Wie man ein Skype-Paßwort (nicht) recovert
7. März 2018 um 21:54 Uhr von Atari-Frosch
Heute Nachmittag saß ich vor einem schon recht betagten PC, einem Dell mit Pentium D, mit einem Windows XP. Die wichtigste Aufgabe an diesem PC: Das Skype-Paßwort des Nutzers herausfinden. Der Eigentümer des PCs hatte das Gerät mehrere Jahre lang nicht benutzt (ein relevanter Datei-Zeitstempel wies auf September 2015), hatte sein Paßwort vergessen und wollte es jetzt da rausgezogen haben, um Skype von einem anderen PC aus nutzen zu können. Sollte eigentlich zu machen sein, oder?
Tja, sollte. Die Praxis sah dann doch etwas anders aus …
Den Rechner ans Netz zu bringen erwies sich als relativ einfach, und auf jeden Fall einfacher als befürchtet. Wir hatten vorher bei eBay drei USB-WLAN-Stecker mit Antenne geschossen. Diese kamen mit einem, äh, „Handbuch“ in winziger Schrift, dem immerhin zu entnehmen ist, daß das Gerät unter Windows 8 und 10 ohne Gedöns laufen würde; für ältere Windows-Versionen lag eine Mini-CD mit Treibern bei. Und ich war wirklich positiv überrascht davon, daß Windows XP nach dem Booten und Einloggen sofort erklärte, da ein neues WLAN-Gerät entdeckt zu haben und dafür jetzt einen Treiber zu benötigen. Mit zwei weiteren Klicks war die Karte betriebsbereit, und ich mußte nur noch das WLAN-Paßwort eingeben.
Bei Skype sah das dann doch … sehr anders aus. Installiert war ein veralteter Client Version 7.18, der beim Versuch, eine Verbindung aufzubauen, erklärte, er habe keinen Netzzugang. Ein Browser war aber völlig anderer Meinung.
Nun hatte ich mich selbst schon länger von Skype verabschiedet – meinen Account gibt es möglicherweise sogar noch, aber ich habe die Software schon seit Jahren nicht mehr installiert. Trotzdem habe ich am Rande mitbekommen, daß Microsoft da in den letzten Jahren einiges dran herumgebastelt hat. Daher ging ich davon aus, daß das Problem nicht ein fehlender Netzzugang ist, sondern eine veränderte Infrastruktur, so daß der alte Client den Zugangsserver einfach nicht mehr finden kann. Eine Möglichkeit, den Client offline zu starten, gibt es offenbar nicht.
Eine Suche im Filesystem sowie eine in der Registry verliefen erfolglos. Ich fand nicht einmal eine irgendwie verschlüsselte Version der Zugangsdaten.
Als nächstes suchte ich online nach einer Beschreibung dafür, wie man das Paßwort da rauskitzeln könnte. Ich hatte in Erinnerung, daß das gar nicht so schwer sein sollte. Tatsächlich fand ich vier Websites, die „kostenlose“ Software für die „password recovery“ anbieten. Allerdings erwiesen sie sich allesamt als Pleiten:
Die erste Version schickte mich im Pingpong zwischen der eigentlichen Download-Seite für die Recovery-Software und ihrer Übersicht aller angebotenen Downloads hin und her. Jedesmal mit neuem Tab. Bekommen habe ich nichts.
Die zweite bot mir zwar (dieselbe!) Software an, ich konnte auch etwas herunterladen, aber das ließ sich dann nicht vollständig entpacken. Entpackt wurde die EXE, die jedoch behauptete, sie könne nicht starten, weil da weitere Dateien nicht entpackt worden seien. Beim Versuch, diese Dateien – die README und die Lizenzdatei – zu entpacken, wurde ich nach einem Paßwort gefragt (seht Ihr mich facepalmen?). Auf der Website stand nichts davon. Das Programm ließ sich also nicht starten.
