2

Netzlexikon C wie Crack Me If You Can

In nur zwei Stunden haben Hacker 115 Millionen Passwörter des Karriere-Netzwerks LinkedIn geknackt - ohne böse Absicht. Sie wollen zeigen, was schlechte Passwörter sind. Gelernt haben sie das auf "Crack Me If You Can"-Contests.

Von: Hardy Funk

Stand: 24.05.2016

Netzlexikon Crack me if you can | Bild: Grafik/BR

Was ist eigentlich "Crack Me If You Can"?

Auf jeden Fall kein neuer Film mit Leonardo DiCaprio. "Crack Me If You Can" ist ein Hacker-Wettbewerb, bei dem es nur um eine Sache geht: Passwörter knacken – beziehungsweise: cracken. Einmal im Jahr wird der "Crack Me If You Can"-Contest auf der Hacker-Konferenz DEF CON in Las Vegas ausgetragen. Gesponsert von der IT-Sicherheitsfirma KoreLogic. Er ist so etwas wie die inoffizielle WM der Passwort-Cracker.

Was passiert dort genau?

Verschiedene Teams versuchen, so viele Passwörter wie möglich zu knacken. Die besten drei Teams bekommen ein Preisgeld. Aber darum geht es gar nicht. Es geht darum, der Beste zu sein. Und zu zeigen: Eure Passwörter sind nicht so sicher, wie ihr denkt. Dafür testen die Cracker neue Strategien, Programme und Algorithmen, mit denen auch die kompliziertesten Passwörter geknackt werden können.

Haben die schon irgendwas gecrackt von dem ich gehört hab?

Zu Trockenübungszwecken nimmt die Community beispielsweise  große Mengen geleakter Passwörter von allen möglichen Online-Plattformen. Sie müssen also kein System mehr extra selbst hacken, sondern nur noch die Passwörter entschlüsseln. Zuletzt haben sie sich die bereits 2012 geleakten Passwörter des Karriere-Netzwerks LinkedIn vorgenommen. Auch wenn gerade gar kein Contest war. Die "Crack Me If You Can"-Community hat in nur zwei Stunden 115 Millionen Passwörter geknackt – mehr als die Hälfte der insgesamt 177 Millionen Passwörter von LinkedIn.

Einen Tag später hatten sie 90 Prozent der Passwörter geknackt. An den restlichen 10 Prozent dürften sie jetzt zwar tatsächlich noch ein paar Monate sitzen. Aber auch die werden sie wohl irgendwann raus haben.

Heißt das jetzt, kein Passwort ist wirklich sicher?

Die Aktion zeigt vor allem, wie wichtig es ist, dass Netz-Firmen die Passwörter und Daten ihrer User so gut wie möglich schützen. Denn kommen Cracker einmal an die Daten, ist es nur eine Frage der Zeit, bis sie geknackt werden. Das Absurde: Es macht nur einen kleinen Unterschied, ob das Passwort "123456" heißt, oder ob es ein superkomplexes 16-stelliges Passwort ist. Beide können früher oder später geknackt werden, wenn die Daten nicht richtig gesichert sind.

Also sind längere Passwörter jetzt doch nicht so viel sicherer?

Doch. Aber die "Crack Me If You Can"-Community knackt nicht nur Passwörter. Sie analysiert sie anschließend auch. Das häufigste Passwort bei LinkedIn war natürlich "123456". Mehr als eine Million User haben es verwendet. Was die Cracker noch herausgefunden haben: Auch die komplizierteren Passwörter folgen bestimmten Mustern: Zum Beispiel dem Muster "Wort – Jahreszahl – Ausrufezeichen". Diese Muster können die Cracker in ihre Algorithmen eingeben. Und so auch vermeintlich sichere Passwörter knacken.

Dann kann ich also gleich ein einfaches Passwort nehmen?

Nein. Die Crack-Programme der "Crack Me If You Can"-Community machen zwar keinen großen Unterschied zwischen "123456" und, sagen wir mal, "Michael2016$". Einzelne Cracker aber schon: Die werden die häufigsten Passwörter zuerst probieren. Und könnten die dann auch knacken, wenn die Daten nicht vorher geleakt sind. Es gilt nach wie vor: Wir müssen uns alle noch viel schwierigere Passwörter einfallen lassen – Passwörter, die keinen Mustern folgen. Und wir sollten uns wirklich langsam auf zusätzliche Account Sicherungen wie die Zwei-Faktor-Authentifizierung verlegen. Aber das steht in einem anderen Netzlexikon Eintrag. Unter Z.


2