Pass­wort weg? Kein Pro­blem!

So kom­men Sie wie­der an Ih­re Da­ten

PC-WELT - - Vorderseite - VON PE­TER STELZEL-MORA­WI­ETZ

DIE VOR­BE­MER­KUNG ist wich­tig: In die­sem Ar­ti­kel geht es nicht um das Aus­spä­hen oder Ab­fan­gen von Pass­wör­tern, um da­mit an frem- de Da­ten zu ge­lan­gen – aus­drück­lich auch nicht als „er­wünsch­ter Ne­ben­ef­fekt“! Viel­mehr wol­len wir für gän­gi­ge Ge­rä­te, Soft­ware, ver­schlüs­sel­te Da­ten­for­ma­te und On­li­ne-Kon­ten auf­zei­gen, wie Sie wie­der an Ih­re Da­ten kom­men, falls Sie sich aus­ge­sperrt ha­ben. Das ist gar nicht so un­wahr­schein­lich, denn schon nach ei­nem zwei­wö­chi­gen Ur­laub soll sich man­cher PC-Nut­zer nicht mehr an sein Win­dows-Pass­wort er­in­nern kön­nen. Ganz zu schwei­gen von ei­nem vor Jah­ren ver­schlüs­sel­ten Zip-Ar­chiv oder den di­ver­sen In­ter­net­zu­gän­gen, die sich im Lau­fe der Jah­re so an­ge­sam­melt ha­ben. Und wer nicht stets das glei­che Pass­wort ver­wen­det – wo­von drin­gend ab­zu­ra­ten ist – oder sei­ne Zu­gangs­codes per­fekt or­ga­ni­siert, braucht schon ein­mal Hil­fe beim Er­in­nern oder Zu­rück­set­zen.

„Die meis­ten Kenn­wör­ter ste­hen in­zwi­schen in Pass­wort­lis­ten und sind leicht und schnell zu kna­cken.“

Pass­wör­ter: Die Stär­ke, das Knack­ri­si­ko und et­was Theo­rie

Die Si­cher­heit von Pass­wör­tern und da­mit das Ri­si­ko, dass die ei­ge­nen Zu­gangs­codes ge­knackt wer­den, sind ei­ne äu­ßerst kom­ple­xe

An­ge­le­gen­heit. Jen­seits al­ler Theo­rie ha­ben die Ent­wick­lun­gen der ver­gan­ge­nen Jah­re si­gni­fi­kan­te Aus­wir­kun­gen auf die Wahr­schein­lich­keit, dass man Ih­re Kenn­wör­ter über­lis­tet und da­mit an per­sön­li­che Da­ten, Shop­ping-Ac­counts oder gar Ih­re ge­sam­te di­gi­ta­le Iden­ti­tät kommt. Ein lan­ges und mit di­ver­sen Knif­fen ver­se­he­nes Pass­wort ist nur ver­meint­lich si­cher – wir zei­gen noch, war­um. Zum ei­nen ist die ver­füg­ba­re Leis­tung schon ei­nes klei­nen Rech­ner­ver­bun­des mit zwei Dut­zend Gra­fik­kar­ten so groß, dass selbst ein acht­stel­li­ges Pass­wort nach we­ni­gen St­un­den durch sch­lich­tes Durch­pro­bie­ren ge­knackt ist. Nun lässt sich ar­gu­men­tie­ren, dass das Er­hö­hen der Pass­wort­län­ge die Zahl der Ver­su­che und da­mit die Zeit für ei­nen sol­chen Bru­teForce-An­griff dras­tisch stei­gen lässt. Das ist zwar rich­tig, al­ler­dings nur in der Theo­rie. Denn die Ha­cker ver­wen­den längst an­de­re Me­tho­den, und selbst Rain­bow-Ta­bel­len, die ei­ne Viel­zahl von Pass­wort-Hashwer­ten be­reits ge­spei­chert und da­mit die Zeit für ei­nen An­griff er­heb­lich ver­kürzt hat­ten, ha­ben an Be­deu­tung ver­lo­ren.

