So knacken Sie Ihr vergessenes Passwort

Damit eines klar ist: In diesem Artikel geht es nicht darum, Menschen zu befähigen, andere auszuspähen und an ihre Daten zu gelangen. Das soll nicht einmal ein Nebeneffekt dieses Artikels sein. Vielmehr ist das Ziel, Sie in die Lage zu versetzen, wieder an Ihre Daten zu gelangen, wenn Sie einmal ein wichtiges Passwort vergessen haben sollten. Denn das passiert häufiger als man denkt. Manch einer ist nach einem zweiwöchigen Urlaub nach Hause gekommen und konnte sich an bestimmte Passwörter nicht mehr erinnern. Umso weniger erinnert man sich an Passwörter von Archiven, die man seit einem Jahr nicht mehr besucht hat. Eine sehr gefährliche Lösung besteht darin, immer dasselbe Passwort zu verwenden. Davon ist abzuraten. Deswegen kann es schon einmal passieren, dass eine kleine Gedächtnisauffrischung benötigt wird.

Immer bestens geschützt sind Sie mit Avira Antivirus Pro - jetzt informieren

Theorie und Praxis beim Anlegen und Knacken von Passwörtern

Es ist ausgesprochen schwierig, die Zuverlässigkeit eines Passworts einzuschätzen. In den letzten Jahren haben sich Entwicklungen ergeben, die die Sicherheit von Passwörtern - selbst von langen, kryptischen - infrage stellen. Wahrscheinlichkeitsrechnung und die Theorie können hier nur bedingt weiterhelfen. Das liegt daran, dass Rechner immer leistungsstärker werden. Selbst ein kleiner Rechnerverbund mit mehreren Grafikkarten kann innerhalb weniger Stunden ein achtstelliges Passwort durch Versuch-und-Irrtum erraten.

Theoretisch lässt sich also durch das Verlängern des Passworts dessen Sicherheit erhöhen. In der Praxis funktioniert das aber leider nicht. Zum einen wird durch diese Methode lediglich die Zeit verlängert, bis das Passwort durch stumpfes Raten ermittelt ist. Zum anderen kommen bei Hackern längst andere Methoden zum Einsatz, mit denen Passwörter geknackt werden können. Diese sind so effizient, dass sie die bis vor kurzem gängigen "Rainbow-Tabellen", die eine Menge Zeit beim Knacken von Passwörtern eingespart haben, bedeutungslos machen.

Wenn Listen voller Zugangscodes zum Einsatz kommen

Hacker haben durch das Abgreifen von Kundendaten in den letzten Jahren eine Vielzahl gängiger Passwörter kennengelernt. Wenn diese mit mehrsprachigen Wörterbüchern in Verbindung gebracht werden, können gezielt Angriffe gegen Computersysteme mit diesen "wahrscheinlichen" Codes gestartet werden. Millionen bekannter Passwörter zu prüfen kostet deutlich weniger Zeit, als Billiarden von Möglichkeiten systematisch zu prüfen und auszuschließen. Und der Erfolg gibt den Hackern Recht.

Viele Nutzer versuchen, dieser Entwicklung gegenzusteuern. So werden bekannte Passwörter wie "12345", "Passwort" oder Geburtstage und Namen von Familienmitgliedern und Partnern immer seltener als Passwörter verwendet. Trotzdem werden bei Passwörtern nach wie vor gängige Muster verwendet, die sich leicht überprüfen und gegebenenfalls knacken lassen. Ein sehr beliebtes Muster ist das 1337-Speak-Muster. Hierbei wird aus dem Wort "Taschenrechner" zum Beispiel das Passwort "745ch3nr3chn3r". Durch die Kombination mit einem Domainnamen wird aus "Amazon" dann ein Passwort mit 21 Stellen. Da solche Muster aber bekannt und in den Listen der Hacker mit gängigen Passwörtern integriert sind, ist selbst ein so langes und vermeintlich kryptisches Passwort wenig sicher.

Des Weiteren lässt die Sicherheit bestimmter Systeme zu wünschen übrig. Der Lockscreen von Android wird beispielsweise nur 30 Sekunden lang gesperrt, wenn ein Passwort fünfmal falsch eingegeben wurde. Somit dauert das Knacken eines 4-stelligen Passworts maximal 17 Stunden. Diese Aufgabe übernimmt zum Beispiel der Tastaturroboter USB Rubber Ducky. Die Android-V-Version 6.0 ist in diesem Zusammenhang etwas sicherer, kommt aber nicht an die Sicherheitssysteme von Windows und iOS heran.

