ein. Im linken Teil des Fensters lassen
sich Angaben zum Aufbau des Passworts machen: nur Zahlen, nur Kleinbuchstaben, alphanumerisch mit Kleinbuchstaben etc. C. Dann
beginnt der Knackvorgang mit Start D.
ZIP Password Finder nutzt dabei die BruteForce-Methode – stures Durchprobieren aller
möglichen Kombinationen. Deshalb kann der
Vorgang je nach Länge und Aufbau des Passworts
sowie Rechenleistung Tage oder Jahre dauern.
Für passwortgeschützte Word- und ExcelDateien gibts ebenfalls ein Gratis-Tool. Free Word
and Excel Password Recovery Wizard (WEBCODE 34048)
knackt Word- und Excel-Dateien der Programmversionen 97 bis 2003, Screen 6.
Die Software gibts nur in Englisch, sie ist aber
genauso einfach zu bedienen wie ZIP Password
Finder. Wählen Sie die gewünschte Datei aus (Select file A) und starten Sie unter Brute force
recovery B den Knackvorgang. Es lassen sich
auch wieder Passwortaufbau C und Zeichenlänge
D einschränken. Sehr nützlich: Das Programm
beherrscht neben der Brute-Force-Methode die
sogenannte Dictionary Attack (siehe Box «Knackmethoden», Seite 55).
TIPP
Windows-Passwort: Ein Spezialfall ist das Windows-Passwort. Wenn es weniger als 15 Zeichen
lang ist, wird es als sogenannter LAN Manager
Hash (kurz LM Hash) gespeichert. Dabei handelt
es sich um eine Art Code, der aus dem Passwort
errechnet wird. Tippt nun ein Benutzer ein Windows-Kennwort ein, wird dessen Hash-Wert bestimmt und mit dem im System gespeicherten
verglichen: Bei Übereinstimmung steht der Weg
zu Windows offen.
Leider weisen LM Hashes zwei fatale Schwachstellen auf: Alle Kleinbuchstaben werden beim
Errechnen des Hash-Werts in Grossbuchstaben
umgewandelt. Ausserdem teilt Windows Passwörter, die länger als sieben Zeichen sind, in zwei
LM Hashes auf. Beides verringert die Zahl der
möglichen Zeichenkombinationen beträchtlich.
So ist es selbst mit der Brute-Force-Methode
möglich, Windows-Passwörter innert Stunden zu
knacken. Mit Verfahren wie Rainbow Tables (Box
«Knackmethoden», S. 55) lassen sie sich sogar in
Sekundenschnelle aushebeln. Abgelegt werden
die LM Hashes in der Datei SAM im Verzeichnis
C:\WINDOWS\system32\config.
Bis und mit Windows Me nutzte Microsoft nur
LM Hashes als Kodierverfahren. Neuere Windows-Versionen verwenden zusätzlich die sicherere Version namens NTLM Hash, verzichten bei
Passwörtern aus Kompatibilitätsgründen jedoch
nicht auf die Speicherung der LM Hashes.
Am einfachsten beseitigen Sie diese Schwachstelle in neueren Windows-Versionen, indem Sie
ein Passwort mit mindestens 15 Zeichen wählen,
denn zum Bestimmen des LM Hashes werden
Passwörter nach dem 14. Zeichen abgeschnitten.
Alternativ können Sie das Speichern von LM
Hashes auch mit einem Registry-Kniff verhindern. Eine Warnung vorweg: Änderungen an der
Registry sollten nur von erfahrenen Nutzern gemacht werden.
Starten Sie den Registry-Editor mit Start/
Ausführen und dem Befehl regedit. Klicken
5
D
Der kostenlose
ZIP Password
Finder geht
passwortgeschützten
Archivdateien
ans Leder
A
C
B
6
A
B
Aufwand, nur wo nötig
Natürlich ist es am besten, möglichst sichere
Passwörter zu wählen. Manchmal ist der Aufwand aber zu gross. Möchten Sie sich nur kurz
für einen Download, einen Forenbeitrag oder
einen unkritischen Webdienst registrieren,
reicht auch ein einfaches Passwort. Keiner
wird Interesse daran haben, dieses zu knacken,
kann er sich doch selbst registrieren. Investieren Sie lieber mehr Aufwand in den Schutz
von Diensten, die wirklich kritisch sind (z.B.
Online-Banking, Hauptmailadresse etc.).
Firefox zeigt
auf Wunsch
alle gespeicherten Webpasswörter an
C
D
Mit dem Free
Word and Excel
Password Recovery Wizard
öffnen Sie
passwortgeschützte
Office-Dateien
54
Praxis Passwörter
Sie auf HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Lsa. Nun wählen Sie
Bearbeiten/Neu/DWORD-Wert und tippen
«NoLMHash» ein, Screen 7. Ist der neue Eintrag
ausgewählt, setzen Sie mit Bearbeiten/Ändern
den DWORD-Wert auf «1». Starten Sie den Rechner neu und ändern Sie Ihr Kennwort.
