Passwörter geknackt per Lauschangriff

16. September 2005, 11:09
  • security
image

Nicht nur durch Phishing und Spyware können Hacker an Passwörter und andere persönliche Daten herankommen: Wie Forscher der Universität Berkeley gezeigt haben, könnte das auch durch einen klassischen Lauschangriff geschehen – ohne das das Opfer das Passwort ausplappert.

Nicht nur durch Phishing und Spyware können Hacker an Passwörter und andere persönliche Daten herankommen: Wie Forscher der Universität Berkeley gezeigt haben, könnte das auch durch einen klassischen Lauschangriff geschehen – ohne das das Opfer das Passwort ausplappert. Den Angreifern kann eine Aufnahme des Tippgeräusches ausreichen.
Die Forscher zeigten, dass sie aus einer zehnminütigen Aufnahme einer auf einer Tastatur schreibenden Person fast 90 Prozent der geschriebenen Wörter rekonstruieren können. Für die Aufnahme brauchen sie dabei keineswegs High-tech-Gerätschaften: Ein 15-Franken-Mikrophon und ein gutes Kassettengerät genügen.
Die Methode der Forscher funktioniert ab etwa 1500 getippten Buchstaben. Sie beruht auf einer schrittweisen statistischen Auswertung der Aufnahme. Zuerst werden die einzelnen Klickgeräusche analysiert und kategorisiert. Dann werden diese gezählt und mit den bekannten durchschnittlichen Buchstabenhäufigkeiten und den Häufigkeiten von bestimmten Buchstabenabfolgen verglichen. (Im englischen weiss man zum Beispiel, dass die Buchstaben e, o und t am Häufigsten vorkommen und dass auf ein j nie ein b folgt.)
Nach diesem Stadium konnten die Forscher zwar erst 60 Prozent der Buchstaben und 20 Prozent der Wörter korrekt identifizieren. Aber eine weitere Analyse unter Berücksichtigung von Worthäufigkeiten und Grammatik erhöhte die korrekte Worterkennung dramatisch, vor allem nachdem diese Resultate wiederum verwendet wurden, um die erste Analyse zu verfeinern – das System durchlief dadurch einen Lernprozess.
Nach diesem Lernprozess funktionierte das System auch bei Passwörtern mit einer zufälligen Buchstaben- und Ziffernfolge. Wenn man ihm die Möglichkeit gab, zwanzig Mal zu raten, knackte es 90 Prozent der eingegebenen 5-Zeichen-Passwörter, 77 Prozent der acht-Zeichen-Passwörter und 69 Prozent der zehn-Zeichen-Passwörter.
Während die Methode Heimanwendern kaum Sorgen machen muss, dürften vor allem Unternehmen, die Industriespionage fürchten müssen, vor einem weiteren potentiellen Problem stehen. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3