1.5.1.2 Herausfinden von Passwörtern

Zum Erlangen von Passwörtern von anderen Benutzern gibt es verschiedene Möglichkeiten. Man kann annehmen, dass das Passwort relativ einfach ist, d.h. noch auf einer Default-Einstellung ist ("root"/"root") oder auf persönlichen Daten den Nutzers beruht (z.B. Geburtsdatum). Außerdem können Wörterbuchangriffe mit Listen von häufig verwendeten Wörtern genutzt werden. Ist das Passwort damit nicht zu finden, aber relativ kurz, kann man mit einer Brute Force-Methode alle möglichen Passwörter durchprobieren (siehe 1pw.de für Beispielrechnungen zur Suchdauer).

Man kann jedoch auch mit Methoden des Social Engineerings versuchen, das Passwort zu erhalten. Schon lange bekannr ist das Phishing ("Password Fishing"), mit dem man Nutzer mit Hilfe einer E-Mail mit enthaltener URLUniform Resource Locator auf eine nachgebaute Webseite lockt, um dort den Nutzer zur Eingabe des Passwortes zu bewegen. Eine Modifikation davon nennt sich Spear Phishing, wenn die E-Mail persönlich auf den Nutzer zugeschnitten wird und dadurch glaubwürdiger wirkt.

Die mit mancher Anwendungssoftware mitgelieferten Möglichkeiten zur Verschlüsselung sind unzureichend, wie beispielsweise bei der von Microsoft angebotenen Software zur Verschlüsselung von Office Dokumenten. Hierzu wird im Internet Software angeboten, mit der man leicht ein "vergessenes" Passwort wieder rekonstruieren kann. Die Software kann natürlich nicht unterscheiden, ob der legitime Benutzer diese verwendet oder ein Angreifer.

Genauso ist der Schutz durch das Passwort beim Login in manche Betriebssysteme nur schwach, weil die Hersteller legitime Nutzer, die tatsächlich ihr Passwort vergessen haben, nicht ausschließen möchten (siehe z.B. Artikel vom com-Magazin).