Abo
  • Services:

Machine-Learning: Künstliche neuronale Netze erleichtern Passwortcracking

Ein Machbarkeitsnachweis zeigt, dass künstliche neuronale Netzwerke mit etwas Training benutzt werden können, um Passwörter zu knacken. Selbst bei recht komplexen klappt das erstaunlich gut.

Artikel von Tim Philipp Schäfers veröffentlicht am
Künstliche neuronale Netze bilden Neuronen nach.
Künstliche neuronale Netze bilden Neuronen nach. (Bild: PYP/CC-BY 3.0)

Pflanzenfreunde lieben Pflanzen. Es liegt daher nahe, dass auch ihre Passwörter einen Bezug zu Pflanzen haben. Das kann ein Angreifer ausnutzen, wenn er in den Besitz der Passwortdatenbank eines Forums für Pflanzenfreunde gelangt. Auch wenn die Passwörter dort gehasht vorliegen, kann der Klartext der Passwörter mit Hilfe einer neu vorgestellten Methode wiederhergestellt werden - mit neuronalen Netzen.

Stellenmarkt
  1. ODU GmbH & Co. KG. Otto Dunkel GmbH, Mühldorf am Inn
  2. VRmagic Holding AG, Mannheim

Es gibt mehrere traditionelle Verfahren des Passwortcrackings: Bruteforcing und die Erstellung von Rainbow-Tables, also systematisches Testen. Nun wurde erstmals durch einen Machbarkeitsnachweis demonstriert, dass durch künstliche neuronale Netze das Passwortcracking einfacher werden kann. Diese Netze bilden Neuronen nach und können Eingaben verarbeiten, gewichten und daraus bestimmte Schlüsse ziehen. Letztlich sind sie komplexe Modelle, mit denen verschiedene Prozesse der Informationsverarbeitung aus einer gegebenen Datenmenge abgeleitet werden.

Die Netze lernen selbständig

Damit neuronale Netze in der Lage sind, Passwörter zu knacken, ist es notwendig, dass sie "lernen". Der Lernprozess gleicht dabei dem des menschlichen Gehirns. Das künstliche neuronale Netz braucht wie das menschliche Gehirn Anreize oder Informationen, um zu lernen. Im Falle des Passwortcrackings ist es also notwendig, einige Passwörter mit den herkömmlichen Methoden zu knacken und diese dem künstlichen neuronalen Netz zur Verfügung zu stellen. Mit diesen Informationen kann das neuronale Netz dann gezielt "raten", um weitere Passwörter herauszubekommen.

Angewendet auf das anfängliche Beispiel des Pflanzenforums bedeutet das, dass Passwörter wie pflanzenfreund2016, roterose17 oder gelbe_tulpe mit Bruteforcing oder Rainbowtables ermittelt werden. Nachdem diese Informationen in das künstliche neuronale Netz eingespeist wurden, kann es sie in einem nächsten Schritt verarbeiten und durch Kreuzung neue Passwörter erzeugen. Sehr vereinfacht dargestellt könnten also Passwörter wie rotetulpe2016, 17pflanzenfreund oder rose2017 erzeugt werden. Das künstliche neuronale Netz kann je nach Tiefe, Anzahl der Knoten und der zur Verfügung gestellten Informationen mehr oder weniger gute Ergebnisse erzeugen - diese können dann mit Passwörtern anderer Nutzer übereinstimmen.

Die Netze sind effektiv

In dem hier vorgestellten Proof-of-Concept wurden drei unterschiedlich konfigurierte neuronale Netze genutzt. Ein neuronales Netz generierte aus 250.000 Passwörtern insgesamt 31.000 zufällige Passwörter, von denen wiederum 3.180 in der Gesamtmenge von 14 Millionen Passwörtern enthalten waren - ein Ergebnis, das sich im Vergleich zu herkömmlichen Methoden durchaus lohnt, da die Methode weniger rechenintensiv und schneller ist.

Die neuronalen Netze können die zur Verfügung gestellten Inhalte je nach Beschaffenheit sowohl strukturell als auch inhaltlich analysieren, um den Vorgang noch weiter zu verbessern. Im Bereich der Bilderkennung oder des Data-Minings ist ein solches Vorgehen bereits etabliert. Die Erkenntnis, dass auch Muster in Passwörtern durch neuronale Netze nutzbar sind, ist allerdings recht neu.