Neue Passwörter für Online-Konten erstellen

In diesem Abschnitt wird es darum gehen, wie die Passwörter von Online-Konten zurückgesetzt werden können, wenn das entsprechende Passwort vergessen wurde. Besonders leicht ist das, wenn das entsprechende Passwort auf einer Plattform wie Amazon vergessen wurde. Solche Anbieter bieten nämlich die Möglichkeit, ein Passwort über eine bei der Anmeldung angegebene E-Mail-Adresse zurücksetzen zu lassen. An die Adresse wird eine automatisch generierte E-Mail mit einem Link versendet. Über diesen ist es dann möglich, ein neues Passwort zu wählen. Deswegen ist dieses E-Mail-Konto von so essenzieller Bedeutung. Hat ein Unbefugter nämlich Zugriff zu diesem Konto, kann er sämtliche Passwörter eines Nutzers zurücksetzen und hat somit auch auf sämtliche anderen Dienste Zugriff. Insbesondere für diese Adresse sollten daher alle nur erdenklichen Sicherheitsvorkehrungen getroffen werden.

Es gibt aber noch weitere Mechanismen, über die ein neues Passwort erzeugt werden kann. Hierzu zählen unter anderem Apps oder SMS, über die ein Sicherheitscode verschickt werden kann. Somit sind Sie unabhängig von PCs und dem Internet, wenn Sie ein neues Passwort benötigen. Einige Unternehmen wie Google bieten dieses Vorgehen als eine Standardeinstellung an, die in den Kontoeinstellungen vorgenommen wird. Sicherheitsfragen bieten hingegen keinen zuverlässigen Schutz. Denn die Antworten auf Fragen nach dem Lieblingsessen, dem Geburtstag der Schwester oder dem Namen des Haustieres lassen sich über die sozialen Netzwerke oft leicht ermitteln.

Es ist somit relativ leicht, Passwörter zurückzusetzen und diese zu überlisten. Allerdings werden systematische Hacker-Angriffe von den Unternehmen schnell erkannt. Diese funktionieren nur über die Infrastruktur der Unternehmen, die von diesen intensiv überwacht wird. Gefährlich wird es erst, wenn es Angreifern gelingt, in das Herz eines Unternehmens - die IT-Abteilung - einzudringen und persönliche Kundendaten zu stehlen. Dann ist es ihnen nämlich möglich, Nutzer offline anzugreifen. Hier haben sie für ihr Vorgehen dann sehr viel Zeit und können alle erdenklichen Tools nutzen.

Sind Werkzeuge zum Knacken von Passwörtern legal?

Das Strafgesetzbuch verbietet ausdrücklich das Abfangen und Ausspähen von Passwörtern mit dem Ziel, Zugriff auf weitere Daten zu erlangen. Entsprechend ist auch Software verboten, die ausschließlich diesem Ziel dient. Der sogenannte "Hacker-Paragraph" besagt, dass das Entwickeln, Verbreiten und Verkaufen und sogar allein das Zugänglichmachen einer solchen Software mit einer Freiheitsstrafe von bis zu einem Jahr geahndet werden können. Das bedeutet aber nicht, dass alle Tools zum Knacken von Passwörtern illegal sind. Das wurde vom Bundesverfassungsgericht höchstrichterlich festgestellt. Denn Software, die sowohl für die Verbesserung der Sicherheit in einem Unternehmen als auch zum Begehen von Straftaten genutzt werden kann, ist nicht strafbar. Die Software darf aber ausschließlich zu dem eigentlich bestimmten Zweck verwendet werden: zum Knacken eigener Passwörter.

So knacken Sie Ihre eigenen Passwörter in Windows und Mac

Wenn Sie das Passwort für Ihr Windows-Konto vergessen haben, ist der Einsatz eines Tools zum Knacken von Passwörtern nicht erforderlich. Denn selbst bei einem vergessenen Passwort ist es innerhalb weniger Minuten möglich, wieder Zugang zu Ihrem Konto zu erhalten. Das gilt selbst für Windows 10. Hier ist es je nach Wunsch möglich, ein Passwort zurück- oder neu zu setzen. Unter XP und Vista wurde allerdings noch ein Passwort-Tool benötigt, da Microsoft die Passwörter unter diesen Betriebssystemen noch anders abgespeichert hat. Es ist sogar möglich, Änderungen am BIOS vorzunehmen und das entsprechende Passwort zurückzusetzen. Hierfür muss der Clear-CMOS-Jumper auf der Platine umgesetzt werden. Oftmals genügt aber der Einsatz des Standardpassworts der Hersteller, wenn ein solches Problem auftritt. Beim Mac kann bei Verlust des Passworts eine Rettungs- oder Recocery-Partition eingesetzt werden.

