Automatisierte Generierung von personenbezogenen Passwortlisten

Master Studiengang Information Security

Dipl.-Ing. Julian Schrittwieser, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc 

Ausgangslage

In der IT-Forensik ist man durch die steigende Nutzung von Kryptographie verstärkt vor das Problem gestellt, die Beweise auf sichergestellten Datenträgern nicht auswerten zu können, da diese von der Besitzerin oder dem Besitzer verschlüsselt wurden. Um die für die Aufklärung des Falles wichtigen Informationen wieder zugänglich zu machen, besteht oft keine andere Möglichkeit, als das unbekannte Passwort zu erraten, was eine äußerst rechen- und damit zeitintensive Aufgabe darstellt.

Sichere Passwörter gelten jedoch als schwierig zu merken, weshalb oft auf Begriffe und Zahlen aus dem privaten Leben – wie etwa Namen oder Geburtsdaten – zurückgegriffen wird. Gleichzeitig werden viele dieser persönlichen Informationen im Internet, vorwiegend in sozialen Netzwerken, bereitwillig preisgegeben. Diese Tatsache bildet für die IT-Forensik eine aussichtsreiche Möglichkeit, das notwendige Passwort schneller zu ermitteln und Zugang zu den verschlüsselten Beweismitteln zu erlangen.

Ziel

Ziel dieser Arbeit ist es, herauszufinden, nach welchen Mustern personenbezogene Passwörter aufgebaut sind und ob mit Hilfe automatisierter Internetrecherchen Passwortlisten generiert werden können, die einen Vorteil gegenüber sogenannten Brute-Force-Attacken bieten. Zu diesem Zweck wurde die Entwicklung eines Tools angestrebt, das nach Angabe von Benutzernamen der Zielperson in sozialen Netzwerken automatisiert nach Informationen sucht und daraus eine personalisierte Passwortliste generiert. Das Tool kann einerseits in der IT-Forensik genutzt werden, um Zugang zu wichtigen verschlüsselten Datenträgern zu erlangen und andererseits von Privatpersonen, um sich einer Art Selbsttest zu unterziehen.

Ergebnis

Im Zuge der Arbeit wurde der theoretische Hintergrund zu Passwörtern und der Akquise von personenbezogenen Informationen erforscht. Die niedrigen Erfolgsaussichten und hohe Zeitintensität von klassischen Brute-Force-Attacken zeigen, dass eine automatisierte Generierung von personenbezogenen Passwortlisten eine aussichtsreiche Alternative darstellt. Durch die erfolgreiche Umsetzung der Erkenntnisse und positive Evaluierung des Tools wurde gezeigt, welche zusätzliche, vielleicht unerwartete Bedeutung personenbezogene Informationen im Internet haben können.