Security-Tools – SAMInside von InsidePro

Windows-Passwörter auf EFS-geschützten Systemen knacken

01.10.2008 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Wenn das Passwort eines EFS-verschlüsselten Systems verloren geht hilft nur noch ein Passwort-Cracker wie SAMInside.
Wenn das Passwort eines EFS-verschlüsselten Systems verloren geht hilft nur noch ein Passwort-Cracker wie SAMInside.

In den allermeisten Fällen müssen Windows-Passwörter nicht geknackt werden – ein Zurücksetzen reicht. Aber wehe, die EFS-Verschlüsselung ist aktiviert. Dann hilft nur ein klassischer Passwortknacker wie SAMInside von InsidePro Software. Dieser versucht mithilfe verschiedener Angriffsformen das Login-Passwort eines Anwenders in Erfahrung zu bringen.

Ehe SAMInside genauer besprochen werden kann, müssen ein paar Fakten zur Login-Verwaltung von Windows-Rechnern bekannt sein. Sofern ein Windows-Rechner nicht zu einer Domäne gehört, speichert er die Login-Daten lokal. Dabei wird das Passwort nicht im Klartext aufbewahrt, sondern als Hash – also als Ergebnis einer nicht-umkehrbaren Funktion.

Mit anderen Worten: Man kommt vom Hash nicht auf das originale Passwort zurück. Aber wird das Passwort beim Anmeldevorgang eingetippt, hasht es Windows wieder mit derselben Funktion. Ist der daraus resultierende Hash gleich, dann waren es auch die Passwörter.

Um ins System einzudringen gibt es also zwei prinzipielle Wege: Entweder man bringt das Passwort in Erfahrung (wie SAMInside). Oder man „tauscht“ – vereinfacht formuliert – den hinterlegten Hash gegen einen anderen, bekannten aus.

Letzteres ist relativ simpel und ist der gangbarste Weg, wenn z.B. niemand mehr das Passwort eines selten verwendeten Servers kennt. Entsprechende Tools sind NTAccess und Locksmith im ERD Commander, der jetzt unter dem neuen Namen Microsoft Diagnostics and Recovery Toolset kostenlos verfügbar ist.

Bekanntlich bewirkt die Microsoft-Festplattenverschlüsselung EFS keine Vollverschlüsselung. Folglich funktionieren die Hash-Austausch-Tools auch bei einer EFS-verschlüsselten Festplatte.

Unter Windows 2000 war die Verschlüsselung des Betriebssystems sogar so laienhaft implementiert, dass man nach einen Austausch des Passworts Zugriff auf die verschlüsselten Dateien hatte. Dies ist seit XP nicht mehr möglich: EFS-Dateien bleiben nur lesbar, wenn das Passwort legitim innerhalb des Betriebssystems geändert wird.

Seite 2: SAMInside – Anwendungsfälle und Bedienung

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2015821 / Security-Testing)