Windows-Passwörter knacken und härten

Article by · 8. November 2017 ·

Windows ist durch Passwörter nach außen gegen neugierige Mitmenschen und nach innen gegen ebenso neugierige Mitbenutzer abgesichert. Leider passiert es ab und zu, dass jemand sein Passwort vergessen hat oder es unabsichtlich änderte, ohne sich das neue Passwort zu merken. Unbekannte Passwörter zu ermitteln ist keine große Herausforderung. Die internen Sicherheitsmechanismen von Windows sind so schlampig, dass es ziemlich einfach möglich ist, vergessene Passwörter wieder sichtbar zu machen, obwohl sie nicht im Klartext gespeichert werden, sondern als verschlüsselte Hash-Werte.

Passwörter extrahieren

Zunächst muss man an die Hash-Werte der Windows-Passwörter herankommen. Die stecken in zwei geschützten Dateien SAM und SYSTEM, die sich im Ordern C:\Windows\System32\config befinden (siehe Beitragsbild). Wer noch Zugang zu seinem Windows hat und Programme als Administrator ausführen darf, kann zum Auslesen der Hash-Werte Tools wie pwdump verwenden, z.B. pwdump7 von der Sicherheitsfirma Openwall.

pwdump7.exe wird als Administrator in einem Kommandozeilen-Fenster (cmd.exe) ausgeführt und die Ausgabe in der Datei hash.txt gespeichert. Allerdings muss der Virenscanner abgeschaltet sein oder der Befehl in einen vor dem Virenscanner geschützten Verzeichnis durchgeführt werden. pwdump7.exe wird sonst als unerwünschte Software erkannt.

pwdump7.exe > hash.txt

Wer keinen Zugang mehr zu Windows bekommt, bootet den Computer mit einen USB-Stick, auf dem sich Knoppix-Linux befindet, das direkt von der Knoppix-Webseite heruntergeladen werden kann. Hierdurch wird ein Linux-System gestartet, das direkt auf die Windows-Festplatte zugreift, ohne sie auszubauen zu müssen oder deren Inhalt zu verändern.

Nach dem erfolgreichen Booten des Sticks wird die C-Partition der Windows-Festplatte in /mnt eingehängt.

mount -o ro /dev/<partition> /mnt

( /dev/<partition> ist meist /dev/sda1 oder /dev/sda2 und lässt sich mit fdisk -l ermitteln.)

Anschließend werden die Dateien SAM und SYSTEM aus dem Verzeichnis /mnt/Windows/System32/config/ auf einen zweiten USB-Stick kopiert oder auch direkt auf den Knoppix-Stick.

In einem weiteren Schritt werden die Hash-Werte der Passwörter aus den Dateien SAM und SYSTEM extrahiert. Das geht unter Windows ebenfalls mit pwdump7 oder unter Linux mit einem Tool wie samdump2.

pwdump7 -s c:\Users\Kati\priv\SAM c:\Users\Kati\priv\SYSTEM > hash.txt

(adsbygoogle = window.adsbygoogle || []).push({});

Passwörter knacken

Wenn die verschlüsselten Passwörter in der hash.txt vorliegen, geht es an das Knacken der Hash-Werte. Dazu benötigt man Tools wie Hashcat oder John the Ripper, wobei für Hashcat unbedingt eine gute OpenCL- oder CUDA-fähige Grafikkarte von AMD, Intel oder NVidia eingebaut sein sollte. Auf einer Grafikkarte geht das Berechnen der Passwörter dank GPGPU wesentlich schneller. Allerdings bekommen unerfahrene Computerbenutzer Hashcat oft nicht zum Laufen. Für Anfänger ist John the Ripper besser geeignet. Beide Programmpakete sind in Linux-Distributionen wie Debian bereits enthalten. Windows-User können sich die Programme Hashcat oder John the Ripper kostenlos beim Hersteller holen.

Die Hashes der Windows-Passwörter sind in einem speziellen Format gespeichert, das sowohl alte LM-Hashes als auch neue NT-Hashes erfasst. LM-Hashes werden nur bis Windows-XP benutzt und sind ein sicherheitstechnischer Alptraum:

 <name>:<ID>:<LM-Hash>:<NT-Hash>:::

Die Hashwerte AAD3B435B51404EEAAD3B435B51404EE (LM-Hash) und 31D6CFE0D16AE931B73C59D7E0C089C0 (NT-Hash) kodieren eine leere Zeichenkette und bedeuten, dass die zugehörigen Passwörter nicht vergeben sind.