Die dritte Variante wollte mich unbedingt über Facebook oder Google Plus authentifizieren. Als ich Google Plus anwählte und mich einloggte (der Eigentümer hat dort keinen Account und auch keinen bei Facebook), motzte Google Plus, weil quasi meine „Metadaten“ nicht zu meinem gewöhnlichen „Login-Verhalten“ paßten: Anderer geografischer Ort, anderes Betriebssystem. Ich bekam den Download nicht, dafür eine Mail von Google, daß jemand möglicherweise meinen Account gehackt hätte.
Ja, und Nummer vier bezeichnete sich als „Demo“, die ein ermitteltes Paßwort nur anzeigen will, wenn es maximal drei Zeichen lang ist. Okay …
Den Weg brachen wir dann erstmal ab.
Nächster Versuch: Paßwort-Recovery direkt bei Skype. Also ja, theoretisch geht das. Der kleine Haken war hier, daß die Mailadresse, mit welcher der Skype-Account vor Jahren beim Anlegen verknüpft worden war, für den Eigentümer derzeit (!) nicht zugänglich ist. Bis er da wieder drankommt, kann auch noch ein Weilchen dauern. Wir gaben also eine andere Mailadresse an, und dort kam auch prompt eine Mail mit einem vierstelligen Zahlencode an, der wieder auf der Website eingegeben werden sollte. Wäre der Account dann schon zugänglich gewesen, wär's tatsächlich zu einfach gewesen. Allerdings hat sich Microsoft für den Fall was ausgedacht, was wohl nicht zur Paßwort-Recovery gedacht ist, sondern dazu, Menschen mit verlorenen Paßwörtern in den Wahnsinn zu treiben …
Nun begann nämlich ein umfangreiches Abfrage-Spielchen. Geht es um Outlook.com bzw. Hotmail, um Skype oder um die XBox? Dann: Name, Vorname, Postleitzahl (und weil er kürzlich umgezogen ist, nahmen wir die alte). Die Mailadresse, mit welcher der Account ursprünglich verknüpft war. Dann sollte er drei Accounts aus seiner Kontaktliste benennen, entweder Vor- und Nachname oder den Skype-Namen. Hatten wir auch noch.
Schließlich wurde die Frage gestellt, ob er schonmal was bei Microsoft gekauft habe. Zuerst dachte ich, das müsse „ja“ heißen, denn die Lizenz des Windows XP, mit dem ich da gerade zugange war, ist legal. Aber die meinen das anders: In diesem Fall soll man seine Kreditkarten-Daten eingeben. Sie werden angeblich auch ganz bestimmt nicht genutzt, um die Kreditkarte zu belasten. Zum Glück kann man in diesem Abfrage-Marathon auch zurückgehen, so daß ich das Feld mit der Frage nach dem Kauf nachträglich noch auf Nein umsetzen konnte.
Dann hieß es: Wir prüfen das jetzt und schicken binnen 24 Stunden eine Mail, ob uns die Daten reichen, um das Paßwort zurückzusetzen.
Die Mail kam relativ schnell. Die Daten hatten angeblich nicht gereicht. Aus der Mail ging allerdings auch hervor, daß das nicht von einem Menschen, sondern nur von einer Software geprüft worden war. Man könne es aber noch weiter versuchen. Dann werde man nach Mailadressen gefragt, mit denen man in letzter Zeit Kontakt hatte, und nach den Betreffs solcher E-Mails.
Ähm, hallo?
Wir haben dann einfach einen neuen Account angelegt. ¯\_(ツ)_/¯
8. März 2018 at 22:39
Ich sehe bei diesem ganzen Sachverhalt zwei grundsätzliche Fragen:
– Soll eine Software, die ein Passwort lokal abgespeichert hat, dieses Passwort auf Verlangen anzeigen?
– Wie soll sich ein Anbieter von Internet-Dienstleistungen verhalten, wenn ein Nutzer sein Passwort nicht mehr weiß und die bei der Anmeldung angegebenen Daten (E-Mail-Adresse) nicht bzw. nicht mehr stimmen?
