Muss ich euch wirklich noch vorrechnen, wieviel Möglichkeiten es allein bei 26 Buchstaben gibt, wenn man ein achtstelliges Passwort nutzt? Ich wage mal zu behaupten ihr habt keine Ahnung. Da kannst dein PC 100 Jahre laufen lassen und der würde das nicht knacken, wenn du noch Zahlen und Sonderzeichen nutzt.
Rechnet mal aus was für eine Zahl rauskommt bei 26 hoch 8
26^8 ist nicht viel. Mal angenommen man verwendet ein 8-stelliges Passwort, das nur aus Kleinbuchstaben besteht, dann wird es max. 3 Std. auf einem handelsüblichen PC dauern, bis das Passwort per Brute Force geknackt ist. Solltest Du noch Großbuchstaben hinzunehmen, dann sind es aber schon ca. 30 Tage, sprich ein voller Monat. Von Sonderzeichen wollen wir hier aber gar nicht reden, das geht dann wirklich in die Jahre
Möglichkeiten ein Passwort zu knacken:
1.
Keylogger
Sicherlich die effizienteste Variante,
falls es einem gelingt einen Keylogger auf dem System zu platzieren und auch an die geloggten Daten zu kommen.
2.
Rainbow Tables
Sollte es jemandem gelingen an die Hashwerte der abgespeicherten Passworte zu gelangen, und dies auf einem System das kein Salt verwendet (z.B. Windows), dann können Passworte je nach Länge in annehmbarer Zeit in Klartext ausgelesen werden. In seltenen Fällen kann es zwar vorkommen, dass das ausgelesene Passwort mit dem echten Passwort nicht übereinstimmt aber dennoch funktioniert. Dies liegt dann daran, dass der Hashwert der beiden Passworte identisch ist. Insgesamt spielt hier die Länge und Komplexität des Passwortes aber eine wichtige Rolle. Bei einem 8-stelligen Passwort ohne Zahlen und Sonderzeichen ist die benötigte Datenbank nur wenige GB groß und das Passwort ist in 10-20 Minuten ausgelesen. Sollten Zahlen und Sonderzeichen verwendet werden und das Passwort über mehr Stellen verfügen, z.B. 14-stellig, dann wird die benötigte Tabelle aber sehr schnell sehr groß und benötigt bedeutend mehr Zeit. Dies macht das gesamte Verfahren dann unwirtschaftlich.
3.
Brute Force
Vereinfacht ausgedrückt wird hier jede mögliche Kombination ausprobiert. Auch wenn heutige PCs (wie jeder von uns sie zu Hause stehen hat) in der Lage sind >20 Mio. Passworte in der Sekunde auszuprobieren, kann dies aber bei etwas längeren und komplexeren Passworten dazu führen, dass man Jahre braucht um ein Passwort zu knacken. Deswegen gibt es hier auch wieder eine Vereinfachung, die
3a.
Dictionary Attack (Wörterbuchangriff)
Dies kombiniert die Brute Force Methode mit sinnvollen Wörtern einer oder mehrerer Sprachen. Da eine normale Sprache nur ca. 50.000 Worte verwendet, können in den Datenbanken viele verschiedene Sprachen zusammengefasst werden. Sonderzeichen mitten im Passwort (z.B. Pas§swor%t) hebeln das ganze aber aus.
Wie dem auch immer sei, die meisten Programme lassen heute eh nur eine begrenzte Zahl an Fehlversuchen zu bevor der Zugang entweder komplett gesperrt wird, oder bevor jeder weitere Versuch mit einem Zeitmalus versehen wird, d.h. jeder weitere Versuch kann erst nach einer immer länger werdenden Wartezeit gestartet werden.
Wenn es also um den Zugang zu WoW geht, dann wird sicherlich nur Methode 1 in Frage kommen. Methode 2 und 3 wird nur in Spezialfällen eingesetzt.
