Abo
  • Services:

Machine-Learning: Künstliche neuronale Netze erleichtern Passwortcracking

Ein Machbarkeitsnachweis zeigt, dass künstliche neuronale Netzwerke mit etwas Training benutzt werden können, um Passwörter zu knacken. Selbst bei recht komplexen klappt das erstaunlich gut.

Artikel von Tim Philipp Schäfers veröffentlicht am
Künstliche neuronale Netze bilden Neuronen nach.
Künstliche neuronale Netze bilden Neuronen nach. (Bild: PYP/CC-BY 3.0)

Pflanzenfreunde lieben Pflanzen. Es liegt daher nahe, dass auch ihre Passwörter einen Bezug zu Pflanzen haben. Das kann ein Angreifer ausnutzen, wenn er in den Besitz der Passwortdatenbank eines Forums für Pflanzenfreunde gelangt. Auch wenn die Passwörter dort gehasht vorliegen, kann der Klartext der Passwörter mit Hilfe einer neu vorgestellten Methode wiederhergestellt werden - mit neuronalen Netzen.

Stellenmarkt
  1. Janoschka Deutschland GmbH, Kippenheim
  2. Bosch Gruppe, Dresden

Es gibt mehrere traditionelle Verfahren des Passwortcrackings: Bruteforcing und die Erstellung von Rainbow-Tables, also systematisches Testen. Nun wurde erstmals durch einen Machbarkeitsnachweis demonstriert, dass durch künstliche neuronale Netze das Passwortcracking einfacher werden kann. Diese Netze bilden Neuronen nach und können Eingaben verarbeiten, gewichten und daraus bestimmte Schlüsse ziehen. Letztlich sind sie komplexe Modelle, mit denen verschiedene Prozesse der Informationsverarbeitung aus einer gegebenen Datenmenge abgeleitet werden.

Die Netze lernen selbständig

Damit neuronale Netze in der Lage sind, Passwörter zu knacken, ist es notwendig, dass sie "lernen". Der Lernprozess gleicht dabei dem des menschlichen Gehirns. Das künstliche neuronale Netz braucht wie das menschliche Gehirn Anreize oder Informationen, um zu lernen. Im Falle des Passwortcrackings ist es also notwendig, einige Passwörter mit den herkömmlichen Methoden zu knacken und diese dem künstlichen neuronalen Netz zur Verfügung zu stellen. Mit diesen Informationen kann das neuronale Netz dann gezielt "raten", um weitere Passwörter herauszubekommen.

Angewendet auf das anfängliche Beispiel des Pflanzenforums bedeutet das, dass Passwörter wie pflanzenfreund2016, roterose17 oder gelbe_tulpe mit Bruteforcing oder Rainbowtables ermittelt werden. Nachdem diese Informationen in das künstliche neuronale Netz eingespeist wurden, kann es sie in einem nächsten Schritt verarbeiten und durch Kreuzung neue Passwörter erzeugen. Sehr vereinfacht dargestellt könnten also Passwörter wie rotetulpe2016, 17pflanzenfreund oder rose2017 erzeugt werden. Das künstliche neuronale Netz kann je nach Tiefe, Anzahl der Knoten und der zur Verfügung gestellten Informationen mehr oder weniger gute Ergebnisse erzeugen - diese können dann mit Passwörtern anderer Nutzer übereinstimmen.

Die Netze sind effektiv

In dem hier vorgestellten Proof-of-Concept wurden drei unterschiedlich konfigurierte neuronale Netze genutzt. Ein neuronales Netz generierte aus 250.000 Passwörtern insgesamt 31.000 zufällige Passwörter, von denen wiederum 3.180 in der Gesamtmenge von 14 Millionen Passwörtern enthalten waren - ein Ergebnis, das sich im Vergleich zu herkömmlichen Methoden durchaus lohnt, da die Methode weniger rechenintensiv und schneller ist.

Die neuronalen Netze können die zur Verfügung gestellten Inhalte je nach Beschaffenheit sowohl strukturell als auch inhaltlich analysieren, um den Vorgang noch weiter zu verbessern. Im Bereich der Bilderkennung oder des Data-Minings ist ein solches Vorgehen bereits etabliert. Die Erkenntnis, dass auch Muster in Passwörtern durch neuronale Netze nutzbar sind, ist allerdings recht neu.

Auf die Muster in Passwörtern generell wurde bereits auf dem 31. Chaos Communication Congress aufmerksam gemacht. Mit UNHash wurde dort ein Tool vorgestellt, das Schemata bei dem Vorgehen des Passwortcrackings berücksichtigte. Der Sicherheitsexperte Tonimir Kisasondi erklärte damals in seinem Talk, dass Passwörter nicht wirklich zufällig seien, sondern dass Menschen dazu neigten, uns Regeln auszudenken, um sie zu generieren.

Wenn Passwörter beispielsweise Nummern oder Sonderzeichen enthalten müssten, seien diese mit hoher Wahrscheinlichkeit am Ende eines Passwortes. Das könne unter anderem daran liegen, dass die meisten Passwort-Policies erst nach dem Abschicken eines entsprechenden Requests bemängeln, dass ein Sonderzeichen als Kriterium fehlt. Zudem neigten einige Menschen dazu, symmetrische Positionen wie bei 123sicher321 oder 123sicher123 zu nutzen.

Um sich als Nutzer bestmöglich vor dieser neuen Angriffsart mit künstlichen neuronalen Netzen zu schützen, empfiehlt es sich nach wie vor, sehr komplexe oder zufällige Passwörter zu wählen. Sie sollten kein klares Muster und keine gängigen Informationen enthalten, die sich ableiten lassen. Andernfalls macht man es trotz Erfüllung von Passwortrichtlinien den Angreifern zu einfach.



Anzeige
Hardware-Angebote
  1. 23,99€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 349,00€ (inkl. Call of Duty: Black Ops 4 & Fortnite Counterattack Set)

DJCray 22. Feb 2016

Statistik. Oje. Theoretisch kennt der Mensch mind. 10.000 Wörter. Wenn ich nun 4 Wörter...

Bobsen_ 21. Feb 2016

Kannst dir auch ein paar Dinge von Jürgen Schmidhuber anschauen (wenn dir Deutsch eher...

Komischer_Phreak 21. Feb 2016

Nein, das funktioniert nicht. Es gibt bspw. die Möglichkeit, seine Bitcoins ausschlie...

aFrI 17. Feb 2016

Wie gut dass ich so ziemlich jeder Firma mit kapitalistisch ausgerichteteten Zielen...

Tuxianer 17. Feb 2016

Für die meisten Menschen müsste man wohl "ja" antworten. Es kommt auf den Menschen an...


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 1

Im ersten Teil unseres Livestreams erklären wir alle neuen Mechaniken von Ravnica Allegiance.

MTG Arena Ravnica Allegiance - Livestream 1 Video aufrufen
EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Oldtimer umrüsten: Happy End mit Elektromotor
Oldtimer umrüsten
Happy End mit Elektromotor

Verbotszonen könnten die freie Fahrt von Oldtimern einschränken. Aber auch Umweltschutzgründe und Exzentrik führen dazu, dass immer mehr Sammler ihre liebsten Fahrzeuge umrüsten.
Ein Bericht von Dirk Kunde

  1. Piëch Mark Zero Porsche-Nachfahre baut eigenen E-Sportwagen
  2. Elektroautos Sportversion des E.Go Life und Shuttle E.Go Lux
  3. Rivian Amazon investiert in Elektropickups

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

    •  /