Die erste Frage wird von manchen Softwareentwicklern mit „ja“ beantwortet. Zum Beispiel für den E-Mail-Client Thunderbird finde ich recht schnell Anleitungen, wo der Menüpunkt zum Anzeigen der Passwörter versteckt ist. Das heißt, daß jemand, der kurzzeitig physikalischen Zugang zu meinem Rechner hat, recht schnell an meine Passwörter herankommt. So ganz wohl ist mir dabei nicht.
Bei der zweiten Frage bin ich genauso gespalten. Das Szenario, daß ich mich aus Anonymitätsgründen bewusst mit falschen Daten oder mit temporären E-Mail-Adressen irgendwo anmelde und bei Paßwortverlust dann dumm dastehe, ist ja durchaus realistisch. Andererseits möchte ich nicht, daß jemand anders meinen Account übernehmen kann.
Es gibt Stalking, es gibt Pishing, es gibt Rache von Ex-Partnern, es gibt False-Flag-Aktionen von Neonazis, es gibt Industriespionage, und es gibt auch einfach Spielkinder, die ihre Grenzen austesten. Deswegen habe ich gerade bei Internet-Diensten, die der Kommunikation dienen, ein sehr großes Interesse daran, daß meine Accounts nicht von jemand anders übernommen werden können – auch nicht von jemand anders, der mich gut kennt.
Aus guten Grund sind ja die sogenannten Sicherheitsabfragen („Wie hieß ihr erstes Haustier?“ etc.) als eklatante Sicherheitslücken erkannt worden und werden mittlerweile geschmäht. Wir machen uns ja nicht Gedanken um Ende-zu-Ende-Verschlüsselung, um sichere Schlüssellängen, um Schutz gegen Seitenkanalangriffe, um dann die Endpunkte der Kommunikation wieder unsicher werden zu lassen. Wir wollen keinen Tresor bauen, dessen Rückwand aus Pappe besteht.
Deswegen habe ich auch erst mal geschluckt, als in diesem Szenario in Aussicht stand, daß es man einfach eine neue E-Mail-Adresse angeben kann und Microsoft an diese dann die Zugangsdaten schickt. Zum Glück hat Microsoft das dann doch nicht getan, sondern ein paar Hürden aufgebaut.
Aber auch die Forderung, drei Kontakte zu benannten, ist ja keine wirkliche Hürde. Ein rachsüchtiger Ex-Partner, mit dem man jahrelang zusammengelebt hat, kann wahrscheinlich Dutzende Kontakte auswendig aufsagen. Aber selbst jemand, der mich kaum kennt, dürfte mit einer Google-Suche recht bald einen Kreis potentieller Kommunikationspartner von mir zusammengesammelt haben. Wenn Microsoft das dann so einfach als Legitimation akzeptiert, dann habe ich doch den Tresor mit der Papprückwand. Da würde ich wohl auch sagen „Ähm, hallo?“. „So einfach lasst ihr es zu, daß mein Account von jemand anders gekapert wird?“.
Da ist die Frage nach genaueren Details der Kommunikation schon zielführender, um sicherzustellen, daß es doch keine fremde Person ist, sondern ich selbst, der da seinen Zugang wiederbekommen will. Aber so richtig wohl ist mir dabei auch nicht. Screenshots von Chat-Verläufen werden auf Twitter gepostet, E-Mail-Dialoge mit dem Kundenservice von Firmen werden in Webforen diskutiert – und es ist dabei ja auch nicht immer klar: Welche Sachen soll ich besser schwärzen, und welche sind unkritisch?
9. März 2018 at 0:01
Wenn jemand kurzzeitig direkten Zugang zu Deinem Rechner hat und dann bereits gezielt und ohne Dein Wissen Paßwörter abgreifen kann, ist so ein Paßwort für einen einzelnen Dienst vermutlich Dein kleinstes Problem. 🙂
Stichworte: Screensaver/Screenlock, verschlüsselte Platte, ggf. externe Boot-Partition (auf USB-Stick, CF-/SD-Karte oder sowas).
