Um gute Erfolge mit Rainbow-Tabellen zu erzielen, braucht man nicht unbedingt gigantische Datenbanken. Die nachfolgende Tabelle gibt einen Überblick über die notwendige Datenbankgröße bei Vollenumeration und bei der Verwendung von „perfekten Rainbow-Tabellen“, die keine Kollisionen beinhalten. Ferner wird in der Tabelle der Sonderfall betrachtet, wenn das Password nicht case-sensitive ist. Dadurch verringert sich die Datenbankgröße erheblich. Das ist etwa bei der LM-Authentifizierung unter Windows der Fall, die Rückwärtskompatibilität zum Microsoft-LAN-Manager sicherstellt.
Moderne Windows-Version nutzen die bessere NTLM- oder NTLMv2-Authentifizierung und speichern keine LM-Hashwerte. Die Hashwerte bei NTLM und NTLMv2 sind identisch.
Größe von vollenumerierten Datenbanken und Rainbow-Tabellen im Vergleich | ||||
| Passwortlänge | Datenbankgröße Vollenumeration (MD5, NTLM) | Datenbankgröße Vollenumeration (LM) | Rainbow-Tabellen Kettenlänge 10.000 (MD5, NTLM) | Rainbow-Tabellen Kettenlänge 10.000 (LM) |
|---|---|---|---|---|
| 6 Zeichen | 2,35 TByte | 148,68 GByte | 134,64 MByte | 8,30 MByte |
| 7 Zeichen | 172,27 TByte | 6,68 TByte | 10,74 GByte | 426,28 MByte |
| 8 Zeichen | 12,29 PByte | 306,64 TByte | 859,02 GByte | 20,93 GByte |
| 9 Zeichen | 896,03 PByte | 13,73 PByte | 66,06 TByte | 1,01 TByte |
| 10 Zeichen | 63,70 EByte | 628,06 PByte | 5,02 PByte | 49,47 TByte |
In der Praxis gibt es keine perfekten Rainbow-Tabellen. Sie enthalten Kollisionen und Merges. Daher sind sie meist größer. Außerdem lässt sich nicht jedes Passwort knacken. Tabellen, die man im Internet herunterladen kann, besitzen eine Erfolgswahrscheinlichkeit zwischen 50 und 90 Prozent.
Ferner decken die meisten Tabellen nicht alle Passwörter ab. ZDNet macht einen Test mit Tabellen, die Passwörter mit maximal sieben Zeichen knacken können. Erlaubte Zeichen sind Kleinbuchstaben, Zahlen und Sonderzeichen. Passwörter, die Großbuchstaben enthalten können mit diesen Tabellen nicht entschlüsselt werden. Die Tabellengröße beträgt 11,43 GByte.
Das erste Passwort führt relativ schnell zum Erfolg. Nach einer Minute und 42 Sekunden steht das richtige Passwort in Klartext auf dem Bildschirm. 81 Sekunden werden alleine für das Einlesen der Tabellen benötigt. Ein zweites Passwort wird mit den Tabellen nicht gefunden. Nach über neun Minuten meldet das Knackprogramm, dass es aufgibt.
Als Hardware wurde ein Lenovo-T60-Notebook mit Core-2-Duo-CPU und 2,33 GHz Taktfrequenz verwendet. Der Test wurde auf nur einem Core durchgeführt. Bei Nutzung von zwei Threads verringert sich die Zeit für das Knacken des ersten Passworts um neun Sekunden. Will man nur einen Hashwert knacken, spielt die CPU-Zeit eine untergeordnete Rolle, hat man hingegen eine ganze Liste von Hashwerten, etwa aus einer Active-Directory-Datenbank, bringt ein schneller Rechner mit vielen Cores Vorteile.
Die Erstellung von Rainbow-Tabellen ist eine aufwändige Angelegenheit. Sie werden meist mittels Distributed-Computing-Projekten mit tausenden von Rechnern in jahrelanger Arbeit ermittelt. Durch ständige Verbesserung steigt die Erfolgswahrscheinlichkeit stark an.
Man findet beispielsweise „Hobbyisten-Projekte“ im Internet. Die von ZDNet genutzten Tabellen stammen aus so einem Projekt. Es ist davon auszugehen, dass Regierungen und Geheimdienste über wesentlich bessere und umfangreichere Tabellen verfügen. Ferner findet man „kommerzielle“ Dienste im Internet, die gegen Bezahlung einen Hashwert in ein Klartextpasswort umwandeln.
Auch ein gesättigter Markt für Verbraucher belastet den Markt. In diesem Jahr soll die Migration…
Ocelot setzt auch eine neue Art von Qubits. Sie sollen den Ressourcenbedarf für die Fehlerkorrektur…
Endgeräte, Apps und Mobilkommunikation sollen dieses Jahr 40,1 Milliarden Euro umsetzen. Ein Plus von 2…
Schützen Sie sich vor KI-gestützten Reisebetrügereien! Erfahren Sie, wie Cyberkriminelle vorgehen und welche Maßnahmen Sie…
Der Nettogewinn steigt gegenüber dem Vorjahreszeitraum um 80 Prozent. Beide Kategorien übertreffen die Vorhersagen von…
Infineon erhält weltweit erste Common-Criteria-Zertifizierung für die Implementierung eines quantensicheren Sicherheitscontrollers.