Mir ist heute eine Werbung für eine Pentestfirma entgegengeflattert. Darauf stand der schöne Satz:
Speicher dir das. So knacke ich ein Passwort, ohne es je zu raten.
In der Grafik waren – ich kopiere und zeige sie hier bewusst nicht – ungefähr diese drei Befehle zu sehen:
hashcat -m 1000 hash.txt rockyou.txt
hashcat -m 1000 hash.txt rockyou -r best64.rule
hashcat -m 1000 hash.txt -a3 ?u?l?l?l?l?d?d
Das Problem ist nicht Hashcat. Das Problem ist die Behauptung, hier werde ein Passwort geknackt, „ohne es je zu raten“ – gefolgt von drei Varianten des Ratens. Eine RockYou-Wortliste als geheimnisvolle Pentest-Magie zu verkaufen, ist fachlich schon ziemlich dreist.