Da dieser Rechner und auch der, auf dem der Eigentümer Skype in Zukunft verwenden will, ausschließlich in der Wohnung benutzt und nirgendwo mit hingenommen wird, können da nur Leute ran, denen er sowieso vertraut (und sie daher in die Wohnung läßt). Ermittler (nicht daß ich da welche erwarten würde) und andere neugierige Leute werde ich auf Dauer auf allen Maschinen gegen ein LUKS-LVM bzw. da, wo es noch Windows sein soll, gegen VeraCrypt rennen lassen. So schnell kommt man da nicht an Paßwörter.
Das ist schon spannender. Das Ausschnüffeln von E-Mail-Kommunikation gehört für mich eindeutig nicht dazu, auch nicht auf automatisierter Basis. Schon die Abfrage der Kreditkarten-Daten ist – da es gerade nicht um Zahlungen geht – in meinen Augen datenschutztechnisch kritikwürdig. Dazu kommt, daß der Automatismus hätte feststellen können, wie lange der Account schon nicht mehr benutzt worden war. Damit ist völlig unklar, ob eine Kreditkarte von einem früheren Kauf derzeit noch benutzt wird oder gültig ist. Da gehen die Microsofties offenbar von amerikanischen Verhältnissen aus, wo Kreditkarten viel häufiger und viel selbstverständlicher benutzt werden als hier.
Die E-Mail an die neu angegebene Adresse mit dem Zahlencode sollte ja erstmal nur feststellen, ob derjenige, der einen Passwort-Reset anfordert, tatsächlich Herr über diese Mailadresse ist. Das hat natürlich noch nichts mit der Identifikation zu tun; das war mir soweit auch klar, deshalb schrieb ich ja auch, das wäre dann wirklich zu einfach gewesen.
Dein Einwand wegen der drei Kontakte ist zugegebenermaßen berechtigt. Ich habe da jetzt natürlich nur diesen einen Menschen gesehen mit seinen insgesamt wohl eher unter 10 Kontakten.
Kommunikationsdetails wie Mailadressen und -Betreffs könnte ein vorher nahestehender Mensch allerdings durchaus auch kennen. Ich vermute, daß Microsoft da natürlich nur mit Mailadressen was anfangen kann, die über deren eigene Mailserver laufen, also zum Beispiel Adressen unter @microsoft.com, @hotmail.com oder @outlook.com. Dann kann ein Bot tatsächlich nachgucken, ob die Adressen existieren und welche Betreffs da abzulesen sind. Betroffen ist dann nicht nur derjenige, der sein Paßwort wiederhaben will, sondern auch jeder, dessen Mailadresse er dafür angibt.
Ich wäre darüber wirklich nicht begeistert. Wenn ein Bot dort im Netz das abfragen kann, können es ja möglicherweise auch andere. So oft, wie ich bereits Spam und andere Unfreundlichkeiten aus den Microsoft-IP-Bereichen gesehen habe, würde ich der dortigen Sicherheits-Infrastruktur nicht wirklich trauen – um es mal nett auszudrücken. Das ist das eine.
Das andere: Auch hier wird offenbar davon ausgegangen, daß der Paßwort-Verlust erst vor kurzer Zeit aufgetreten ist, und nicht vor über zwei Jahren. Wenn die Mailadresse des Anfordernden schon länger nicht mehr benutzt werden konnte, aus welchen Gründen auch immer, werden Mails von dort an irgendwelche Accounts auf MS-Mailservern auch schon entsprechend alt sein. Ich habe die Mail von Microsoft so in Erinnerung, daß man Betreffs „aus der letzten Zeit“ prüfen wolle. Tja, selbst wenn er Adressen wüßte, wären entsprechende Mails dort mit hoher Wahrscheinlichkeit nicht mehr da, eventuell sogar die Mailadressen selbst. Und auch bei der Verwendung von IMAP wird ja irgendwann mal aufgeräumt. Auf gar keinen Fall wären diese Angaben noch zeitnah.
