Windows-Passworthinweise leicht auszulesen

Schon länger hilft Windows seinen Usern bei vergessenen Passwörtern per Passworthinweis auf die Sprünge. Scheinbar werden die Hinweise, die auf das Passwort hindeuten, in der Windows-Registry abgelegt. Das berichtet zumindest arstechnica.com und fährt fort: Dort lägen die Hinweise zwar nicht im Klartext vor, aber in einem Format, das man nur zu leicht in den Klartext umwandeln könne. Der Sicherheitsforscher Jonathan Claudius von SpiderLabs soll bereits ein Script geschrieben haben, das automatisch die Registry absucht und die Passworthinweise lesbar macht. Nur acht Zeilen Code mit der Programmiersprache Ruby on Rails genügen angeblich schon, um den Text sichtbar zu machen, schreibt arstechnica.

Bislang kann nur jemand die Passworthinweise lesen, der physischen Zugang zu Ihrem Windows-7- oder Windows-8-Rechner hat. So weit ist das nichts Neues. Wenn sich die Hinweise aber wirklich so leicht aus der Ferne knacken lassen, dann könnten Hacker auch über das Internet wertvolle Tipps abgreifen, die auf das Passwort des Users hinweisen. Über den Passworthinweis lässt sich nämlich Social Engineering betreiben. Das heisst: Die Hacker werfen einfach einen Blick auf das Facebook-Profil oder den Blog des Opfers. Oft lauten Passworthinweise konkret «Lieblingsfarbe» oder «Grundschule». Dinge, die man im Internet relativ leicht herausbekommen kann. Erst vor Kurzem konnten Hacker gleich mehrere Konten ihres Opfers knacken, in dem sie via Social Engineering Sicherheitsfragen beantworteten. Doch selbst wenn vorsichtige Windows-User ihren Facebook-Account uneinsehbar von aussen gemacht haben und die Passwortinfos nirgends verraten - Hacker können theoretisch Brute-Force-Attacken auf ein Minimum einschränken und das Passwort etwa in wenigen Minuten statt einigen Monaten knacken.
Darum unser Tipp: Verwenden Sie keinen allzu offensichtlichen Passworthinweis, egal ob es um Windows oder ein anderes Login geht.