Sicherheit

Anleitung: Logins knacken – auch für Laien

Mit ein paar Klicks Bruteforce- und Wörterbuch-Attacken fahren.

Wie oft gebt Ihr irgendwo Nutzername und Passwort ein? Vermutlich ständig. Sind die Passwörter gut? Falls nicht, könnt Ihr hier mal sehen, wie irre einfach man Logins angreifen kann. Und auch für Notfälle ist das eine nützliche Fähigkeit: Ihr habt ein Passwort vergessen? Auch zu guten Zwecken kann man „hacken“ …

Geht das überhaupt?

Eines gleich vorweg: Ihr werdet hier nicht lernen, wie Ihr Facebook-, Google- oder ähnliche Konten knackt – das geht so einfach nämlich nicht. Ihr werdet hier einen so genannten Bruteforce-Angriff durchspielen: Brachiales Durchprobieren von Passwörtern. Das setzt voraus, dass Ihr überhaupt so viele Passwörter ausprobieren dürft, wie Ihr wollt. Seriöse Dienstbetreiber setzen da natürlich Riegel vor. Aber wenn Ihr zum Beispiel daheim ein NAS, ein Mediacenter oder sonst ein Netzwerkgerät betreibt, habt Ihr schon schöne Opfer zum Attackieren. Leider funktioniert das aber auch bei vielen Diensten im Internet.

Das Tool der Wahl ist hier Hydra, das wir im Artikel Passwörter und Logins knacken schon mal gezeigt haben. Damals lief Hydra noch auf der Kommandozeile, heute geht das auch ganz komfortabel mit einer grafischen Oberfläche. Die Bedienung ist super simpel – man muss nur einmal verstehen, was da überhaupt passiert.

1. Hydra starten

Hydra ist – natürlich – ein für Linux gedachtes Tool, das installieren oder ganz einfach über die Live-CD Kali Linux nutzen könnt. Kali könnt Ihr wahlweise auf DVD brennen und einen echten Rechner davon starten oder die heruntergeladene ISO-Datei in einer virtuellen Maschine. Ruft über die Lupe im Dock die Suche auf, gebt hydra ein und startet das Programm.

hydra bruteforce
In Kali ist Hydra direkt vorinstalliert.

2. Ziel festlegen

Als Beispiel soll ein hier im Netzwerk laufendes Mediacenter auf Basis eines Tinker Boards als Opfer dienen. Im Reiter Target wählt Ihr Single Target, also einzelnes Ziel, und gebt dort die Adresse an, also zum Beispiel 192.168.178.100 oder tinker.fritzbox oder ähnlich. Bei Protocol müsst Ihr noch bestimmen, über welches Protokoll angegriffen werden soll. Als Beispiel bietet sich SSH an: SSH ist auf vielen Systemen standardmäßig verfügbar, erlaubt standardmäßig viele Login-Versuche und oft handelt es sich sogar um Standardpasswörter – welcher Laie ändert schon bei Out-of-the-Box funktionierenden Mediacentern das Passwort?

hydra bruteforce
Ein Ziel im LAN ist perfekt zum Testen.

Natürlich könnt Ihr auch andere Protokolle angreifen, zum Beispiel LDAP, SMB, FTP, SMTP, HTTP, Teamspeak, VNC und und und.

3. Angriffsmaterialien festlegen

Der eigentliche Spaß findet im Reiter Passwords statt. Um das Ganze nicht überkompliziert zu machen, nehmen wir den Nutzernamen mal als gegeben – ansonsten müsste man eine Liste mit möglichen Nutzernamen hinterlegen, die alle durchprobiert werden.

Im Bereich Password geht es nun um das eigentliche Ziel, das Passwort. Ihr habt hier zwei Möglichkeiten: Entweder Ihr gebt über Password List eine Liste mit Passwörtern an, die probiert werden sollen (Wörterbuch-Angriff). Listen mit Zehntausenden Passwörtern gibt es überall im Internet als Download – darunter all die Klassiker wie „123456“, „Passwort“, „Schatzi“ und so weiter.

Oder Ihr wählt die Option Generate: Hier werden einfach beliebige Zeichenkombinationen durchprobiert – schließlich würde sich ein Passwort wie zxqrj123 nicht in Wörterbüchern finden (Bruteforce-Angriff). Dazu gebt Ihr erst die minimale und dann die maximale und die Art der Zeichen an, zum Beispiel: 4:6:a1. Damit würden Passwörter mit vier bis sechs Zeichen, bestehend aus Kleinbuchstaben und Ziffern gebildet. Und diese Konstrukte in der Art abcd, a5cd8 oder zzzzzz werden dann ganz einfach durchprobiert.

hydra bruteforce
Passwortlisten versprechen eher Erfolg, aber generische Strings haben auch ihren Reiz – wenn man Zeit hat.

4. Tuning

Im Reiter Tuning sollt Ihr laut Programmratschlag beim SSH-Protokoll die Number of Tasks auf 4 reduzieren, da die Gegenseite nicht mehr gleichzeitige Tasks zulässt.

hydra bruteforce
4 Tasks sollen für SSH reichen.