Die ursprüngliche Mailadresse dagegen erscheint mir durchaus ein sinnvolles Kriterium zu sein. Mailadressen können verloren gehen, zum Beispiel, weil der Provider dichtmacht oder keine Mailadressen mehr für seine Kunden anbieten möchte. Oder wie bei mir, als ich meinen Anschluß bei der Telekom gekündigt hatte: Da verlor ich natürlich auch meine @t-online.de-Adresse. Ich habe vorher einige Accounts, die an diese Mailadresse gebunden waren, umgestellt; sowas wie Skype hätte ich dabei garantiert vergessen. Daß sowas passieren kann, sollte eigentlich auch bei Microsoft klar sein. Was ich aber noch wissen kann, ist, wie die Adresse lautete, wenn ich gezielt danach gefragt werde, auch wenn ich sie (derzeit oder generell) nicht mehr abfragen kann.
Aktuell wird ja mit anderen Dingen gearbeitet: 2 factor authorization, kurz 2FA, bei dem man ein Paßwort eingeben muß und einen zusätzlichen einmaligen Code, den man dann als SMS bekommt. Der Haken ist halt, daß man dann (s)eine Handy-Nummer herausgeben muß. Nicht jeder kann oder will das, und nicht jeder kann oder will sich eine zweite SIM-Karte leisten, die dann nur für so einen Kram benutzt wird, aber zum Beispiel keine Anrufe annimmt.
Microsoft mag – zumindest im Zusammenhang mit Skype und im Gegensatz zu Google Plus und Twitter – diese Möglichkeit offenbar nicht nutzen. Bei der Einrichtung des neuen Accounts wurden wieder nur wenige Daten abgefragt: Vorname, Nachname, Postleitzahl (nicht die genaue Adresse), Geburtsdatum; dazu wurde wiederum mit einem vierstelligen Zahlencode überprüft, ob man die Herrschaft über die angegebene Mailadresse hat. Fertig war der Account. Sogar eine dieser bescheuerten „Sicherheitsfragen“ wäre da vermutlich noch sicherer.
Oder anders: Weder bis 2015 noch aktuell hat Microsoft selbst irgendwelche sinnvollen Mechanismen implementiert, die eine (nur schwer bis gar nicht mißbrauchbare) Paßwort-Wiederherstellung ermöglichen. Bei einem Verlust der derzeitigen Mailadresse wäre das Problem wieder dasselbe. Dann sollen sie aber nicht sagen, wir machen Recovery, sondern knallhart erklären, wenn Dein Account geknackt ist oder Du Dein Paßwort vergessen hast, vergiß den Account, der ist dann halt weg.
12. März 2018 at 23:12
Kannst Du es tatsächlich so generell ausschließen, daß andere Personen direkten Zugriff auf Deinen Rechner haben?
In Deiner Fallbeschreibung über den Versuch, das alte Skype-Passwort zurückzusetzen, hast Du ja auch fremden Personen Vollzugriff auf den Rechner gewährt, zwar keinen zeitgleich persönlich anwesenden Personen, sondern den Programmierern verschiedener Exe-Files, aber im Gegensatz zu persönlich anwesenden Personen kannst Du den durch ihre Exe-Files vertretenen Programmierern noch nicht einmal über die Schulter sehen, während sie irgendwas mit dem Rechner machen.
Hast Du diese Personen bzw. ihre Download-Angebot vorher auf Vertrauenswürdigkeit untersucht? Weisst Du, wie deren Motivation aussieht, so ein Tool zum Passwort-Wiederherstellen zu veröffentlichen, und wie sie an die zur Erstellung so eines Programmes Informationen herangekommen sind, während Du trotz ausgiebiger Suche im Web dazu nichts gefunden hast? Bist Du Dir sicher, daß die Programme nicht einfach nur angezeigt haben, daß sie nicht funktionieren würden, während sie gleichzeitig die Paßwörter zu anderen Programmen und alle auf dem Rechner noch in irgendwelchen Dateien vorhandenen E-Mail-Adressen zusammengesucht und an einen zentralen Server geschickt haben?
