Elcomsoft Distributed Password Recovery entschlüsselt Passwort-Manager 1Password, KeePass, LastPass und Dashlane

ElcomSoft aktualisiert Distributed Password Recovery und ermöglicht die Wiederherstellung von Master-Passwörtern, die verschlüsselte Bereiche der beliebtesten Passwort-Manager 1Password, KeePass, LastPass und Dashlane schützen. Durch den Angriff auf ein einziges Master-Kennwort haben Experten die Möglichkeit, auf die gesamte Datenbank der Software zuzugreifen, die neben allen gespeicherten Passwörtern und Authentifizierungsinformationen des Benutzers auch weitere hochsensible Daten enthalten kann wie beispielsweise Abbilder von Benutzerdokumenten, personenbezogene Informationen, aber auch Nummern von Kredit-, Giro- oder Kundenkarten.

Ein Passwort für alles

Die Idee hinter allen Passwort-Management-Applikationen ist einfach: sie bieten Benutzern die Möglichkeit, ihre Passwörter zur Authentifizierung in verschiedenen Quellen sicher zu speichern, zu organisieren und zu benutzen. Da sich Benutzer dadurch nicht mehr an ihre vielen verschiedenen Passwörter erinnern müssen, wird die Verwendung von immer gleichen Kennwörtern vermieden und die Nutzung starker, einzigartiger Passwörter gefördert. Passwort-Manager sind außerdem in der Lage, für Webseiten oder andere Quellen automatisch starke Passwörter zu generieren, sodass sowohl Wörterbuch- als auch Brute-Force-Attacken wirkungslos bleiben. Die Passwörter werden in verschlüsselten Datenbanken gespeichert und können nur durch die Eingabe des Master-Passworts entschlüsselt werden.

Im Jahr 2012 führte ElcomSoft eine Studie zu den damals beliebtesten Passwort-Managern durch1 und zeigte, dass sich im Vergleich zur Passwortspeicherung in einer Klartextdatei nur wenige als signifikant sicherer herausstellten. Seit 2017 gibt es jedoch wesentlich sicherere Software-Möglichkeiten wie beispielsweise 1Password, KeePass, LastPass und Dashlane.

Alle vier Passwort-Manager verwenden dabei zur Verschlüsselung ihrer Kennwortdatenbanken starke Verschlüsselungsalgorithmen und setzen außerdem mehrere tausend Hash-Funktionen für das Master-Passwort ein, um den Schlüssel für den geschützten Bereich abzubilden. Mit anderen Worten sind die Kennwortdatenbanken vor Brute-Force-Angriffen sehr gut geschützt.

Verschlüsselte Datenbanken knacken

Die Sicherheit von Benutzer-Passwortdatenbanken ist äußerst wichtig. Diese können nur durch Brute-Force-Attacken auf das Master-Passwort im Klartext entschlüsselt werden. Die Wiederherstellung dieses Passworts würde allerdings die Enthüllung der gesamten Passwort-Datenbank bedeuten, wodurch der Zugriff auf hunderte Passwörter für unterschiedliche Quellen ermöglicht würde.

Passwort-Manager verwenden aus diesem Grund mehrere tausend Iterationen, um den binären Encryption Key aus dem textbasierten Master-Passwort abzuleiten. Infolgedessen ist die Geschwindigkeit von Brute-Force-Angriffen stark eingeschränkt. Dies ist genau der Grund für die Verwendung von GPU-Einheiten in heutigen AMD- und NVIDIA-Grafikkarten, die die Wiederherstellung im Vergleich zu einer einzigen CPU 50- bis 200-fach beschleunigen. Doch auch dann liegt die Geschwindigkeit von Brute-Force-Attacken im Bereich 100.000 Passwörtern pro Sekunde, was nur die Entschlüsselung von relativ kurzen Passwörtern erlaubt. Längere und komplexere Passwörter können jedoch weiterhin mit einem Wörterbuch-Angriff entschlüsselt werden, der auf benutzerdefinierte Angriffe in Elcomsoft Distributed Password Recovery zurückgreift.

"Wir sind bestrebt, die Bandbreite von Passwortarten, die wir brechen können, immer weiter auszubauen", sagt Vladimir Katalov, CEO von ElcomSoft. "Dieses Mal haben wir den Fokus auf die vier beliebtesten Passwort-Manager gelegt, sodass Experten Zugang zu geschützten Bereichen erhalten, die neben Authentifizierungsdaten der Benutzer auch gespeicherte Logins, Passwörter und Formulare zu zahlreichen Quellen enthalten. Bei den heutigen Passwort-Managern ist hierzu lediglich die Entschlüsselung eines einzigen Master-Passworts nötig."