Dank der Schwäche der LM Hashes lassen sich
vergessene Windows-Passwörter relativ schnell
zurückholen. Dazu gibt es verschiedene kostenlose Programme. Empfehlenswert ist etwa die
Software LCP (WEBCODE 34046). Sie beherrscht
Brute-Force- und Wörterbuch-Angriffe und kann
diese beiden Methoden sogar kombinieren. Via
Menübefehl Import laden Sie die LM Hashes ins
Programm. Am einfachsten geht das über die
Option Import From Local Computer. Sie können aber auch eine SAM-Datei einlesen (Import
From SAM File) oder sogar die LM Hashes von
einem anderen Netzwerkrechner ins Programm
holen (Import From Remote Computer).
Mit Begin Audit startet der Knackvorgang.
LCP kommt übrigens auch mit den sichereren
NTLM Hashes zurecht, benötigt hier aber je nach
Passwort einiges länger.
Es geht sogar noch schneller als mit LCP. Das
Zauberwort heisst Rainbow Tables. Sie ermöglichen
es, das Windows-Passwort innert weniger Minuten auszuhebeln. Der Trick: Statt jedes Mal alle
Varianten durchzuprobieren, werden einmal alle
LM-Hash-Werte für mögliche Passwörter berechnet und in einer Tabelle abgespeichert. Anschliessend reicht es, die LM-Hash-Werte aus der
SAM-Datei zu lesen und mit der Tabelle zu vergleichen.
Fast nicht zu glauben, aber probieren Sie es
selbst aus: Laden Sie die kostenlose Software Ophcrack von der PCtipp-Webseite herunter (WEBCODE
34053). Während der Installation müssen Sie angeben, ob Sie die Rainbow Tables von einer CD/
DVD importieren oder aus dem Internet herunterladen möchten.
Hier liegt auch der Nachteil der Methode: Eine
Tabelle ist mehrere Hundert Megabyte gross. Fürs
Herunterladen ist also ein Breitbandanschluss
Voraussetzung. Nach der Installation holen Sie
die LM Hashes mit dem Befehl Load/From local SAM ins Programm. Mit Launch beginnt die
Passwortsuche.
Alternativ können Sie Ophcrack LiveCD herunterladen (WEBCODE 34053, http://ophcrack.source
forge.net/#rainbow). Es handelt sich um ein CDAbbild im ISO-Format, das Sie z.B. mit Nero auf
einen CD-Rohling brennen. Es enthält eine bootfähige Linux-CD inklusive Ophcrack und Rainbow Tables. Damit lässt sich der Passwortschnüffler ganz ohne Installation nutzen. Es reicht, die
CD einzulegen und den Rechner aufzustarten.
FACHCHINESISCH
BIOS
In einem Chip auf der PC-Hauptplatine gespeicherte Software zur Steuerung der Hardware-Grundfunktionen und der Kommunikation zwischen Prozessor, Arbeitsspeicher und
Peripheriegeräten. Diese Software wird beim
PC-Start aufgerufen, noch bevor Windows
geladen wird.
PCtipp, Oktober 2006
7
In der Registry können Sie Windows das Speichern von LM Hashes verbieten
Die Software sucht anschliessend selbstständig
nach einer Windows-Partition, extrahiert die LM
Hashes und startet den Knackvorgang.
BIOS-Passwort: Der PC lässt sich bereits während des Aufstartens per Passwort sperren, noch
bevor Windows geladen wird. Möglich macht
dies das ➔ BIOS. In dieses gelangen Sie meist,
indem Sie die Del-Taste während des Hochfahrens drücken. Dort können Sie auf Wunsch ein
Passwort für den Startvorgang (Boot-Vorgang)
setzen.
Leider bietet das BIOS-Passwort nur einen
trügerischen Schutz. So lässt es sich in vielen
BIOS-Programmen mit einem sogenannten
Master-Passwort umgehen. Oft machen sich die
Mainboard-Hersteller nicht die Mühe, dieses abzuändern. Mit ein bisschen Googeln finden sich
schnell die Master-Passwörter zu den gängigsten
BIOS-Varianten.
Sogar die Hardware lässt sich missbrauchen: Auf
vielen Desktop-Mainboards gibts einen Jumper
(d. h. Steckbrücke) namens «Clear CMOS». Der
genaue Standort findet sich im Gerätehandbuch.
Diesen Jumper kann man kurz umstecken, um
die Standard-BIOS-Konfiguration wiederherzustellen. Dazu zählt auch das Löschen des Passworts. Manchmal müssen Sie den Rechner vor
dem Zurücksetzen des Jumpers einmal ein- und
wieder ausschalten.
Die dritte Möglichkeit: Klemmen Sie die Batterie zum Puffern des BIOS-Speichers für einige
Stunden ab. Auch dann wird der ursprüngliche
Zustand wiederhergestellt.
Diese Hardware-Manipulationen sind bei
Notebooks komplizierter, da Batterie und CMOSJumper schwerer oder gar nicht zu lokalisieren
sind. Der einfachste Weg: Fragen Sie beim Hersteller nach oder suchen Sie per Google nach
■
BIOS-Passworttipps zu Ihrem Modell.