Je nachdem ob LM- oder NT-Hashes geknackt werden sollen, wird John the Ripper am einfachsten im Brut-Force-Modus gestartet:

  • LM-Hash: john –format=LM hash.txt
  • NT-Hash: john –format=NT hash.txt
  • NT-Hash (alternativ): john –format=NT2 hash.txt

Zusätzlich kann eine Wortliste für einen Wörterbuchangriff angegeben werden: -wordlist:<datei>

Um Zeit zu sparen ist es sinnvoll, zunächst nach Passwörtern in der Wortliste zu suchen und in einem zweiten Durchgang die Brut-Force-Methode anzuwenden. Die Berechnung kann jetzt eine Weile dauern, je nach Anzahl, Länge und Güte der Passwörter. Irgendwann liegen die Passwörter im Klartext vor und werden zusätzlich in der Datei john.pot unterhalb des Benutzerverzeichnisses gespeichert.

Die Passwörter [admin, 123456, Kochtopf, g2h23m] von vier Windows-Konten in dieserBeispieldatei werden in relativ kurzer Zeit berechnet.

LM-Hash knacken

Die LM-Hashes werden in 2,5 Minuten im Brute-Force-Modus ohne Wortliste gefunden.

NT-Hash knacken

Die gleichen Passwörter als NT-Hashes sind stärker verschlüsselt und dauern in zwei Durchgängen mit Hilfe des Linux-Standardwörterbuchs ungefähr 3,5 Minuten.

Passwörter härten

Das Berechnen der Passwörter aus den Hashes lässt sich verlangsamen, indem möglichst lange Passwörter verwendet werden, die auch Zahlen und Sonderzeichen enthalten und nicht in Wörterbüchern auftauchen.

Allerdings gibt es einen Trick, wie man Hashcat, John the Ripper und anderen Tools die Berechnung erschweren oder unmöglich machen kann. Derzeit erkennen diese Programme keine Umlaute, Akzentzeichen oder Spezialzeichen wie Emojis. Solche Zeichen verhindern (noch) eine erfolgreiche Entschlüsselung, weil nur 7-Bit ASCII-Zeichen zwischen 0x20 und 0x7F gesucht werden. Ein einfaches ‚ü‘ im Passwort verhindert eine Berechnung. Noch…

 

Weitere Anleitungen von Kati Müller:

Wie man sein WLAN gegen Hacker & andere virtuelle Einbrecher absichern kann.

Infinions RSA-Debakel erläutert

Wie man mit Apps die Privatsphäre auf einem Android Smartphone schützt.

Mehr zu diesem Thema:

Flattr this!

15 Comments

  • comment-avatar

    L4rs

    netter Artikel, auch wenn ich es nie brauchen werde :)

  • comment-avatar

    Mike Fried

    Da man unter Windows 10 nicht mehr so einfach an die von Windows selbst genutzten Platten kommt, hat mir per Zufall folgendes geholfen. Windows starten und per Einschaltknopf wieder Ausschalten, wenn jetzt nach einem weiteren Startversuch Windows die Reparatur startet bricht man wieder mit dem Einschaltknopf ab und man kann auf die von Windows blockierten Datenträger per USB-Linux zugreifen, zumindest kommt man an seine Daten ran, wenn auch das Windows nicht mehr Erreichbar ist.

  • comment-avatar

    Lixe

    Ohne den Artikel wirklich gelesen zu haben, werfe ich das tool Konboot in den Raum. Davon Starten -> Bootet ins Windows und das Passwort kann einfach umgangen werden.

  • comment-avatar

    Anonymous

    Interessant, die Info mit dem ü finde ich gut. Ich mag diese Seite!

  • comment-avatar

    LulzSquad

    Oh Gott. Wer hat den Mist den zusammen getippt.
    Unnötig umständlich. Wer seine Festplatte nicht verschlüsselt dem kann man eh nicht mehr helfen, in zeiten in denen fast jedes Gerät ein TPM modul hat und zumindestens BitLocker schon vielen ein Begriff ist und die Personen die wirklich Daten zu verbergen haben auf TrueCrypt setzen ist eine Lösung wie diese oder auch OfflineNTPasswordChanger Spielerei.