Elcomsoft Distributed Password Recovery 3.40 nutzt die Leistung von GPU-beschleunigten Angriffen, die über ein Netzwerk von bis zu 10.000 Computern verteilt sind, und entschlüsselt so Master-Passwörter von 1Password, KeePass, LastPass und Dashlane. Sobald der Schlüssel wiederhergestellt ist, können Experten auf die geschützten Datenbanken der Passwort-Manager zugreifen und Passwörter, Authentifizierungsinformationen sowie weitere in der Datenbank gespeicherten Daten einsehen.

Preise und Verfügbarkeit

Elcomsoft Distributed Password Recovery ist ab sofort verfügbar. Die Lizenzierung beginnt ab 599 EUR zzgl. Mehrwertsteuer für 5 Clients, für 100 Clients kostet sie 4999 EUR zzgl. Mehrwertsteuer. Weitere Stufen sind auf Anfrage erhältlich. Kunden sind gerne eingeladen, ElcomSoft beim Kauf von größeren Lizenzmengen zu kontaktieren. Lokale Preise können variieren.

Eine zusätzliche Lizenzoption ist ab sofort auch für kleinere Netzwerke verfügbar. Die kostengünstige Variante deckt GPU-beschleunigte distributive Ermittlung auf bis zu 5 Computern ab. Auch diese minimale 5-PC-Lizenz unterstützt bis zu 8 GPU-Kerne und bietet eine maximale Rechenleistung von 40 GPU-Kerne pro Lizenz.

Elcomsoft Distributed Password Recovery unterstützt Windows 7, 8.x, 10, sowie die entsprechenden Windows Server-Versionen.

1https://www.elcomsoft.com/WP/BH-EU-2012-WP.pdf

Über ElcomSoft Co. Ltd.

Das Software-Entwicklungshaus ElcomSoft Co. Ltd. wurde 1990 von Alexander Katalov gegründet und befindet sich seither in dessen Besitz. Das in Moskau ansässige Unternehmen hat sich auf proaktive Passwort-Sicherheits-Software für Unternehmen und Privatanwender spezialisiert und vertreibt seine Produkte weltweit. ElcomSoft hat sich zum Ziel gesetzt, mit benutzerfreundlichen Lösungen für die Wiederherstellung von Passwörtern Anwendern den Zugriff auf ihre Daten zu ermöglichen. Des Weiteren gibt die Softwareschmiede Administratoren Sicherheitslösungen an die Hand, mit denen sie unsichere Kennungen in Unternehmens-Netzwerken unter Windows lokalisieren und beseitigen oder EFS-verschlüsselte Dateien retten können.

Regierungen, Behörden, Unternehmen und Privatanwender sind einerseits auf die Sicherheit und andererseits auf die Verfügbarkeit von Daten angewiesen, um Geschäfte abzuwickeln oder tragfähige Entscheidungen treffen zu können. Allerdings sind unsere digitalen Kommunikations-Highways und Aktenschränke zunehmend Sicherheitsrisiken durch Datenspionage und Systemfehler ausgeliefert. So kann eine einzige unsichere Kennung den Schutz eines Unternehmensnetzwerks zunichte machen. Ein unsicheres Passwort in der elektronischen Kommunikation kann das Vertrauen von Geschäftspartnern erheblich beeinträchtigen. Aber auch verloren gegangene Passwörter, beispielsweise für Verträge, können Geschäftsabschlüsse scheitern lassen.

ElcomSoft und der §202c

Der IT-Branchenverband BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) bestätigt in seinem "Leitfaden zum Umgang mit dem Hackerparagrafen" ElcomSofts Auffassung von der Legalität von Passwortwiederherstellungstools und stuft solche Werkzeuge in seiner abschließenden Bewertung als "unbedenklich" ein. "So wie jedermann in der analogen Welt einen Schlüsseldienst rufen kann, um wieder in seine Wohnung zu gelangen, stellt ElcomSoft Administratoren digitale Nachschlüssel zur Verfügung, mit denen sie wieder an die Daten ihres Unternehmens auf den unternehmenseigenen PCs gelangen können, sollte das Passwort einmal verloren sein", so Vladimir Katalov, CEO von ElcomSoft. "Als offizieller Microsoft Certified Partner kooperieren wir beispielsweise auch mit Microsoft und erhalten deren Software vorab, um Anwendern unsere Lösungen rechtzeitig an die Hand geben zu können."

Firmenkontakt und Herausgeber der Meldung:

ElcomSoft Co. Ltd.
Vřesovická 429/1
15521 Praha
Telefon: +7 (495) 974-1162
Telefax: +49 (1805) 4820050734
http://www.elcomsoft.com

Ansprechpartner:
Alexandra Fekete
Prolog Communications GmbH
Telefon: +49 (89) 800770-120
E-Mail: Alexandra.fekete@prolog-pr.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.