Was bedeuten Stichworte wie „Screensaver/Screenlock“ oder der Hinweis auf verschlüsselte Festplatten für mich zu Hause? Ich bekomme manchmal Besuch. Und dann werde ich auch mal gefragt, ob man auf meinen Rechner mal eben die E-Mails bei GMX nachsehen kann. Soll ich dann sagen „Nein, Dich kenne ich noch nicht gut genug, Dich lasse ich nicht an meinen Rechner.“? Ab wann kenne ich jemanden gut genug, um ihn an meinen Rechner zu lassen? Soll ich meinen Besuchern über die Schulter sehen, während sie an meinem Rechner ihre privaten E-Mails lesen? Darf meine Nachbarin, die mich ab und zu besucht, an meinen Rechner, aber der Kumpel, den sie mitbringt und mit dem sie gut befreundet ist, dagegen nicht?
Dann stehe ich in der Küche am Herd und bereite das Essen vor. Es fällt mir ein, daß wir nachher noch wegfahren wollen und es sinnvoll wäre, wenn jemand im Internet nach der Fahrplanauskunft sieht. Also geht mal jemand an meinen Rechner und schaut nach. Was der vielleicht sonst noch macht, das bekomme ich ja gar nicht mit.
Und selbst, wenn ich den Menschen vertraue: Ich weiß doch gar nicht, was sie in vermeintlich gutem Glauben anrichten. Auch jemand, dem ich vertraue, kann in seiner Webmail-Oberfläche eine E-Mail mit einer ausführbaren Datei erhalten und diese mit einem Doppelklick ausführen. Oder er kann durch eine Google-Suche auf eine Webseite geraten, wo ihm eingeredet wird, daß er jetzt unbedingt eine bestimte Exe-Datei herunterladen und ausführen muß, um zu der gewünschten Information zu kommen.
Nun kann man noch einwenden, daß zumindest wir beide ein wenig technischen Sachverstand haben, und daß wir deshalb in der Lage sind, für solche Fälle einen Gastzugang auf dem Rechner einzurichten. Von dem Gastzugang käme man dann nicht auf meine E-Mail-Paßwörter oder andere persönliche Daten von mir.
Aber ist das realistisch? So ein Gastzugang wäre für mich ja völlig unnütz, ich selbst würde ihn also gar nicht benutzen. Nun kündigt sich ganz überraschend und kurzfristig Besuch an. Muß ich also zunächst prüfen, ob der Gastzugang an meinem Rechner funktioniert, bavor ich dem Besuch zusage? Dann bin ich damit beschäftigt, den Desktop aufzuräumen und das Firefox-Profil zu aktualisieren, obwohl ich doch eigentlich die Wohnung saugen und meine Schmutzwäsche in die Waschmaschine packen müsste.
Und dann stehe ich vor dem Herd, rühre im Topf mit den Nudeln, während jemand an meinem Rechner etwas nachschauen will. Und mir fällt ein, daß ich gerade doch noch mit meinem eigenen Account angemeldet bin. Also rufe ich „Halt! Finger weg vom Rechner!“, ich lasse das Nudelwasser überkochen, sprinte zum Rechner, um mich auszuloggen und mit dem Gastaccount wieder anzumelden, um dann festzustellen, daß es irgendein Problem gibt, daß jedenfalls der Firefox im Gastzugang ohne Fehlermeldung abstürzt.
Okay, vielleicht ist meine Schilderung etwas dramatisch. Was ich sagen will, ist: Sicherheitskonzepte für den Rechner hören sich in der Theorie meist ganz toll an, in der Praxis ergeben sich aber dann doch viele andere Umstände. Deshalb muß jede einzelne Komponente (also jedes einzelne Stück Software) davon ausgehen, daß alles drumherum möglicherweise kompromitiert ist. Und deswegen habe ich große Bauchschmerzen, wenn eine Software (wie es zum Beispiel Thunderbird tut) das Paßwort (in diesem Fall für POP3 und SMTP) einfach an denjenigen herausrückt, der gerade vor dem Rechner sitzt.