  • comment-avatar

    was soll man sagen

    Bin ich Administrator kann ich die Passwörter zurücksetzen und neue vergeben. Brauche also diesen umständlichen Weg nicht.
    Kann ich mit Knoopix die Hashwerte auslesen ist die Festplatte unverschlüsselt. Also auch hier ist dieser Weg eigentlich nicht sinnvoll, da ich auf alle Daten zugreifen kann.
    Man macht sowas eigentlich nicht zum Selbstzweck um sich an dem entschlüsselten Passwort zu erfeuen.
    Eigentlich gibt es nur ein Szenario wo das Sinn macht.
    Jemand will einem Anderen eine reinwürgen und auf einem Rechner der unverschlüsselt ist, wo er regulär keinen Zugriff und kein Passwort hat Dateien deponieren, die den rechtmässigen Nutzer belasten, da dessen Anmeldung und Passwort dafür benutzt wurden.
    Also eigentlich nur gut um Schweinereien zu begehen.
    Bei Netzwerkkonten wie in Unternehmensnetzwerken würde das Vorgehen übrigens nichts bringen.

    • comment-avatar

      Steve J.

      Kann sinnvoll sein, falls verdeckter Zugriff gewünscht ist ohne Wissen des Kontoinhabers.

      • comment-avatar

        qwertz

        Nichts anderes schrieb Dein Vorposter.
        Er scheint so ein Vorgehen nur nicht gutzuheißen.

  • comment-avatar

    Anonymous

    Dieser ehemals „ganz gute“ Blog verliert langsam seine Richtung. Das soll keine Kritik an der Qualität des Artikels sein, den habe ich sowieso nicht wirklich gelesen. Allerdings frage ich mich so langsam, was nun das Thema hier sein soll. News über Technik und Security? Warez-Szene Blog? Politik Blog? Und jetzt noch Windows How To’s? Bringt vielleicht kurzfristig Traffic über Google wenn man ein breites Themenfeld mit guten Keywords anbietet, aber Stammbesucher generiert man so definitiv nicht.

    • comment-avatar

      Generierter Stammbesucher

      Doch!

      Die Artikel von Kati sind gut recherchiert und erklären den technischen Hintergrund mit angemessener Tiefe.

      Insbesondere die „Haushaltstipps“ zum WLAN Setup sind sehr lesenswert. Solche Aritkel liefern ein willkommenes Kontrastprogramm zum Warez-Gedönse.

      • comment-avatar

        Ich finde auch, dass die Artikel von Kati das Bild unserer Artikel wirklich gut abrunden. So ist für jedes Interesse und jeden Leser etwas dabei. Unsere Schwerpunkte bleiben inhaltlich natürlich trotzdem die gleichen. Auch die Tipps für mehr Datenschutz im Umgang mit Android-Smartphones fand ich sehr hilfreich.

      • comment-avatar

        Nautische Meile

        Die ‚angemessene Tiefe‘ ist eher ziemlich flaches Wasser, um mal im Bild zu bleiben. Liest sich eher wie die Ratgeberkolumnen aus den Hausfrauengazetten der Vergangenheit: ‚Fragen Sie Frau Kati‘. ^^

        Der Konnässör (C) braucht sowas eher nicht.

        Wobei die fehlende Tiefe offensichtlich in die neuerdings thematische Vielfalt dieses Blogs passt, Rezepttips für die Weihnachtsbäckerei demnächst in diesem Lichtspieltheater.

        • comment-avatar

          Wenn Du uns für das Hacken vom Thermomix eine Anleitung präsentieren kannst, gerne auch Rezepttipps. ;-)

        • comment-avatar

          Anonymous

          So sehe ich es nun mal auch. Es wird hier oberflächlicher und die Themen breit gefächert, was Lars damit bezwecken will ist klar und nachvollziehbar, für mich als Mitleser erster Stunde aber nicht schön. Egal, ändern können wir es sowieso nicht.

  • comment-avatar

    Bill G.

    Win-Passwort = Gefühlte Sicherheit


Leave a comment