ElcomSoft aktualisiert Distributed Password Recovery und erm\u00f6glicht die Wiederherstellung von Master-Passw\u00f6rtern, die verschl\u00fcsselte Bereiche der beliebtesten Passwort-Manager 1Password, KeePass, LastPass und Dashlane sch\u00fctzen. Durch den Angriff auf ein einziges Master-Kennwort haben Experten die M\u00f6glichkeit, auf die gesamte Datenbank der Software zuzugreifen, die neben allen gespeicherten Passw\u00f6rtern und Authentifizierungsinformationen des Benutzers auch weitere hochsensible Daten enthalten kann wie beispielsweise Abbilder von Benutzerdokumenten, personenbezogene Informationen, aber auch Nummern von Kredit-, Giro- oder Kundenkarten.<\/p>\n
<\/p>\n
Die Idee hinter allen Passwort-Management-Applikationen ist einfach: sie bieten Benutzern die M\u00f6glichkeit, ihre Passw\u00f6rter zur Authentifizierung in verschiedenen Quellen sicher zu speichern, zu organisieren und zu benutzen. Da sich Benutzer dadurch nicht mehr an ihre vielen verschiedenen Passw\u00f6rter erinnern m\u00fcssen, wird die Verwendung von immer gleichen Kennw\u00f6rtern vermieden und die Nutzung starker, einzigartiger Passw\u00f6rter gef\u00f6rdert. Passwort-Manager sind au\u00dferdem in der Lage, f\u00fcr Webseiten oder andere Quellen automatisch starke Passw\u00f6rter zu generieren, sodass sowohl W\u00f6rterbuch- als auch Brute-Force-Attacken wirkungslos bleiben. Die Passw\u00f6rter werden in verschl\u00fcsselten Datenbanken gespeichert und k\u00f6nnen nur durch die Eingabe des Master-Passworts entschl\u00fcsselt werden.<\/p>\n
Im Jahr 2012 f\u00fchrte ElcomSoft eine Studie zu den damals beliebtesten Passwort-Managern durch und zeigte, dass sich im Vergleich zur Passwortspeicherung in einer Klartextdatei nur wenige als signifikant sicherer herausstellten. Seit 2017 gibt es jedoch wesentlich sicherere Software-M\u00f6glichkeiten wie beispielsweise 1Password, KeePass, LastPass und Dashlane.<\/p>\n
Alle vier Passwort-Manager verwenden zur Verschl\u00fcsselung ihrer Kennwortdatenbanken starke Verschl\u00fcsselungsalgorithmen und setzen au\u00dferdem mehrere tausend Hash-Funktionen f\u00fcr das Master-Passwort ein, um den Schl\u00fcssel f\u00fcr den gesch\u00fctzten Bereich abzubilden. Mit anderen Worten sind die Kennwortdatenbanken vor Brute-Force-Angriffen sehr gut gesch\u00fctzt.<\/p>\n
Die Sicherheit von Benutzer-Passwortdatenbanken ist \u00e4u\u00dferst wichtig. Diese k\u00f6nnen nur durch Brute-Force-Attacken auf das Master-Passwort im Klartext entschl\u00fcsselt werden. Die Wiederherstellung dieses Passworts w\u00fcrde allerdings die Enth\u00fcllung der gesamten Passwort-Datenbank bedeuten, wodurch der Zugriff auf hunderte Passw\u00f6rter f\u00fcr unterschiedliche Quellen erm\u00f6glicht w\u00fcrde.<\/p>\n
Passwort-Manager verwenden aus diesem Grund mehrere tausend Iterationen, um den bin\u00e4ren Encryption Key aus dem textbasierten Master-Passwort abzuleiten. Infolgedessen ist die Geschwindigkeit von Brute-Force-Angriffen stark eingeschr\u00e4nkt. Dies ist genau der Grund f\u00fcr die Verwendung von GPU-Einheiten in heutigen AMD- und NVIDIA-Grafikkarten, die die Wiederherstellung im Vergleich zu einer einzigen CPU 50- bis 200-fach beschleunigen. Doch auch dann liegt die Geschwindigkeit von Brute-Force-Attacken im Bereich 100.000 Passw\u00f6rtern pro Sekunde, was nur die Entschl\u00fcsselung von relativ kurzen Passw\u00f6rtern erlaubt. L\u00e4ngere und komplexere Passw\u00f6rter k\u00f6nnen jedoch weiterhin mit einem W\u00f6rterbuch-Angriff entschl\u00fcsselt werden, der auf benutzerdefinierte Angriffe in Elcomsoft Distributed Password Recovery zur\u00fcckgreift.<\/p>\n
„Wir sind bestrebt, die Bandbreite von Passwortarten, die wir brechen k\u00f6nnen, immer weiter auszubauen“, sagt Vladimir Katalov, CEO von ElcomSoft. „Dieses Mal haben wir den Fokus auf die vier beliebtesten Passwort-Manager gelegt, sodass Experten Zugang zu gesch\u00fctzten Bereichen erhalten, die neben Authentifizierungsdaten der Benutzer auch gespeicherte Logins, Passw\u00f6rter und Formulare zu zahlreichen Quellen enthalten. Bei den heutigen Passwort-Managern ist hierzu lediglich die Entschl\u00fcsselung eines einzigen Master-Passworts n\u00f6tig.“<\/p>\n
Elcomsoft Distributed Password Recovery 3.40 nutzt die Leistung von GPU-beschleunigten Angriffen, die \u00fcber ein Netzwerk von bis zu 10.000 Computern verteilt sind, und entschl\u00fcsselt so Master-Passw\u00f6rter von 1Password, KeePass, LastPass und Dashlane. Sobald der Schl\u00fcssel wiederhergestellt ist, k\u00f6nnen Experten auf die gesch\u00fctzten Datenbanken der Passwort-Manager zugreifen und Passw\u00f6rter, Authentifizierungsinformationen sowie weitere in der Datenbank gespeicherten Daten einsehen.<\/p>\n
Elcomsoft Distributed Password Recovery ist ab sofort verf\u00fcgbar. Die Lizenzierung beginnt ab 599 Euro zuz\u00fcglich Mehrwertsteuer f\u00fcr f\u00fcnf Clients, f\u00fcr 100 Clients kostet sie 4999 Euro zuz\u00fcglich Mehrwertsteuer. Weitere Stufen sind auf Anfrage erh\u00e4ltlich. Kunden sind gerne eingeladen, ElcomSoft beim Kauf von gr\u00f6\u00dferen Lizenzmengen zu kontaktieren. Lokale Preise k\u00f6nnen variieren.<\/p>\n
Eine zus\u00e4tzliche Lizenzoption ist ab sofort auch f\u00fcr kleinere Netzwerke verf\u00fcgbar. Die kosteng\u00fcnstige Variante deckt GPU-beschleunigte distributive Ermittlung auf bis zu f\u00fcnf Computern ab. Auch diese minimale F\u00fcnf-PC-Lizenz unterst\u00fctzt bis zu Acht GPU-Kerne und bietet eine maximale Rechenleistung von 40 GPU-Kernen pro Lizenz. Elcomsoft Distributed Password Recovery unterst\u00fctzt Windows 7, 8.x, 10, sowie die entsprechenden Windows Server-Versionen.<\/p>\n