Das Open-Sourcetool HashCat ist nun in der Lage auch längere Passwörter zu knacken. Auch achtstellige Windows NTLM-Passwort-Hashes sind keine Hürde mehr. 2,5 Stunden und solche Passwörter sind geknackt! Kennwörterphrasen sind tatsächlich viel sicherer und im Übrigen einprägsamer als komplexe aber kurze Passwörter, wie z.B. fF~(sd*2.

2011 bewies der Sicherheitsforscher Steven Meyer, dass er ein achtstelliges (53-Bit) Passwort in 44 Tagen knacken konnte. Oder in sagenhaften 14 Sekunden, wenn er eine GPU- und Regenbogen-Tabelle verwendete. Das sind vorberechnete Tabellen zur Umkehrung von Hash-Funktionen. 2015 gab der Entwickler Jeff Atwood an, dass die durchschnittliche Passwortlänge etwa acht Zeichen sei. Daran hat sich bis heute nicht viel geändert. Was sich aber seitdem geändert hat, ist, dass derzeit geschätzte 620 Millionen gestohlenen Anmeldedaten im Darkweb zum Verkauf angeboten werden. Durchaus beängstigend. Die Zeit ist also reif, Passwörter zu überprüfen!

Viel nachdenklicher sollte machen, welche Kapazität die aktuelle Version der HashCat Software hat: In einem Twitter-Post gaben die Entwickler bekannt, was eine händisch nachgebesserte Version 6.0.0 HashCat beta kann. Es setzt acht Nvidia GTX 2080Ti GPUs in einem Offline-Angriff ein, die den bisherigen NTLM-Rekord einer Krack-Geschwindigkeit von 100GH/s (Gigahashes pro Sekunde) übertreffen.

Ein Hacker sprach ganz offen davon, dass ein achtstelliges Passwort,

„egal wie komplex es auch sein mag, in weniger als 2,5 Stunden geknackt werden kann. Achtstellige Passwörter sind tot.“

Letzteres gilt zumindest im Zusammenhang mit Hackerangriffen auf Unternehmen. Vor allem gegen solche, die auf Windows und Active Directory angewiesen sind. Bei NTLM handelt es sich um ein altes Microsoft-Authentifizierungsprotokoll. NTLM wurde inzwischen bei Active Directory durch Kerberos ersetzt. Es wird allerdings immer noch verwendet, um Windows-Passwörter lokal oder in der NTDS.dit Datei in Active Directory Domain Controllern zu speichern.

Auch wenn ein Unternehmen Kerberos verwenden, sind durch die parallele interne Verwendung von NTLM Angriffe möglich. Diese haben meist zum Ziel, den Hash der Passwörter auszulesen. Und damit stehen wir wieder vor dem gleichen Problem. Um den Hash der Passwörter vor solchen Knackversuchen zu schützen und das Passwort in Klartext zu erhalten sind acht Zeichen für ein Passwort zu wenig.

Einige mögliche Angriffe gegen Kerberos:

• Overpass the Hash
• Kerberoasting
• Compromising NTDS.DIT

Diese kürzere Hash-Passwörter zu knacken, ist gar nicht so teuer. Es gibt verschiedene Cloud-Services die das notwendige Rechenpotenzial anbieten. Die Anschaffung von potenten Grafikkarten (GPU-Leistung) dafür würde derzeit etwa 10.000 US-Dollar kosten. Für das Knacken von achtstelligen Windows NTLM-Passwort-Hashes kann es in der Amazon Cloud für nur 25 US-Dollar gemietet werden.

Interessant ist, dass Anwendern unterschiedliche Passwortlängen empfohlen werden. NIST empfiehlt achtstellige Passwörter. Viele Internetanbieter verlangen aber nur sechs Stellen. Was ist also sicher?

Empfehlenswert sind mindestens vier, besser fünf zufällig zusammengestellte Wörter, wie beispielsweise „Korrekt,Pferd,Batterie,Stapel“, die mit einem Sonderzeichen getrennt werden. Wer Passworte durch einen „Passwort-Safe“, „Passwort-Manager“ oder ähnliches verwaltet, kann auch ein beliebiges zufälliges Passwort in maximal möglicher Länge verwenden. Idealerweise erzeugen solche „Passwort-Safes“ diese gleich per Wunsch mit.

Für sensible Logins sollte jedoch zusätzlich eine Zwei-Faktor-Authentifizierung aktiviert werden.

Siehe auch:

• Wie wähle ich sichere Passwörter? Wie schütze ich sensible Systeme mit Passwörtern?

Artikel von theregister.co.uk: 14.02.2019: Use an 8-char Windows NTLM password? Don’t. Every single one can be cracked in under 2.5hrs

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0