Passwort Brute-Force Attack?

Hallo,

ich bin komplett neu in dem Thema Pen-Testing und habe deswegen wirklich gar keine Ahnung von dem Bereich. Ich habe mal für mein Kind mal Family-Link auf seinem Handy installiert. Inzwischen ist er allerdings fast volljährig, weshalb ich die Elternkontrolle jetzt beenden will. Aber mein Handy ist kaputt gegangen, weshalb ich es jetzt über sein Handy deaktivieren muss. Dafür brauche ich allerdings das Family-Link Passwort, welches ich vergessen habe.

Und da kam mir jetzt der Gedanke, da ich ja gerade sowieso in diese Thematik einsteigen will, könnte ich es doch am Family-Link Passwort ausprobieren und dieses durch einen Brute-Force Angriff knacken.

Meine Frage wäre da halt nur, ob das legal ist, weil ich ja die Erlaubnis meines Sohnes habe. Und zweitens, wie ich es denn überhaupt knacken kann. Im Internet finde ich immer nur Tutorials, um Website Logins zu cracken. Aber wie kann ich von meinem Computer aus ein Passwort in einer App wie Family Link auf einem Androidgerät cracken?

Ich wäre sehr dankbar, wenn mir jemand da helfen könnte.

Answer 1

[julienvh]

Da musst du dich wohl an den Support wenden. Bruteforce angriffe sind meist nur gesehen bei lokalen Verschlüsselungen mit vermutlich schwachen passwörtern, bspw. geschützte Zip-Dateien. Wenn das jedoch eine Applikation ist, die über das Internet funktioniert, wie auch zum Beispiel ein Login, dann geht das nicht so einfach. Da wird dann ab einem bestimmten Punkt deine Sitzung begrenzt, oder deine IP wird temporär gesperrt. Ebenso wird das vermutlich auch von der Geschwindigkeit gedrosselt, entweder künstlich oder durch mathematische Funktionen (Hash-Funktionen), die das Passwort gesichert abspeichern und ggf. auch länger brauchen zum berechnen. So ist die Anzahl der Versuche pro Zeit relativ gering im Vergleich zu dem vermutlichen Passwort.

Alleine bei 8 Zeichen mit Groß- und Kleinbuchstaben sowie Zahlen hast du pro Stelle 62 Möglichkeiten (26 pro Alphabet, weil klein und groß und 10 für 0-9), das heißt bei 8 Stellen hast du 62⁸ mögliche Kombinationen (insgesamt 218.340.105.584.896 Möglichkeiten).

Die häufigste Ursache warum Accounts gehackt werden passiert durch Social-Engineering. Also die Ausnutzung der sicherheitslücke Mensch. Bspw. durch Phishing, indem das Opfer ihr Passwort eingibt auf einer gefälschten Seite. Das funktioniert in deinem fall halt nicht, außer du erinnerst dich dann zufällig.

Answer 2

[bycranix]

Das wird höchstwahrscheinlich nicht funktionieren. 

Ein Brute-Force-Angriff führt ständig Logins mit verschiedenen Passwörtern durch und das in Sekundenschnelle, die Google-Server machen das nicht lange mit und sperren deine IP oder Session.

Außerdem ist die Wahrscheinlichkeit mit so einer Attacke das Passwort in kurzer Zeit zu knacken gering. Ich weiß nicht, wie sicher dein Passwort war. 

Empfehlung: Google Support. Die können dir entweder helfen den Zugang wieder zu bekommen oder die Family Link Sperre entfernen. 

Legal ist es auf jeden Fall nicht, denn theoretisch bräuchtest du auch die Zustimmung von Google.

Liebe Grüße
Noah.

Woher ich das weiß: Recherche

Answer 3

[ruhrgur]

Ich habe mal für mein Kind mal Family-Link auf seinem Handy installiert. Inzwischen ist er allerdings fast volljährig

Du hast also laut Angaben in deinem Profil mit fünf Jahren ein Kind bekommen? Da stimmt doch irgendwas nicht ;-)

Meine Frage wäre da halt nur, ob das legal ist, weil ich ja die Erlaubnis meines Sohnes habe

Nein, das wäre strafbar, da hierbei auf die Server von Google zugegriffen wird. Deinen eigenen Hash zu knacken wäre theoretisch erlaubt, dieser liegt dir aber offenkundig nicht vor.

Und zweitens, wie ich es denn überhaupt knacken kann

Im hier geschilderten Fall müsste man direkt Passwörter ausprobieren, dies wird nicht funktionieren. Nach mehreren falschen Versuchen wird Google weitere Anmeldeversuche erst einmal nicht mehr zulassen. Deutlich realistischere Chancen, ein Passwort zu knacken, hat man, wenn einem das Passwort bereits in gehashter Form vorliegt. Auch hier hat ein Bruteforce-Angriff aber wenig Chance auf Erfolg, wenn das Passwort halbwegs lang ist, man würde es hier eher mit einem Wörterbuchangriff probieren.

Ich verstehe auch das Problem ehrlich gesagt nicht, wenn du hier die Wahrheit sagst und es sich wirklich um dein Konto handelt, kannst du einfach dein Passwort zurücksetzen oder dich an den Support wenden.

LG