Zum Auslesen von Passwörtern steht die Ophcrack Live-CD als Freeware zur Verfügung, welche als ISO-Datei von der Ophcrack-Homepage heruntergeladen werden kann. Es steht eine Live-CD für Windows XP und eine Live-CD für Windows Vista/7 als Download zur Verfügung. Das herunterladbare Image der Live-CD kann beispielsweise über YUMI (Your Universal Multiboot Installer) mit anderen Live-CDs auf einem USB-Stick abgelegt werden. Ophcrack beinhaltet eine graphische Benutzeroberfläche und kann auf einfache Weise in den Betriebssystemen Windows 7/Vista/XP/2008 (Linux/Unix, Mac OS X, etc.) Passwörter entschlüsseln und im Klartext anzeigen. Das auf SliTaz-Linux basierte Tool bedient sich sog. Regenbogentabellen (rainbow tables), die aus alphanumerischen Verzeichnissen bestehen und die Hash-Werte mit zugehörigen Textfragmenten auflisten.

Die Dateigrößen der Regenbogentabellen, die bei der manuellen Installation zur Auswahl stehen, variieren zwischen 380 MB und über 52 GB (bei alphanum Passwortlänge 8,9 Zeichen). Bei der bootfähigen Live-CD von Ophcrack XP ist die kleinste Tabelle (alphanum ohne Umlaute) vorinstalliert. Booten Sie die jeweilige Live-CD zunächst im normalen Grafikmodus. Bei Problemen im Zusammenspiel mit der Grafikkarte ihres Rechners können Sie alternativ auch den VESA- oder den Text-Modus auswählen. Im nächsten Schritt ist die zu bearbeitende Windows-Partition auszuwählen und im darauffolgenden Fenster beginnt das Tool schon mit dem Auslesen aller Passwörter der erkannten Benutzerkonten. Bleibt das Passwort eines erkannten Benutzers leer, konnte mit der vorhandenen Regenbogentabelle das Passwort nicht ausgelesen werden. Wenn der Passwortauslesevorgang keinen Erfolg hatte, können Sie einen erneuten Versuch mit einer umfangreicheren Regenbogentabelle durchführen. Für den zweiten Versuch ist vor dem Kennwortausleseprozess eine umfangreichere Regenbogentabelle von der Ophcrack-Homepage herunterzuladen und wie folgt einzubinden:

Laden Sie die passende Regenbogentabellen von der Ophcrack-Homepage herunter. Die Tabellen sind für das entsprechende Windows XP/Vista/7 einfach auf einem USB-Stick/Festplatte/CD-ROM im Unterverzeichnis „\tables“ abzulegen. Die Live-CD erkennt beim Starten, dass neuere Tabellen auf einem angeschlossenen Datenträger zur Verfügung stehen, falls unterhalb von „root“ ein Verzeichnis „tables“ exisitiert. Ophcrack verwendet automatisch die neueren Tabellen. Gehen Sie analog wie oben beschrieben vor und haben etwas Geduld mit dem Passwortauslesevorgang.

Weitere Passwort-Tools:

• PC Login Now: ähnliche Funktion wie Offline NT Password & Registry Editor
• Kon-Boot: ähnliche Funktion wie Offline NT Password & Registry Editor
• Cain & Abel: zuerst Admin-Anmeldung erforderlich
• LCP: zuerst Admin-Anmeldung erforderlich
• John the Ripper: ähnliche Funktion wie Ophcrack

Offline NT Password & Registry Editor ist ein textorientiertes Passwortrücksetzungstool für Windows-Systeme auf Basis einer Live-CD. Das herunterladbare Image der Boot-CD kann beispielsweise über YUMI (Your Universal Multiboot Installer) mit anderen Live-CDs auf einem USB-Stick abgelegt werden. Das Passwort-Tool funktioniert am besten, wenn Sie ein Benutzerkonto auf ein leeres Passwort zurücksetzen wollen. Es werden keine Passwörter ausgelesen. Das Tool funktioniert unter Windows 7/Vista/2000/NT und den entsprechenden Serverversionen.

Nach dem Start des Tools muss als erster Schritt die Windows-Partition ausgewählt werden, in der die Passwortrücksetzung stattfinden soll. Im nächsten Schritt müssen Sie den Pfad zur Registry angeben. Da mit dem Tool das englische Tastaturlayout zum Einsatz kommt, müssen Sie statt der Backslashes Slashes (Bindestrich-Taste) verwenden. Das Tool möchte nun wissen, welcher Teil der Registry geladen werden soll. Um Passwörter zurückzusetzen, muss der Schlüssel SAM der Registry geladen werden. Standardmäßig sieht das Tool auch das Laden des SAM-Schlüssels vor (Bestätigung durch Eingabetaste). Zur Auswahl der Passwortrücksetzung ist nun die Standardauswahl „1“ einzugeben. Das Tool zeigt nun alle verfügbaren Benutzerkonten an. Sie können nun das Konto auswählen, dessen Passwort Sie zurücksetzen wollen. Am besten Sie lassen mit dem Tool das Passwort auf „Blank“ zurücksetzen, da diese Funktion stabiler funktioniert als eine Passwortänderung. Nach der Quittierungsmeldung „Password cleared“ sollten Sie nun ein Ausrufezeichen am Eingabeprompt eingegeben. Die folgende Bildschirmseite ist mit „q“ zu verlassen. Sie werden nun gefragt, ob die Änderungen übernommen werden sollen. Hier weichen Sie von der Standardvorgabe „nein“ (n) ab und geben „y“ ein. Erst jetzt findet die eigentliche Passwortrücksetzung statt. Nach einem Neustart des Rechners und einem „chkdsk“ ist das Passwort des bearbeiteten Benutzers auf ein leeres Passwort zurückgesetzt.

Die Passwortrücksetzung per Offline NT Password & Registry Editor stellt keine ernsthafte Sicherheitslücke dar. Ein (Administrator-) Kennnwort kann nur einen Schutz in einem laufenden Produktionssystem bieten. Grundsätzlich sind die Daten auf einem Rechner immer demjenigen (schutzlos) ausgeliefert, der den physischen Zugriff auf das System hat. Er braucht den Rechner einfach nur mit einer der hier im Blog vorgestellten Live-CDs zu booten und hat damit Zugriff auf alle Daten. Ein Angreifer kann mit einer Live-CD Daten/Dateien eines Produktionssystems kopieren, öffnen oder löschen. Der einzige Schutz ist die konsequente Verschlüsselung der Daten, z.B. mit Truecrypt oder Axcrypt. Bei richtiger Anwendung ist auch die Windows-Built-In EFS-Datenverschlüsselung hilfreich. Beim Einsatz der EFS-Verschlüsselung ist jedoch wichtig, dass Sie den EFS-Schlüssel auf einen externen Datenträger sichern. Ändern Sie das Kennwort Ihres Kontos, wäre ohne Schlüsselsicherung ein Zugriff auf Ihre Daten nicht mehr möglich.