UNIX-Prominenz wählte Schach-Eröffnung: 39 Jahre alte BSD-Passwörter geknackt

Gute Passwörter halten lange, aber nicht ewig. Ein paar Relikte aus der UNIX-Geschichte wurden jetzt geknackt.

In Pocket speichern vorlesen Druckansicht 293 Kommentare lesen
DEC VAX 11/780

Diese VAX ist nicht mehr sicher, zumindest wenn sie noch mit BSD3 läuft.

(Bild: Takuya Oikawa [CC BY-SA 2.0], via Wikimedia Commons)

Lesezeit: 2 Min.

Schon 2014 fiel der Entwicklerin Leah Neukirchen eine uralte /etc/passwd-Datei in die Hände, die noch aus BSD-3-Zeiten stammte. Darin befanden sich — gehasht — die ehemaligen Passwörter diverser Unix- und IT-Größen, von Dennis Ritchie über Stephen R. Bourne zu Eric Schmidt. Die Passwörter waren damals auf acht Zeichen beschränkt (beziehungsweise genau genommen auf 64 Bit) und mit crypt(3) verschlüsselt, welches auf DES-basiert. DES gilt schon seit langem als unsicher und entsprechend schnell konnte Neukirchen mit modernen Tools wie Hashcat und John the Ripper auch auf moderater Hardware die meisten Passwort-Hashes brechen. Einige widersetzen sich allerdings hartnäckig und widerstanden auch dem erschöpfenden Ausprobieren aller möglichen Passwörter, die aus Kleinbuchstaben und Ziffern bestanden – mehr gab die Hardware für den Spaß nicht her.

In einem lesenswerten Thread der Mailingliste der Unix Heritage Society kam das Ganze wieder auf und bald waren auch vier der fünf verbleibenden Passwörter geknackt. Noch länger gedauert hat es nur beim Passwort von Ken Thompson, unter anderem Co-Erfinder von Unix, sowie der Sprachen B (Vorgänger von C) und Go. Dessen Passwort brach schließlich Nigel Williams, indem er eine AMD Radeon Vega64 darauf ansetzte. Die Grafikkarte schaffte zwar ungefähr 930 Millionen Hashes pro Sekunde, brauchte damit aber immer noch über vier Tage, um das Passwort zu knacken.

Das Ergebnis ist "p/q2-q4!". Was nach zufälligem Kauderwelsch aussieht, ist eine gängige Schach-Eröffnung in einer mittlerweile weniger gängigen Notation. Das ist im Rückblick einleuchtend, weil Thompson bekannter Schach-Enthusiast ist – Social-Engineering-Attacken waren damals wohl kein Problem. Thompson hat kurz darauf in der Mailingliste zur Entschlüsselung gratuliert.

Lernen kann man aus der Geschichte mindestens zweierlei: Zum einen machen gute Passwörter auch nach fast 40 Jahren noch einen großen Unterschied. Zum anderen vergisst das Internet wirklich nichts, nicht mal Dinge die älter sind als das (moderne) Internet.

Mehr Infos

Momentan ist das Ändern von Passwörtern wieder in aller Munde. Aber wie erzeugt man gute Passwörter und wie verwahrt man sie sicher?

(syt)