Lis­ten mit Zu­gangs­codes be­schleu­ni­gen die Ha­cker-An­grif­fe

Nicht zu­letzt auf­grund der zahl­rei­chen On­li­neEin­brü­che der ver­gan­ge­nen Jah­re, bei de­nen die Da­ten von Mil­lio­nen Kun­den teil­wei­se mit den Zu­gangs­codes im Kl­ar­text ge­stoh­len und spä­ter ge­le­akt wur­den, kennt man ei­ne Un­men­ge gän­gi­ger Pass­wör­ter. Die­se braucht man nur noch mit mehr­spra­chi­gen, voll­stän­di­gen Wör­ter­bü­chern zu kom­bi­nie­ren, um dann An­grif­fe mit die­sen „wahr­schein­lichs­ten“Aus­drü­cken durch­zu­füh­ren: Ein paar Mil­lio­nen Aus­drü­cke sind eben schnel­ler ab­ge­ar­bei­tet als ei­ne Bil­li­ar­de sys­te­ma­ti­scher Ver­su­che. Doch da­mit nicht ge­nug, denn die er­beu­te­ten Lis­ten zei­gen auch viel­ver­wen­de­te Mus­ter. Zwar sind sim­ple Phra­sen wie „12345..“, „Pass­word“oder die Na­men von Part­nern, Kin­dern oder Haus­tie­ren auf dem Rück­zug, ein­fa­che Än­de­run­gen ge­wöhn­li­cher Wor­te und an­de­re Mus­ter sind aber nach wie vor an der Ta­ges­ord­nung. Be­liebt ist bei­spiels­wei­se das Er­set­zen von Buch­sta­ben nach dem „1337-Speak-Mus­ter“: Aus dem „Ta­schen­rech­ner“wird dann „745ch3n­r3chn3r“, und selbst die ger­ne be­nutz­te Ver­län­ge­rung mit dem Di­enst- oder Do­main­na­men er­gä­be bei On­line­Händ­ler Ama­zon zwar ei­nen Aus­druck mit 21 Stel­len. Ein sol­cher Zu­gangs­code ist trotz­dem we­nig wert, denn sol­che „Re­geln“sind in den Wör­ter­bü­chern längst be­rück­sich­tigt. Dar­über hin­aus exis­tie­ren un­si­che­re Sys­te­me: So blo­ckiert An­dro­id den Lock­screen für nur 30 Se­kun­den, wenn fünf Mal ein fal­scher Ent­sperr­code ein­ge­ge­ben wur­de. Führt man die Ein­ga­ben au­to­ma­ti­siert aus, ist ei­ne 4-Zif­fern­Kom­bi­na­ti­on nach spä­tes­tens 17 St­un­den über­lis­tet. Der Tas­ta­tur­r­o­bo­ter USB Rub­ber Du­cky (35 Euro) ar­bei­tet das au­to­ma­tisch ab. Erst die neue An­dro­id-Ver­si­on 6.0 („Mar­sh­mal- low“) er­höht den Schutz et­was; deut­lich si­che­rer sind hier iOS und Win­dows Pho­ne.

Aus­ge­sperrt: So set­zen Sie Kenn­wör­ter Ih­rer On­li­ne-Kon­ten zu­rück

Ei­ni­ge Hin­ter­grün­de zu Pass­wör­tern in­klu­si­ve An­grif­fen ha­ben wir nun vor­ge­stellt, die ver­schie­de­nen Mög­lich­kei­ten zum Er­stel­len von

