Sicherheitslücke in Windows 7 und Windows 8: Passwort auslesbar

24. August 2012
Tino Hahn Von Tino Hahn, News & Trends, Windows, Freeware & Open Source, Linux ...

Wenn Sie Ihr Nutzerkennwort in Windows 7 oder Windows 8 anlegen, dann können Sie sich eine Eselsbrücke bauen, damit sie sich leichter an ein vergessenes Kennwort erinnern können. Doch dieser Hinweis lässt sich mit einem speziellen Tool aus der Registry auslesen – dabei sollte er eigentlich verschlüsselt gespeichert werden:

Der Sicherheits-Experte Jonathan Claudius hat ein lediglich acht Zeilen langes Skript in der Programmiersprache Ruby geschrieben, mit dem er die Gedächtnisstütze für ein vergessenes Kennwort auslesen kann. Dazu benötigt er zwar Zugriff auf den Rechner, den Angreifer aber in der Regel per Trojaner herstellen. Mit dem Admin-Tool „Metasploit“ und seinem Skript konnte Claudius dann die Kennworthinweise auslesen. Denn sie wurden zwar unleserlich, aber nicht verschlüsselt in der Registry abgespeichert. Deshalb können diese Hinweise jetzt auch aus der Ferne ausgelesen werden, wenn ein Angriff via Schad-Software erfolgreich war. Zuvor musste ein direkter Zugriff auf den Rechner vorhanden sein, um die Gedächtnisstütze sehen zu können.

Der Hinweis für ein vergessenes Kennwort ist in der Regel sehr entlarvend: So wird beispielsweise „Name des Haustiers“ oder „Lieblingsfarbe“ als Eselsbrücke angegeben. Für Angreifer ist es somit deutlich einfacher möglich, das korrekte Kennwort zu erraten – insbesondere, wenn sie den PC-Besitzer persönlich kennen.

Beachten Sie deshalb immer unsere Regeln, mit denen Sie ein garantiert unknackbares Kennwort erstellen können:

Bislang steht eine Stellungnahme von Microsoft noch aus. Deshalb ist unklar, inwiefern diese Sicherheitslücke gestopft wird und ob Microsoft eine Verschlüsselung der Kennworthinweise per Patch nachreicht.

Erhalten Sie regelmäßig die wichtigsten Windows-News in Ihr Postfach!

Jetzt gratis per E-Mail

DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zu Windows News

Newsletter

Jetzt kostenlose Windows-Hilfe anfordern!

  • die besten Tipps
  • völlig kostenlos
  • jederzeit abbestellbar
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"