Brute Force Attacken auf Passwörter: Die Tools der Angreifer

Dictionaries optimieren

Die Passwortlisten zum Download enthalten Tausende von Einträgen. Es würde wenig Sinn machen und viel zu lange dauern, alle Wörter der Liste auszuprobieren. Mit ein wenig Feintuning können Sie die Arbeit allerdings deutlich beschleunigen. Für die weiteren Experimente benötigen Sie ein installiertes Linux oder ein Linux-Live-CD sowie das Security- und Hackertool Hydra. Viel der im Netz erhältlichen Passwortlisten sind wild aus anderen Listen zusammenkopiert. Daher sollten Sie zunächst sicherstellen, dass sich keine Dubletten in der von Ihnen gewählten Liste befinden befinden. Das erledigen Sie einfach mit folgender Befehlskombination:

cat wortliste.txt | sort | uniq > neue_liste.txt

Wenn Sie eine bestimmte Passwort-Policy implementiert haben, etwa die Vorgabe, dass ein Kennwort mindestens sechs Zeichen lang sein sowie sich aus Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen soll, können Sie die Testliste weiter reduzieren. Dazu enthält die Hydra-Suite das unscheinbare Tool pw-inspector, mit dem Sie Ihre Passwortlisten an Ihre Policy anpassen. Für das obige Beispiel lautet der passende Befehl:

pw-inspector -i wortliste.txt -o neue_liste.txt -m 6 -l -u -n -p

Im Allgemeinen kennt der Password Inspector folgende Parameter:

Option	Beschreibung
-i <Datei>	Aus dieser Datei liest er die Passwörter aus.
-o <andere Datei>	In diese Datei schreibt er die Ergebnisse.
-m <Zahl>	Mindestlänge der Kennwörter
-M <Zahl>	Maximallänge
-c <Zahl>	Wenn dieser Parameter angegeben ist, muss sich das Passwort mindestens aus <Zahl> verschiedenen Zeichensätzen zusammensetzen.
Zeichensätze
-l	Kleinbuchstaben (a, b, c…)
-u	Großbuchstaben (A, B, C…)
-n	Ziffern (1, 2, 3…)
-p	Andere druckbare Zeichen (!, /, $...)
-s	Alle anderen Zeichen, die nicht durch die anderen Zeichensätze beschrieben sind.

Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.