Pass­wör­tern er­läu­tert der Kas­ten auf Sei­te 59. Hier geht es nun ums Zu­rück­set­zen von Kenn­wör­tern. Ei­nen häu­fi­gen und zu­gleich ein­fa­chen Fall stel­len On­li­ne-Kon­ten von A wie Ama­zon bis Z wie Zat­too dar. All die­se Di­ens­te er­lau­ben, das Pass­wort über die hin­ter­leg­te Mail­adres­se zu­rück­zu­set­zen. Der dann in ei­ner au­to­ma­tisch ge­ne­rier­ten Nach­richt ent­hal­te­ne in­di­vi­du­el­le Link gibt dem Nut­zer die Mög­lich­keit, ei­nen neu­en Zu­gangs­code zu set­zen. Das ver­deut­licht die zen­tra­le Be­deu­tung des ver­wen­de­ten Post­fachs: Kennt näm­lich ein An­grei­fer das Pass­wort für die­sen Ac­count, be­kommt er über die Zu­rück­set­zen-Funk­ti­on leicht Zu­griff auf an­de­re Di­ens­te. Wäh­len Sie gera­de hier ei­nen be­son­ders si­che­ren Schutz. Da­ne­ben exis­tie­ren wei­te­re Fall­back-Mecha­nis­men wie das Er­zeu­gen ei­nes Si­cher­heits­codes per App oder das Zu­sen­den per SMS. Das stellt ei­nen vom PC und In­ter­net un­ab­hän­gi­gen Weg dar. Goog­le und an­de­re Un­ter­neh­men er­mög­li­chen ei­ne sol­che Zwei-Fak­torAn­mel­dung so­gar als Stan­dard­me­tho­de, sie lässt sich je­weils in den Kon­to­ein­stel­lun­gen ein­rich­ten. Kaum wirk­sa­men Schutz bie­ten da­ge­gen Stan­dard­fra­gen, al­so sol­che nach dem Lieb­lings­es­sen, dem Na­men der Mut­ter oder der Grund­schu­le. Denn die Ant­wor­ten – vor­aus­ge­setzt man be­ant­wor­tet sie wahr­heits­ge­mäß – las­sen durch So­ci­al En­genee­ring oft leicht her­aus­fin­den. Ei­ner­seits las­sen sich ver­ges­se­ne Zu­gangs­codes für On­li­ne-Di­ens­te leicht zu­rück­set­zen und da­mit „kna­cken“, auf der an­de­ren Sei­te be­mer­ken die Un­ter­neh­men an­ders als bei Of­f­line-Atta­cken schnell sys­te­ma­ti­sche An­grif­fe, weil sie über ih­re In­fra­struk­tur lau­fen. Deut­lich mehr Ge­fahr droht, wenn Die­be in die ITSys­te­me sol­cher Fir­men ein­drin­gen, da­bei Kun­den­da­ten er­beu­ten und dann un­be­merkt of­f­line at­ta­ckie­ren. Hier ha­ben sie dann al­le Werk­zeu­ge und Zeit der Welt.

