Passwort weg? Kein Problem!
So kommen Sie wieder an Ihre Daten
DIE VORBEMERKUNG ist wichtig: In diesem Artikel geht es nicht um das Ausspähen oder Abfangen von Passwörtern, um damit an frem- de Daten zu gelangen – ausdrücklich auch nicht als „erwünschter Nebeneffekt“! Vielmehr wollen wir für gängige Geräte, Software, verschlüsselte Datenformate und Online-Konten aufzeigen, wie Sie wieder an Ihre Daten kommen, falls Sie sich ausgesperrt haben. Das ist gar nicht so unwahrscheinlich, denn schon nach einem zweiwöchigen Urlaub soll sich mancher PC-Nutzer nicht mehr an sein Windows-Passwort erinnern können. Ganz zu schweigen von einem vor Jahren verschlüsselten Zip-Archiv oder den diversen Internetzugängen, die sich im Laufe der Jahre so angesammelt haben. Und wer nicht stets das gleiche Passwort verwendet – wovon dringend abzuraten ist – oder seine Zugangscodes perfekt organisiert, braucht schon einmal Hilfe beim Erinnern oder Zurücksetzen.
„Die meisten Kennwörter stehen inzwischen in Passwortlisten und sind leicht und schnell zu knacken.“
Passwörter: Die Stärke, das Knackrisiko und etwas Theorie
Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe
Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an persönliche Daten, Shopping-Accounts oder gar Ihre gesamte digitale Identität kommt. Ein langes und mit diversen Kniffen versehenes Passwort ist nur vermeintlich sicher – wir zeigen noch, warum. Zum einen ist die verfügbare Leistung schon eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten so groß, dass selbst ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Nun lässt sich argumentieren, dass das Erhöhen der Passwortlänge die Zahl der Versuche und damit die Zeit für einen solchen BruteForce-Angriff drastisch steigen lässt. Das ist zwar richtig, allerdings nur in der Theorie. Denn die Hacker verwenden längst andere Methoden, und selbst Rainbow-Tabellen, die eine Vielzahl von Passwort-Hashwerten bereits gespeichert und damit die Zeit für einen Angriff erheblich verkürzt hatten, haben an Bedeutung verloren.
Listen mit Zugangscodes beschleunigen die Hacker-Angriffe
Nicht zuletzt aufgrund der zahlreichen OnlineEinbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter. Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen „wahrscheinlichsten“Ausdrücken durchzuführen: Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. Zwar sind simple Phrasen wie „12345..“, „Password“oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung. Beliebt ist beispielsweise das Ersetzen von Buchstaben nach dem „1337-Speak-Muster“: Aus dem „Taschenrechner“wird dann „745ch3nr3chn3r“, und selbst die gerne benutzte Verlängerung mit dem Dienst- oder Domainnamen ergäbe bei OnlineHändler Amazon zwar einen Ausdruck mit 21 Stellen. Ein solcher Zugangscode ist trotzdem wenig wert, denn solche „Regeln“sind in den Wörterbüchern längst berücksichtigt. Darüber hinaus existieren unsichere Systeme: So blockiert Android den Lockscreen für nur 30 Sekunden, wenn fünf Mal ein falscher Entsperrcode eingegeben wurde. Führt man die Eingaben automatisiert aus, ist eine 4-ZiffernKombination nach spätestens 17 Stunden überlistet. Der Tastaturroboter USB Rubber Ducky (35 Euro) arbeitet das automatisch ab. Erst die neue Android-Version 6.0 („Marshmal- low“) erhöht den Schutz etwas; deutlich sicherer sind hier iOS und Windows Phone.
Ausgesperrt: So setzen Sie Kennwörter Ihrer Online-Konten zurück
Einige Hintergründe zu Passwörtern inklusive Angriffen haben wir nun vorgestellt, die verschiedenen Möglichkeiten zum Erstellen von
Passwörtern erläutert der Kasten auf Seite 59. Hier geht es nun ums Zurücksetzen von Kennwörtern. Einen häufigen und zugleich einfachen Fall stellen Online-Konten von A wie Amazon bis Z wie Zattoo dar. All diese Dienste erlauben, das Passwort über die hinterlegte Mailadresse zurückzusetzen. Der dann in einer automatisch generierten Nachricht enthaltene individuelle Link gibt dem Nutzer die Möglichkeit, einen neuen Zugangscode zu setzen. Das verdeutlicht die zentrale Bedeutung des verwendeten Postfachs: Kennt nämlich ein Angreifer das Passwort für diesen Account, bekommt er über die Zurücksetzen-Funktion leicht Zugriff auf andere Dienste. Wählen Sie gerade hier einen besonders sicheren Schutz. Daneben existieren weitere Fallback-Mechanismen wie das Erzeugen eines Sicherheitscodes per App oder das Zusenden per SMS. Das stellt einen vom PC und Internet unabhängigen Weg dar. Google und andere Unternehmen ermöglichen eine solche Zwei-FaktorAnmeldung sogar als Standardmethode, sie lässt sich jeweils in den Kontoeinstellungen einrichten. Kaum wirksamen Schutz bieten dagegen Standardfragen, also solche nach dem Lieblingsessen, dem Namen der Mutter oder der Grundschule. Denn die Antworten – vorausgesetzt man beantwortet sie wahrheitsgemäß – lassen durch Social Engeneering oft leicht herausfinden. Einerseits lassen sich vergessene Zugangscodes für Online-Dienste leicht zurücksetzen und damit „knacken“, auf der anderen Seite bemerken die Unternehmen anders als bei Offline-Attacken schnell systematische Angriffe, weil sie über ihre Infrastruktur laufen. Deutlich mehr Gefahr droht, wenn Diebe in die ITSysteme solcher Firmen eindringen, dabei Kundendaten erbeuten und dann unbemerkt offline attackieren. Hier haben sie dann alle Werkzeuge und Zeit der Welt.
