Phraser erstellt Wortlisten und soll Hand in Hand mit dem Passwortcracker hashcat Passphrasen in Rekordzeit knacken.
Zwei Sicherheitsforscher haben während der RSA Conference 2016 eine Software zum Erstellen von Wortlisten vorgestellt. Die mit dem Phraser getauften Tool erstellten Wörterbücher sind für den Einsatz mit dem Passwortcracker hashcat gemacht und darauf optimiert, längere Passphrasen aus drei und mehr Wörtern zu knacken. Nach Aussage von Peder Sparell und Mikael Simovits gibt es derzeit keine andere Software, die hashcat so effizient aus zwei und mehr Wörtern bestehende Passphrasen knacken lässt wie Phraser.
Als Ursprungsmaterial dienen der Software englischsprachige Webseiten, deren Inhalt sie erfasst, in n-Gramme zerlegt und dann in optimierte Wortlisten wandelt. Die Forscher nutzen hierzu Markow-Prozesse beziehungsweise Markow-Ketten. Mit ihrer Hilfe lässt sich die Wahrscheinlichkeit berechnen, mit der – im Fall des Passphrasen-Knackers – ein bestimmtes Wort auf ein anderes Wort folgt.
Laut Sparell beherrscht hashcat zwar auch den Umgang mit Markow-Ketten, sei hierbei aber auf einzelne Buchstaben beschränkt. Das schon länger bestehende Wordhound-Projekt geht ähnlich vor wie Phraser, hat aber offenbar Schwierigkeiten beim Erfassen der Rohtexte. Langsames Erzeugen, flottes Knacken
Für ihre Tests lasen die Forscher insgesamt fünf Millionen Sätze von diversen Webseiten ein, darunter die Wikipedia. Die Software erstellt dann nach Eingabe der gewünschten Entropie die Wortliste (30 Bits entsprechen beispielsweise einem Passwort mit 16 Zeichen). Wie Sparell im Gespräch mit heise security sagte, umfasst die Wortliste zum Knacken von Passphrasen mit 20 Zeichen gut 200 Gigabyte. Das Erzeugen dauerte auf einem herkömmlichen PC mehrere Wochen.
Das eigentliche Knacken läuft dann binnen weniger Minuten ab. Im Fall der Passphrasen mit 20 Zeichen (Entropie: 36,6 Bit) dauerte es gut 30 Minuten, bis eines von zwölf Passwörtern gefunden wurde. Der Grund für die vergleichsweise niedrige Ausbeute: Die derzeit vorliegende Version von Phraser versteht sich nur auf Passphrasen aus Kleinbuchstaben. Um auch Sonderzeichen, Ziffern und Großbuchstaben verarbeiten zu können, wären noch gut zwei Wochen Arbeit nötig, so Sparell. Wortlisten per GPU schneller erstellen
Unabhängig davon sei Phraser bereits jetzt in der Lage, die Entropie im Vergleich zu Brute-Force-Angriffen deutlich zu senken, teilweise um gut zwei Drittel. Die Entwickler denken zudem darüber nach, zum Erstellen der Wortlisten auf Unterstützung von Grafikchips (GPU) zu setzen, um den Prozess zu beschleunigen.
Die Forscher raten Nutzern die Passphrasen verwenden, mindestens 20 Zeichen zu wählen und dabei wie üblich alle Zeichen zu mixen (Groß-/Kleinschreibung, Ziffern, Sonderzeichen). Sie sind dennoch nicht der Meinung, dass Passwörter generell eine Zukunft haben: Mit fortschreitender Knackgeschwindigkeit würden die Hürden für sichere Kennwörter immer höher, so dass Anwender Schwierigkeiten beim Merken der Zeichenmonster bekämen.