Zu­gän­ge kna­cken: So kom­men Sie in Ih­ren Win­dows-PC und Mac

Im Fall ei­nes ver­ges­se­nen Pass­worts für das Win­dows-Kon­to: Er­schre­cken Sie bit­te nicht, denn ein Knack-Tool ist nicht er­for­der­lich. Viel­mehr be­kom­men Sie in we­ni­gen Mi­nu­ten den vol­len Zu­griff auf Ih­ren PC, auch wenn Sie Ihr Zu­gangs­kenn­wort ver­ges­sen ha­ben. Das funk­tio­niert so­gar im ak­tu­el­len Win­dows 10, die An­lei­tung da­zu fin­den Sie als Tipp auf un­se­rer Web­sei­te (www.pcwelt.de/2066829). Auf die glei­che Art und Wei­se lässt sich das Pass­wort nicht nur zu­rück-, son­dern so­gar neu set­zen. Wie, das er­klärt un­ser Vi­deo (www.pcwelt.de/ s1g0ea). Bei Win­dows XP und Vis­ta hat Mi­cro­soft die Pass­wör­ter noch an­ders ge­spei­chert, da be­nö­ti­gen Sie tat­säch­lich ein Pro­gramm wie Oph­crack oder Of­f­line NT Win­dows Pass­word & Re­gis­try Edi­tor (bei­des auf DVD). Möch­ten Sie Än­de­run­gen an den Bios-Ein­stel­lun­gen än­dern, lässt sich das Sys­tem und da­mit ein Bios-Pass­wort durch Um­set­zen des „Cle­ar CMOS“-Jum­pers auf der Pla­ti­ne zu­rück­set­zen (www.pcwelt.de/1810557). Häu­fig hel­fen aber schon die Stan­dard­pass­wör­ter der Bo­ard- und Hard­ware-Her­stel­ler (www.gai­jin.at/man­bios. php). Beim Mac ste­hen ver­schie­de­ne Op­tio­nen zur Ver­fü­gung, falls man sich ver­se­hent­lich aus­ge­sperrt hat: Ei­ne da­von ist die Ret­tungs- oder Re­co­very-Par­ti­ti­on (www.pcwelt.de/2041797).

Mo­bil­ge­rä­te: Un­ter­schie­de bei An­dro­id, iOS und Win­dows Pho­ne

Ha­ben Sie sich bei Ih­rem An­dro­id-Ge­rät aus­ge­sperrt, müs­sen Sie das Ge­rät kei­nes­wegs un­ter Ver­lust al­ler Da­ten zu­rück­set­zen. Viel­mehr kön­nen Sie, so­fern Sie Zu­gang zu Ih­rem Goog­le-Ac­count ha­ben, Apps zum Ent­sper­ren des Sperr­bild­schirms vom PC aus – so wie es bei al­len an­de­ren Ap­pli­ka­tio­nen auch mög­lich

ist. Kos­ten­los ist die App [Free] Screen Un­Lock/ Lock (www.pcwelt.de/vttc), für die App Screen Lock By­pass Pro (www.pcwelt.de/qw8h) muss man 3,20 Euro be­zah­len. Die Hand­ha­bung bei­der Apps ist äu­ßerst ein­fach. Wenn Sie den­noch Hil­fe be­nö­ti­gen, bei uns fin­den Sie sie on­li­ne un­ter www.pcwelt.de/1897728. Et­was auf­wen­di­ger ist es, das Sperr­mus­ter des Mo­bil­ge­rä­tes per An­dro­id De­bug Bridge zu ent­fer­nen; da­zu ha­ben wir ei­nen aus­führ­li­chen Rat­ge­ber (www.pcwelt.de/1897719). Beim iPho­ne oh­ne Jail­break exis­tie­ren jen­seits der of­fi­zi­el­len We­ge (https://sup­port.app­le. com/de-de/HT204306) kei­ne Tricks, um den Lock­screen zu um­ge­hen. Im­mer­hin lässt sich über iTu­nes ein zu­vor ge­spei­cher­tes Back­up wie­der­her­stel­len, so dass man das Ge­rät an­ders als beim „War­tungs­zu­stand“nicht ganz von neu­em Auf­set­zen muss. Smart­pho­nes mit Win­dows Pho­ne las­sen sich aus der Fer­ne (www.win­dow­spho­ne.com/de-de/ my/find) lö­schen und zu­rück­set­zen. Al­ter­na­tiv geht das über ei­ne et­was müh­sa­me Ab­fol­ge der Tas­ten am Ge­rät (www.pcwelt.de/BAaMj7). In je­dem Fall ist nicht nur der Lock­screen ge­löscht, son­dern auch al­le Han­dy­in­hal­te.