Auf die Muster in Passwörtern generell wurde bereits auf dem 31. Chaos Communication Congress aufmerksam gemacht. Mit UNHash wurde dort ein Tool vorgestellt, das Schemata bei dem Vorgehen des Passwortcrackings berücksichtigte. Der Sicherheitsexperte Tonimir Kisasondi erklärte damals in seinem Talk, dass Passwörter nicht wirklich zufällig seien, sondern dass Menschen dazu neigten, uns Regeln auszudenken, um sie zu generieren.

Wenn Passwörter beispielsweise Nummern oder Sonderzeichen enthalten müssten, seien diese mit hoher Wahrscheinlichkeit am Ende eines Passwortes. Das könne unter anderem daran liegen, dass die meisten Passwort-Policies erst nach dem Abschicken eines entsprechenden Requests bemängeln, dass ein Sonderzeichen als Kriterium fehlt. Zudem neigten einige Menschen dazu, symmetrische Positionen wie bei 123sicher321 oder 123sicher123 zu nutzen.

Um sich als Nutzer bestmöglich vor dieser neuen Angriffsart mit künstlichen neuronalen Netzen zu schützen, empfiehlt es sich nach wie vor, sehr komplexe oder zufällige Passwörter zu wählen. Sie sollten kein klares Muster und keine gängigen Informationen enthalten, die sich ableiten lassen. Andernfalls macht man es trotz Erfüllung von Passwortrichtlinien den Angreifern zu einfach.



Anzeige
Top-Angebote
  1. 254,93€
  2. (aktuell Canon EOS 200D inkl. Objektiv 18-55 mm für 444€ - Bestpreis!)
  3. 137,94€ (Ersparnis ca. 50€)
  4. (aktuell u. a. ADATA DashDrive Air AV200 ab 29€ statt 59€ im Vergleich, be quiet! DARK BASE PRO...

DJCray 22. Feb 2016

Statistik. Oje. Theoretisch kennt der Mensch mind. 10.000 Wörter. Wenn ich nun 4 Wörter...

Bobsen_ 21. Feb 2016

Kannst dir auch ein paar Dinge von Jürgen Schmidhuber anschauen (wenn dir Deutsch eher...

Komischer_Phreak 21. Feb 2016

Nein, das funktioniert nicht. Es gibt bspw. die Möglichkeit, seine Bitcoins ausschlie...

aFrI 17. Feb 2016

Wie gut dass ich so ziemlich jeder Firma mit kapitalistisch ausgerichteteten Zielen...

Tuxianer 17. Feb 2016

Für die meisten Menschen müsste man wohl "ja" antworten. Es kommt auf den Menschen an...


Folgen Sie uns
       


Amazons Echo Show (2018) - Test

Wir haben den neuen Echo Show getestet. Der smarte Lautsprecher mit Display profitiert enorm von dem größeren Touchscreen - im Vergleich zum Vorgängermodell. Die Bereitstellung von Browsern erweitert den Funktionsumfang des smarten Displays.

Amazons Echo Show (2018) - Test Video aufrufen
15 Jahre Extreme Edition: Als Intel noch AMD zuvorkommen musste
15 Jahre Extreme Edition
Als Intel noch AMD zuvorkommen musste

Seit 2003 verkauft Intel seine CPU-Topmodelle für Spieler und Enthusiasten als Extreme Edition. Wir blicken zurück auf 15 Jahre voller zweckentfremdeter Xeon-Chips, Mainboards mit Totenschädeln und extremer Prozessoren, die mit Phasenkühlung demonstriert wurden.
Von Marc Sauter

  1. Quartalszahlen Intel legt 19-Milliarden-USD-Rekord vor
  2. Ryan Shrout US-Journalist wird Chief Performance Strategist bei Intel
  3. Iris GPU Intel baut neuen und schnelleren Grafiktreiber unter Linux

Remote Code Execution: Die löchrige Webseite des TÜV Süd
Remote Code Execution
Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.
Ein Bericht von Hanno Böck

  1. Websicherheit Onlineshops mit nutzlosem TÜV-Siegel

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

    •  /