5. Und Angriff!

Wechselt nun zum Reiter Start und klickt auf Start und – nuuuuuuuuuuuuuuuuun, seht selbst ;) Der Angriff geht von statten. Jedoch …

hydra bruteforce
Angriffe dauern und binden Ressourcen – bei ordentlichen Passwörtern.

… wenn Ihr genau hinseht: Im Beispiel hier sollten nur sechstellige Passwörter aus Kleinbuchstaben getestet werden – und diese über 300 Millionen Passwörter wären in schlanken 87.688 Stunden durchgelaufen. Nur 10 Jahre und Ihr seid drin.

hydra bruteforce
Das dauert mir jetzt etwas zu lange …

6. Schnellllllller!!!

Reine Bruteforce-Angriffe sind eine mühselige Angelegenheit, immer begrenzt durch Ressourcen und selten erfolgsversprechend – zumal Passwörter in der Realität wohl meist etwas komplexer sind. Wörterbuch-Angriffe hingegen sind vielversprechend. Hier hängt es dann von zwei Aspekten ab: Hat das Opfer gute Passwörter? Bei Laien ist die Antwort meistens nein. Um es klar zu sagen: Im Grunde ist kein Wort als Passwort geeignet, dass bei einer Google-Suche auch nur einen wörtlichen Treffer ausspuckt! Zweitens muss das Wörterbuch gut sein – und da ist die Auswahl riesig. Es gibt spezialisierte Listen mit den weltweit häufigsten Passwörtern, aber man kann auch einfach die komplette Wikipedia als Textdatei herunterladen und zu einer Liste verwursten – inklusive aller Wörter, die Nutzer in den Kommentaren und Diskussionen nutzen.

Aber Ihr merkt schon: So einfach Hydra Bruteforce- und Wörterbuch-Angriffe auf Logins im Netz macht – in der Realität genügt das meist nicht. Zumindest nicht bei großen, seriösen Anbietern und Diensten. Aber wenn Ihr zum Beispiel eine kleine Homepage betreibt, Euch um den Webauftritt Eures Sportvereins kümmert oder einen klitzekleinen E-Mail-Anbieter nutzt, könntet Ihr so mal schön testen, ob nicht schon eine Wörterbuch-Attacke mit einem angepassten Wörterbuch funktioniert. Zum Beispiel könntet Ihr Mitgliederlisten, Homepage- und Social-Media-Inhalte verwenden. Ihr outet Euch bei Facebook als Hardcore-Fußball-Fan? Würde eine Liste mit Fachbegriffen, Vereinen und Spielernamen vielleicht zum Erfolg führen? Oder ein Insider-Joke Eures Vereins? Falls ja, solltet Ihr spätestens jetzt merken, wie wichtig ein gutes Passwort ist.

Wenn es Schalke04 oder CR7 oder PassWort123 oder ähnlich mies ist, könnte Euch jeder Möchtegern-Hacker erfolgreich aufs Korn nehmen. Wenn es „Ax0hk4“ ist, ist es gegen Bruteforce und Wörterbuch bereits halbwegs sicher. Nun, jetzt da es in der Welt ist …

hydra bruteforce
Oben seht Ihr die fehlerhaften Anmeldeversuche im Terminal des Opfers.

P.S.: Dass Ihr mit Hydra nur eigene Seiten angreifen sollt (und dürft), um damit Sicherheitslücken aufzudecken, versteht sich wohl von selbst – aber da die fehlgeleiteten technikfernen Moralapostel bei solchen Themen meist nicht weit weg sind …

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

5 Kommentare

    1. Halt mal die Füße still, wir leben in einer Besatzungszone wo außer die SHEF Gesetze nichts rechtmäßig ist.
      Die Mär von Abgeordneten, Polizei ( seit 2018 Constelli), Rechtsanwälten Notaren und wie die ganzen Verbrecher sich nennen ist nichts rechtens. Sicherlich hast du auch einen Bundesperdonalausweis und bestätigst so deine staatenlosigkeit. Siehe Haager Landkriegsordnung. Ergo wo kein Gesetz bzw. Gültigkeitsbereich auch keine Straftat. Nun immer schön weiter marschieren mit der NAZI BRiD.

    2. Ja, sehe ich genauso. Aber es ist auch wiedermal völlig pervers, dass dieses Programm frei zu erwerben ist.

      Sind wir hier bei der Stasi oder was? 😉✌️

  1. Vorsicht: dünnes Eis. Wer meint, er könne jetzt mal eben den Rechner des Freundes/Arbeitskollegen oder gar einen Firmenserver hacken, begeht – nach aktueller Rechtslage – eine Straftat.
    Nicht umsonst ging vor einigen Jahren ein Aufschrei durch die Sicherheitsfirmen, deren Auftrag ‚Sicherheitslücken zu finden‘ durch eine Gesetzesnovelle nun kriminalisiert wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
Schließen

Ooopsi!

Bitte deaktiviere Deinen Adblocker.