Zu­gang zur Fritz­box wie­der­her­stel­len – und wei­te­re Tools

Ein wei­te­res ver­brei­te­tes Ge­rät, bei dem sich die meis­ten An­wen­der nicht al­le Ta­ge ein­log­gen, ist die Fritz­box. Zu­nächst bie­tet der Her­stel­ler AVM auf der Kon­fi­gu­ra­ti­ons­ober­flä­che un­ter „Sys­tem -> Push Ser­vice“die Mög­lich­keit, ei­ne E-Mail-Adres­se zu hin­ter­le­gen, an die man sich das ver­ges­se­ne Kenn­wort schi­cken las­sen kann. Hat man dies im Vor­feld aber nicht ein­ge­rich­tet, half bis vor kur­zem die Soft­ware Bru­tus über ei­nen Bru­te-Force-An­griff. Al­ler­dings er­for­dert das Tool je­nen Tel­net-Zu­gang, den AVM in der neu­es­ten Firm­ware de­ak­ti­viert hat. Wer sei­ne Rou­ter-Firm­ware schon ak­tua­li­siert und zu­dem die Ein­stel­lun­gen ge­si­chert hat, kann das Ge­rät aber „hart zu­rück­set­zen“, dann die Firm­ware down­gra­den, die Ein­stel­lungs­da­tei ein­spie­len, mit ei­nem an­ge­schlos­se­nen Te­le­fon über die Tas­ten­fol­ge „# 96*7*“den Tel­net-Zu­gang frei­schal­ten und da­nach den Pass­wort­an­griff star­ten – et­was müh­sam, es gibt aber gu­te Er­klä­run­gen im Netz (www. pcwelt.de/rlit0E). Die Soft­ware-Über­sicht auf Sei­te 57 lis­tet wei­te­re Tools auf, mit de­nen sich Pass­wör­ter er­mit­teln las­sen: Das reicht von den im Brow­ser ge­spei­cher­ten Kenn­wör­tern bis zu Zip-Ar­chi­ven. Nicht al­le Ein­zel­pro­gram­me sind in die­ser Ta­bel­le ex­pli­zit ge­nannt, denn ins­be­son­de­re die Soft­ware-Her­stel­ler El­com­soft und Nir­soft bie­ten ei­ne Viel­zahl für di­ver­se Ein­satz­zwe­cke. Ein Teil die­ser Soft­ware ist kos­ten­los, ein Teil kos­ten­pflich­tig und nicht gera­de bil­lig. So ver­langt El­com­soft für sein um­fas­sen­des Pass­word Re­co­very Bund­le fast 1600 Euro.

In den ver­gan­ge­nen Jah­ren wur­den von zahl­rei­chen Groß­un­ter­neh­men Kun­den­da­ten in­klu­si­ve der Pass­wör­ter ge­stoh­len. All die da­bei ver­wen­de­ten Mus­ter sind längst in „Wör­ter­bü­chern“zum Aus­spä­hen ge­spei­chert.

Der USB Rub­ber Du­cky agiert als pro­gram­mier­ba­re Tas­ta­tur und kann nicht nur PCs, son­dern auch Smart­pho­nes und Ta­blet-PCs sys­te­ma­tisch an­grei­fen.

Goog­le bie­tet wie vie­le an­de­re In­ter­net­diens­te die Mög­lich­keit, On­li­ne­Kon­ten zu­sätz­lich per SMS-Co­de auf ei­ne zu­vor an­ge­ge­be­ne Te­le­fon­num­mer ab­zu­si­chern.

An­dro­id-Ge­rä­te las­sen sich über die Fern­in­stal­la­ti­on von Apps ver­gleichs­wei­se ein­fach ent­sper­ren, wenn man den Zu­gangs­code für sei­nen ge­sperr­ten Bild­schirm (Lock­screen) ver­ges­sen hat.

Über die Soft­ware Bru­tus kann man das ver­ges­se­ne ei­ge­ne Pass­wort für die Kon­fi­gu­ra­ti­ons­ober­flä­che der Fritz­box her­aus­fin­den – auch wenn die Pro­ze­dur et­was um­ständ­lich ist.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.