Im Rahmen der Hackerkonferenz DEFCON wurde die inoffizielle Weltmeisterschaft im Passwörter knacken ausgetragen. Beim "Crack Me If You Can"-Wettbewerb (CMIYC), der jährlich von KoreLogic Security veranstaltet wird, treten Teams der beiden Klassen "Professional" und "Street" an. Unter den Profigruppen konnte sich das Team "hashcat" durchsetzen, das den Wettbewerb bereits in den Jahren 2010 und 2012 gewann.
1,84 Millionen Punkte
Das international besetzte Team konnte sich mit 1,84 Millionen Punkten vor dem zweitplatzierten Team "InsidePro" (1,64 Millionen Punkte) behaupten und sich so das Preisgeld von 600 US-Dollar sichern. Die Teams müssen im Rahmen des Wettbewerbs gehashte Passwörter, die speziell dafür erstellt wurden, knacken und den Klartext einreichen. Schwieriger zu knackende Hashes wie MD5 bringen dabei mehr Punkte als das Cracken eines DES-Hashes.
Szenario des Wettbewerbs
Das Szenario des Wettbewerbs wird folgendermaßen beschrieben: Im Rahmen genehmigter Penetrationstests von IT-Netzwerken eines Unternehmens habe man eine große Anzahl an Passwort-Hashes erlangt. Als Teil der Analyse sollen Komplexitätsstatistiken dieser Passwörter erstellt und schwache Passwörter ausfindig gemacht werden. Auch Heise weist darauf hin, dass nicht jeder Passwortknacker automatisch ein Krimineller sein muss. Die meisten von ihnen seien sogar respektable Mitglieder der Security-Gemeinde. (wen, derStandard.at, 11.8.2014)