Zugänge knacken: So kommen Sie in Ihren Windows-PC und Mac
Im Fall eines vergessenen Passworts für das Windows-Konto: Erschrecken Sie bitte nicht, denn ein Knack-Tool ist nicht erforderlich. Vielmehr bekommen Sie in wenigen Minuten den vollen Zugriff auf Ihren PC, auch wenn Sie Ihr Zugangskennwort vergessen haben. Das funktioniert sogar im aktuellen Windows 10, die Anleitung dazu finden Sie als Tipp auf unserer Webseite (www.pcwelt.de/2066829). Auf die gleiche Art und Weise lässt sich das Passwort nicht nur zurück-, sondern sogar neu setzen. Wie, das erklärt unser Video (www.pcwelt.de/ s1g0ea). Bei Windows XP und Vista hat Microsoft die Passwörter noch anders gespeichert, da benötigen Sie tatsächlich ein Programm wie Ophcrack oder Offline NT Windows Password & Registry Editor (beides auf DVD). Möchten Sie Änderungen an den Bios-Einstellungen ändern, lässt sich das System und damit ein Bios-Passwort durch Umsetzen des „Clear CMOS“-Jumpers auf der Platine zurücksetzen (www.pcwelt.de/1810557). Häufig helfen aber schon die Standardpasswörter der Board- und Hardware-Hersteller (www.gaijin.at/manbios. php). Beim Mac stehen verschiedene Optionen zur Verfügung, falls man sich versehentlich ausgesperrt hat: Eine davon ist die Rettungs- oder Recovery-Partition (www.pcwelt.de/2041797).
Mobilgeräte: Unterschiede bei Android, iOS und Windows Phone
Haben Sie sich bei Ihrem Android-Gerät ausgesperrt, müssen Sie das Gerät keineswegs unter Verlust aller Daten zurücksetzen. Vielmehr können Sie, sofern Sie Zugang zu Ihrem Google-Account haben, Apps zum Entsperren des Sperrbildschirms vom PC aus – so wie es bei allen anderen Applikationen auch möglich
ist. Kostenlos ist die App [Free] Screen UnLock/ Lock (www.pcwelt.de/vttc), für die App Screen Lock Bypass Pro (www.pcwelt.de/qw8h) muss man 3,20 Euro bezahlen. Die Handhabung beider Apps ist äußerst einfach. Wenn Sie dennoch Hilfe benötigen, bei uns finden Sie sie online unter www.pcwelt.de/1897728. Etwas aufwendiger ist es, das Sperrmuster des Mobilgerätes per Android Debug Bridge zu entfernen; dazu haben wir einen ausführlichen Ratgeber (www.pcwelt.de/1897719). Beim iPhone ohne Jailbreak existieren jenseits der offiziellen Wege (https://support.apple. com/de-de/HT204306) keine Tricks, um den Lockscreen zu umgehen. Immerhin lässt sich über iTunes ein zuvor gespeichertes Backup wiederherstellen, so dass man das Gerät anders als beim „Wartungszustand“nicht ganz von neuem Aufsetzen muss. Smartphones mit Windows Phone lassen sich aus der Ferne (www.windowsphone.com/de-de/ my/find) löschen und zurücksetzen. Alternativ geht das über eine etwas mühsame Abfolge der Tasten am Gerät (www.pcwelt.de/BAaMj7). In jedem Fall ist nicht nur der Lockscreen gelöscht, sondern auch alle Handyinhalte.
Zugang zur Fritzbox wiederherstellen – und weitere Tools
Ein weiteres verbreitetes Gerät, bei dem sich die meisten Anwender nicht alle Tage einloggen, ist die Fritzbox. Zunächst bietet der Hersteller AVM auf der Konfigurationsoberfläche unter „System -> Push Service“die Möglichkeit, eine E-Mail-Adresse zu hinterlegen, an die man sich das vergessene Kennwort schicken lassen kann. Hat man dies im Vorfeld aber nicht eingerichtet, half bis vor kurzem die Software Brutus über einen Brute-Force-Angriff. Allerdings erfordert das Tool jenen Telnet-Zugang, den AVM in der neuesten Firmware deaktiviert hat. Wer seine Router-Firmware schon aktualisiert und zudem die Einstellungen gesichert hat, kann das Gerät aber „hart zurücksetzen“, dann die Firmware downgraden, die Einstellungsdatei einspielen, mit einem angeschlossenen Telefon über die Tastenfolge „# 96*7*“den Telnet-Zugang freischalten und danach den Passwortangriff starten – etwas mühsam, es gibt aber gute Erklärungen im Netz (www. pcwelt.de/rlit0E). Die Software-Übersicht auf Seite 57 listet weitere Tools auf, mit denen sich Passwörter ermitteln lassen: Das reicht von den im Browser gespeicherten Kennwörtern bis zu Zip-Archiven. Nicht alle Einzelprogramme sind in dieser Tabelle explizit genannt, denn insbesondere die Software-Hersteller Elcomsoft und Nirsoft bieten eine Vielzahl für diverse Einsatzzwecke. Ein Teil dieser Software ist kostenlos, ein Teil kostenpflichtig und nicht gerade billig. So verlangt Elcomsoft für sein umfassendes Password Recovery Bundle fast 1600 Euro.