HINTERGRUND
Knackmethoden
Es gibt verschiedenste Methoden, um ein Passwort zu knacken. Diese müssen nicht mal
immer mit Computern zu tun
haben.
Brute Force: Der Begriff heisst
so viel wie rohe Gewalt und
beschreibt damit sehr schön
das zugrunde liegende Konzept. Der Angreifer probiert
alle möglichen Kombinationen
durch, bis er das richtige Passwort gefunden hat.
Dictionary Attack: Ein solcher
Angriff führt unter Umständen
schneller zum Ziel als die
Brute-Force-Methode. Zum
Knacken des Passworts werden
Wörter aus einer Liste verwendet. Durchgespielt wird das
Ganze auch mit Wortkombinationen und rückwärts geschriebenen Begriffen. Am besten
wird das Wörterbuch an die
Landessprache des Nutzers
angepasst und noch mit persönlichen Daten (Namen, Geburtsdatum etc.) ergänzt.
Rainbow Tables: Spezielle
Methode zum Knacken des
Windows-Passworts. Statt stur
Kombinationen durchzuspielen, werden die LM-HashWerte (siehe Seite 53) für alle
möglichen Passwörter errechnet und in einer Tabelle gespeichert. Mithilfe der Tabelle
rekonstruiert ein moderner
Computer ein Passwort in
wenigen Minuten aus einem
beliebigen LM-Hash-Wert.
Social Engineering: Oft machen sich Angreifer gar nicht
die Mühe, mit aufwendigen
Rechenmethoden ein Passwort
zu knacken. Sie nutzen die
Leichtgläubigkeit von Nutzern
aus. Warum lange ausprobieren, wenn man einfach nach
dem Passwort fragen kann,
indem man sich als Systemadministrator oder Techniker
ausgibt? Auch Phishingmails
gehören in den Bereich des
Social Engineering. Nutzer
werden per E-Mail aufgefordert, unter einem bestimmten
Link ihre Zugangsdaten für
ihr Online-Banking-Konto oder
einen anderen Internetdienst
zu verifizieren. Dabei werden
sie auf eine gefälschte Seite
umgeleitet.
DIE GRÖSSTE PC-ZEITSCHRIFT DER SCHWEIZ
Der Klick zu noch
mehr Wissen – mit
Ihrem PCtipp-Abo
Sichern Sie sich jetzt die besten Tipps und Tricks
rund um den PC. Zu einem unschlagbar günstigen
Preis jeden Monat in Ihrem Briefkasten.
KLICKEN SIE HIER
AUCH SO KÖNNEN SIE GANZ EINFACH ABONNIEREN:
Bestellen Sie Ihr Abo übers Internet www.pctipp.ch/abo. Oder füllen Sie den Talon aus und
senden Sie ihn an: PCtipp-Leserservice, Postfach, CH-9026 St. Gallen, Fax +41 71 314 04 08.
Ja, ich möchte den PCtipp kennenlernen und bestelle ein Jahresabonnement Schweiz:
12 Ausgaben plus ein Sonderheft für nur Fr. 45.– (statt Fr. 50.70 am Kiosk).
Ausland: Fr. 60.– (Westeuropa, B-Post), Fr. 77.– (sonstige Länder, Luftpost)
P010316
Ich profitiere doppelt und bestelle ein 2-Jahres-Abo für nur Fr. 79.–
(statt Fr. 101.40 am Kiosk). 2-Jahres-Abo im Ausland nicht erhältlich.
Herr/Frau (Zutreffendes unterstreichen)
Vorname/Name
Firma
Strasse/Nr.
PLZ/Ort
URHEBERRECHTS-HINWEIS
Der Artikel in diesem PDF-Dokument stammt
aus dem PCtipp, der grössten Schweizer Computer-Zeitschrift. Der Inhalt ist urheberrechtlich
geschützt. Die Urheberrechte liegen bei
der IDG Communications AG. Nachdruck,
Verbreitung und elektronische Wiedergabe,
auch auszugsweise, nur mit schriftlicher
Genehmigung des Verlages.
Stand: Juni 2007
Preise für die Schweiz inkl. 2,4% MwSt.
Land
WAS SIE NICHT DÜRFEN:
Sie dürfen dieses PDF-Dokument nicht für
kommerzielle Zwecke einsetzen.
Sie dürfen dieses Dokument nicht verändern.
Sie dürfen dieses Dokument weder gedruckt
noch elektronisch in grossen Mengen an
Dritte verteilen.
Sie dürfen dieses Dokument nicht selbst als
Download anbieten, jedoch einen Link darauf
setzen.
WAS SIE DÜRFEN:
Sie dürfen dieses Dokument ausdrucken und
bei Bedarf an einzelne Dritte weitergeben.
Sie dürfen dieses Dokument in elektronischer
Form an einzelne Dritte weitergeben.
Dieses PDF-Dokument stellen wir Ihnen
gratis zur Verfügung. Mit einem Abo des PCtipp
leisten Sie einen Beitrag,
der dieses Gratisangebot
weiterhin ermöglicht.