Abo
  • IT-Karriere:

Machine-Learning: Künstliche neuronale Netze erleichtern Passwortcracking

Ein Machbarkeitsnachweis zeigt, dass künstliche neuronale Netzwerke mit etwas Training benutzt werden können, um Passwörter zu knacken. Selbst bei recht komplexen klappt das erstaunlich gut.

Artikel von Tim Philipp Schäfers veröffentlicht am
Künstliche neuronale Netze bilden Neuronen nach.
Künstliche neuronale Netze bilden Neuronen nach. (Bild: PYP/CC-BY 3.0)

Pflanzenfreunde lieben Pflanzen. Es liegt daher nahe, dass auch ihre Passwörter einen Bezug zu Pflanzen haben. Das kann ein Angreifer ausnutzen, wenn er in den Besitz der Passwortdatenbank eines Forums für Pflanzenfreunde gelangt. Auch wenn die Passwörter dort gehasht vorliegen, kann der Klartext der Passwörter mit Hilfe einer neu vorgestellten Methode wiederhergestellt werden - mit neuronalen Netzen.

Stellenmarkt
  1. Wirecard Technologies GmbH, Aschheim bei München
  2. Pfennigparade SIGMETA GmbH, München

Es gibt mehrere traditionelle Verfahren des Passwortcrackings: Bruteforcing und die Erstellung von Rainbow-Tables, also systematisches Testen. Nun wurde erstmals durch einen Machbarkeitsnachweis demonstriert, dass durch künstliche neuronale Netze das Passwortcracking einfacher werden kann. Diese Netze bilden Neuronen nach und können Eingaben verarbeiten, gewichten und daraus bestimmte Schlüsse ziehen. Letztlich sind sie komplexe Modelle, mit denen verschiedene Prozesse der Informationsverarbeitung aus einer gegebenen Datenmenge abgeleitet werden.

Die Netze lernen selbständig

Damit neuronale Netze in der Lage sind, Passwörter zu knacken, ist es notwendig, dass sie "lernen". Der Lernprozess gleicht dabei dem des menschlichen Gehirns. Das künstliche neuronale Netz braucht wie das menschliche Gehirn Anreize oder Informationen, um zu lernen. Im Falle des Passwortcrackings ist es also notwendig, einige Passwörter mit den herkömmlichen Methoden zu knacken und diese dem künstlichen neuronalen Netz zur Verfügung zu stellen. Mit diesen Informationen kann das neuronale Netz dann gezielt "raten", um weitere Passwörter herauszubekommen.

Angewendet auf das anfängliche Beispiel des Pflanzenforums bedeutet das, dass Passwörter wie pflanzenfreund2016, roterose17 oder gelbe_tulpe mit Bruteforcing oder Rainbowtables ermittelt werden. Nachdem diese Informationen in das künstliche neuronale Netz eingespeist wurden, kann es sie in einem nächsten Schritt verarbeiten und durch Kreuzung neue Passwörter erzeugen. Sehr vereinfacht dargestellt könnten also Passwörter wie rotetulpe2016, 17pflanzenfreund oder rose2017 erzeugt werden. Das künstliche neuronale Netz kann je nach Tiefe, Anzahl der Knoten und der zur Verfügung gestellten Informationen mehr oder weniger gute Ergebnisse erzeugen - diese können dann mit Passwörtern anderer Nutzer übereinstimmen.

Die Netze sind effektiv

In dem hier vorgestellten Proof-of-Concept wurden drei unterschiedlich konfigurierte neuronale Netze genutzt. Ein neuronales Netz generierte aus 250.000 Passwörtern insgesamt 31.000 zufällige Passwörter, von denen wiederum 3.180 in der Gesamtmenge von 14 Millionen Passwörtern enthalten waren - ein Ergebnis, das sich im Vergleich zu herkömmlichen Methoden durchaus lohnt, da die Methode weniger rechenintensiv und schneller ist.

Die neuronalen Netze können die zur Verfügung gestellten Inhalte je nach Beschaffenheit sowohl strukturell als auch inhaltlich analysieren, um den Vorgang noch weiter zu verbessern. Im Bereich der Bilderkennung oder des Data-Minings ist ein solches Vorgehen bereits etabliert. Die Erkenntnis, dass auch Muster in Passwörtern durch neuronale Netze nutzbar sind, ist allerdings recht neu.

Auf die Muster in Passwörtern generell wurde bereits auf dem 31. Chaos Communication Congress aufmerksam gemacht. Mit UNHash wurde dort ein Tool vorgestellt, das Schemata bei dem Vorgehen des Passwortcrackings berücksichtigte. Der Sicherheitsexperte Tonimir Kisasondi erklärte damals in seinem Talk, dass Passwörter nicht wirklich zufällig seien, sondern dass Menschen dazu neigten, uns Regeln auszudenken, um sie zu generieren.

Wenn Passwörter beispielsweise Nummern oder Sonderzeichen enthalten müssten, seien diese mit hoher Wahrscheinlichkeit am Ende eines Passwortes. Das könne unter anderem daran liegen, dass die meisten Passwort-Policies erst nach dem Abschicken eines entsprechenden Requests bemängeln, dass ein Sonderzeichen als Kriterium fehlt. Zudem neigten einige Menschen dazu, symmetrische Positionen wie bei 123sicher321 oder 123sicher123 zu nutzen.

Um sich als Nutzer bestmöglich vor dieser neuen Angriffsart mit künstlichen neuronalen Netzen zu schützen, empfiehlt es sich nach wie vor, sehr komplexe oder zufällige Passwörter zu wählen. Sie sollten kein klares Muster und keine gängigen Informationen enthalten, die sich ableiten lassen. Andernfalls macht man es trotz Erfüllung von Passwortrichtlinien den Angreifern zu einfach.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

DJCray 22. Feb 2016

Statistik. Oje. Theoretisch kennt der Mensch mind. 10.000 Wörter. Wenn ich nun 4 Wörter...

Bobsen_ 21. Feb 2016

Kannst dir auch ein paar Dinge von Jürgen Schmidhuber anschauen (wenn dir Deutsch eher...

Komischer_Phreak 21. Feb 2016

Nein, das funktioniert nicht. Es gibt bspw. die Möglichkeit, seine Bitcoins ausschlie...

aFrI 17. Feb 2016

Wie gut dass ich so ziemlich jeder Firma mit kapitalistisch ausgerichteteten Zielen...

Tuxianer 17. Feb 2016

Für die meisten Menschen müsste man wohl "ja" antworten. Es kommt auf den Menschen an...


Folgen Sie uns
       


Doom Eternal angespielt

Slayer im Kampf gegen die Höllendämonen: Doom Eternal soll noch in diesem Jahr erscheinen.

Doom Eternal angespielt Video aufrufen
Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Whatsapp: Krankschreibung auf Knopfdruck
Whatsapp
Krankschreibung auf Knopfdruck

Ein Hamburger Gründer verkauft Arbeitsunfähigkeitsbescheinigungen per Whatsapp. Ist das rechtens? Ärztevertreter warnen vor den Folgen.
Von Miriam Apke

  1. Medizin Schadsoftware legt Krankenhäuser lahm
  2. Medizin Sicherheitslücken in Beatmungsgeräten
  3. Gesundheitsdaten Gesundheitsapps werden beliebter, trotz Datenschutzbedenken

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

    •  /