Das geeignete Vorgehen bei Mobilgeräten

Wenn das Zugangspasswort für ein Android-Gerät vergessen wurde, sind die darauf befindlichen Daten noch längst nicht verloren. Der Sperrbildschirm lässt sich nämlich vom Google-Konto aus mit einer App entsperren. Mit der App [Free] Screen UnLock/Lock ist dieses Vorgehen kostenlos. Die App lässt sich einfach und intuitiv einsetzen. Wenn ein Passwort hingegen per Android Debug Bridge entfernt werden soll, ist das Vorgehen etwas komplizierter. Ein iPhone ohne Jailbreak lässt sich leider nicht durch Tricks jenseits der offiziellen Maßnahmen entsperren. Allerdings kann via iTunes ein Backup aktiviert werden, sodass das Gerät nicht wieder von Grund auf neu eingerichtet werden muss. Hierfür ist es jedoch nötig, dass zuvor ein Backup erstellt wurde. Smartphones mit dem Betriebssystem Windows Phone können mühelos von einem anderen Gerät aus zurückgesetzt werden. Ebenfalls möglich, aber aufwendiger, ist es, das Telefon mit einer Tastenfolge am Gerät selbst zurückzusetzen. Allerdings wird hierdurch nicht nur der Lockscreen entfernt, sondern auch alle Inhalte auf dem Handy.

So gelingt der erneute Zugriff auf die Fritzbox

Dass man sich mit einem Passwort in die Fritzbox einloggt, kommt relativ selten vor. Entsprechend häufig werden die entsprechenden Passwörter vergessen. AVM bietet deswegen die Möglichkeit, auf der Konfigurationsoberfläche eine E-Mail-Adresse zu hinterlegen. An diese wird das Passwort dann gesendet, falls es einmal vergessen werden sollte. Wenn eine solche Adresse nicht hinterlegt wurde, konnte einst mit der Software Brutus ein Zugang hergestellt werden. Allerdings erfordert dieses Tool einen Telnet-Zugang, der mittlerweile von AVM deaktiviert wurde. Es gibt aber noch einen Weg, um Zugriff zu erlangen, allerdings ist dieser etwas mühsam: Hierfür müssen zunächst die Firmware aktualisiert und alle Einstellungen gespeichert werden. Anschließend wird der Befehl "hart zurücksetzen" ausgewählt, die Firmware downgegradet und die Einstellungsdatei eingespielt. In einem weiteren Schritt ist es dann erforderlich, in ein angeschlossenes Telefon die Tastenkombination "#96*7*" einzugeben, wodurch der Telnet-Zugang freigeschaltet wird. Anschließend kann das Zurücksetzen des Passworts mit Brutus erfolgen.

So erstellen und merken Sie sich sichere Passwörter

Es ist nicht immer leicht, alle Konten mit einem zuverlässigen Passwort zu sichern. Es verbietet sich aber, ein Passwort für mehrere Konten zu verwenden. Sobald ein Hacker nämlich dieses eine Passwort herausbekommen hat, hat er Zugriff auf sämtliche Konten. Bekannte Phrasen, Zahlenkombinationen oder leicht veränderte Begriffe sind in sogenannten "Wörterbüchern" und "Kennwortlisten" abgespeichert, die beim Hacken direkt geprüft werden. Solche Passwörter sind also denkbar unsicher. Zuverlässigeren Schutz gewinnen Nutzer daher über die Zwei-Faktor-Authentifizierung.

Passwort-Manager sind sehr bequem, weil sie alle Passwörter abspeichern, sodass man sich diese nicht mehr selbst merken muss. Sobald sich jedoch ein Trojaner in diesen Manager eingeschlichen hat, besitzen die Hacker direkten Zugang zu allen Passwörtern und Konten. Das Abspeichern von Codes in der Cloud ist ebenfalls potenziell bedenklich. Man legt seine Daten-Sicherheit dann in die Hände eines einzigen Unternehmens.

Es ist daher empfehlenswert, für jeden Dienst einen eigenen, abgewandelten Code als Passwort zu verwenden. 10-Stellige Passwörter mit Groß- und Kleinschreibung sowie diversen Sonderzeichen sind besonders empfehlenswert. Ein Passwort wie G+iu8/hE3; ist zwar schwer zu merken, aber rundum sicher. Ein solches Passwort kann dann abgewandelt werden, indem zum Beispiel die Domainendung oder ein Kürzel für den Dienst am Ende eingebaut wird. Auch Zahlen können nach einem bestimmten Muster angehängt werden. Das klingt zunächst komplizierter als es ist. Wenn das Passwort Sonderzeichen enthält, ist es weitestgehend sicher. Aus den systematisch vorgenommenen Veränderungen lassen sich dann keine Rückschlüsse auf das Passwort ziehen. Selbst wenn ein Zugangscode gestohlen wurde, können die sich daraus ableitenden anderen Passwörter nicht rekonstruiert werden, da alles willkürlich erscheint. Erst wenn mehrere Passwörter gestohlen werden, kann es gefährlich werden. Dann sind Hacker nämlich in der Lage, Muster zu erkennen und Rückschlüsse auf andere Passwörter zu ziehen.

Immer bestens geschützt sind Sie mit Avira Antivirus Pro - jetzt informieren