Password Guessing
Password Guessing ist eine Angriffsmethode die genauso funktioniert wie sie heißt. Man rät einfach ein zur Authentifizierung notwendiges Passwort. Möglich wird dies durch Zwei Umstände: Social Engineering und schwache Passwörter. Ein Systemadministrator der beispielsweise Name und Geburtsdatum von Familienangehörigen als Passwörter nutzt und auf seiner privaten Homepage voller Stolz seine Familie vorstellt, braucht sich nicht zu wundern wenn ein Cracker seine Passwörter errät. Aus diesem Grund sei hier noch einmal darauf hingewiesen das man das Social Engineering nicht unterschätzen darf. Außerdem sollte man als Systemadministrator bestrebt sein, Passwörter zu nutzen, die keinen persönlichen Bezug zur Person des Administrators/Users zulassen. Ebenfalls verbietet es sich die Passwörter irgendwo aufzuschreiben, da diese aufgeschriebenen Passwörter durch Methoden des Social Engineering in die Hände eines Angreifers geraten können.
Man kann sich einigermaßen gegen schwache Passwörter schützen, indem man eine Mindestlänge von 8 Zeichen verlangt, den Einsatz von Groß- und Kleinbuchstaben und den Einsatz von mindestens einem Sonderzeichen fordert. Auf diese Weise wird es schon schwer für einen Benutzer ein geeignetes Passwort zu finden, dass er sich mit Hilfe einer 'Eselsbrücke' merken kann. Aber schwer heißt nicht unmöglich. ;-)
Daher sollte man die Passwörter ehe man sie zulässt einer sog. Dictionary Attack unterziehen. Hierbei wird unter Zuhilfenahme eines Wörterbuchs versucht das Passwort zu knacken. Tools die dies ermöglichen sind z.B. unter Unix john.
Aber ein Hinweis sollte hier noch folgen: Es gibt noch eine andere Methode Passwörter zu bekommen: Die Brute Force Attacke.
