In Windows reicht der Hashwert eines Passwortes in der Regel aus, um in ein System einzudringen. Es ist gar nicht notwendig, das Klartextpasswort zu ermitteln. Dazu sind jedoch recht komplexe Tools, etwa das Metasploit-Framework, erforderlich. Wie das funktioniert, beschreibt der Artikel „Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver„. Das Herunterladen von Rainbow-Tabellen und Anwenden von Knackprogrammen, die es auch mit grafischer Oberfläche gibt, ist hingegen sehr einfach.
Der genannte Artikel erläutert ebenfalls, wie man an Hashwerte von Passwörtern kommt. Ein Administrator liest etwa von einem Domain-Controller die Hashwerte der Passwörter aller Nutzer einfach aus. Mitarbeiter von Firmen können beispielsweise auf ihrem Arbeitsplatzrechner einen Share einrichten, um Kollegen dorthin zu locken, indem sie etwa MP3-Files oder Filme dort anbieten. Mit speziellen Tools lassen sich die Passwort-Hashwerte aus dem Speicher holen.
Auch wenn die frei verfügbaren Rainbow-Tabellen aus dem Internet nicht alle Passwörter ermitteln können, ist die Erfolgsrate sehr hoch, wenn man beispielsweise die gesamte Hashwertliste einer Active-Directory-Domäne besitzt. Das ist vor allem unter dem Gesichtspunkt interessant, dass Nutzer oftmals dieselben Passwörter für ihr Firmen-Account und andere Dienste im Internet benutzen. So kann man versuchen, in private E-Mail-Konten, Facebook-Accounts oder Homebanking-Systeme einzudringen.
Die meisten anderen Betriebssysteme bieten einen besseren Schutz. Unixoide Betriebssysteme wie Linux nutzen in der Regel einen Salt. Das verhindert die Nutzung von allgemeinen Rainbow-Tabellen. Rainbow-Tabellen müssten für jeden Rechner einzeln erstellt werden. Da das ein aufwändiger Prozess ist, für den auch Distributed-Computing-Projekte mehrere Jahre brauchen, bietet ein Salt einen guten Schutz.
Ein anderer Einsatz von Rainbow-Tabellen ist das Entschlüsseln von Handy-Gesprächen im GSM-Standard. Der Forscher Karsten Nohl konnte in wenigen Monaten eine 2 TByte große Tabelle erstellen, mit der sich die schwach verschlüsselten Gespräche abhören lassen.
So ist man sicher vor Rainbow-Angriffen
Die beste Möglichkeit, sich gegen Rainbow-Angriffe zu schützen, ist ein langes Passwort. Am besten verwendet man einen Satz anstelle eines Wortes, etwa Ich_esse_gerne_Kaese_123. Das kann man sich leicht merken. Wenig empfehlenswert sind Passwörter wie Ott0_h0lt.r0te$Rosen. Das Ersetzen des Buchstaben „O“ durch die Zahl „0“ führt oft dazu, dass man sich dass Passwort nicht merken kann. Nimmt man einen langen Satz, ist man gegen Wörterbuchattacken ebenfalls gut geschützt.
Ferner sollte man nur ein Sonderzeichen nutzen. Der Unterstrich ist fast immer erlaubt. Viele andere Sonderzeichen machen in bestimmten Fällen Probleme. Umlaute sollte man wegen der Zeichensatzproblematik generell vermeiden. Schwierigkeiten mit Umlauten gibt es auch, wenn man aus dem Internetcafé seine E-Mails abrufen möchte und feststellt, dass dort keine deutsche Tastatur vorhanden ist.
Das Nutzung einer Ziffernfolge wie 123 dient in erster Linie dazu, eventuelle Passwortrichtlinien zu befolgen, etwa wenn Ziffern und Sonderzeichen gefordert werden. Die Phrase Ich_esse_gerne_Kaese bietet auch ohne _123 durch ihre Länge einen sehr guten Schutz gegen alle bekannten Angriffe.
Wer sein Passwort regelmäßig ändern muss, sollte darüber nachdenken, zunächst eine Ziffernfolge wie 001 zu nutzen. Läuft das Passwort ab, kann man auf 002 und so weiter wechseln. Das sehen Administratoren zwar nicht gerne, aber schützt vor vergessenen Passwörtern.
Neueste Kommentare
9 Kommentare zu Rainbow Tables: Windows-Passwörter nicht mehr sicher
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Sehe ich auch so.
Zunächst einmal ist der Artikel recht informativ. Doch den Vorschlag einen Satz statt eines ordentlichen Passworts zu verwenden halte ich schon fast für kriminell!
Es mag sein das man hier mit rainbow-Tables nicht weit kommt. Aber hier helfen dann wieder Wörterbuch-Attacken weiter indem man einfach verschiedene Wörter innerhalb der Liste zusammensetzt. Auch hier gibt es Tools die das problemlos hinkriegen.
Die Aussage nur ein Sonderzeichen zu verwenden ist auch an fahrlässigkeit kaum zu überbieten, genau wie die Zeichenfolge 123 hinten dran zu hängen oder 001 oder was weiß ich.
Fast genauso schlimm ist die Aussage man sollte O´s nicht durch 0en ersetzen da man diese ja vergessen könnte… Leute, das ist nicht euer Ernst?!
Außerdem ist jeder User selber schuld der Passwörter unter einer Länge von 12 Zeichen verwendet.
Wie muss man sich das Durchprobieren der Passwörter denn vorstellen?
Da ich absoluter Laie auf diesem Gebiet bin, die Thematik aber hochinteressant finde, eine kurze Frage:
Wenn ein Angreifer nun eine Liste von Passwörtern zur Verfügung hat, die er durchprobieren möchte, wie geht er denn dann vor. Ich lese immer wieder von Programmen, die eine Anmeldung bei den zu knackenden Systemen vornehmen. Warum wird ein Angreifer denn nicht gezwungen, die Anmeldedaten ganz normal in die Eingabemaske einzugeben. Allein die Verzögerung, die bei der Anmeldung dann entsteht, sollte doch ein wirtschaftliches Durchprobieren der Passwörter unmöglich machen.
Verstehe ich das also richtig, dass es neben der normalen Anmeldung auch einen Weg „hintenherum“ gibt, auf dem sich ein Angreifer bei einem System einloggen kann? Trifft das auch auf Webserver zu?
AW: Wie muss man sich das Durchprobieren der Passwörter denn vorstellen?
An normalen Home-PCs und Laptops, also Geräte zu denen man physikalischen, tatsächlichen Zugriff hat, kann die Boot-Reihenfolge geändert werden. Dann wird eben von CD oder USB-Stick ein anderes Betriebssystem geladen und das greift auf den Hash-Speicher der Windowsinstallation zu.
Sie können ja mal den Versuch bei sich machen. Bei Sourceforge.net gibt es ein quelloffenes Programm, das hier o** … genannt wurde. Ich war erstaunt, wie fix das mit kurzen Passwörtern ging.
„Trügerische Sicherheit“ könnte man den Windows Passwortschutz nennen. Sicher, 5 min braucht das schon und somit ist man evtl. vor neugierigen Arbeitskollegen geschützt.
Genauso gefählich: Von öffentlichen Rechnern auf E-Mailkonten, Facebook, MySpace, … zuzugreifen. Danach sollte man gleich zu Hause das Passwort wechseln.
Naja
1) 6 zeichen lange passwoerter sind ohnehin ein Witz
2) Man kann Windows auch so einstellen dass nach einer Reihe erfolgloser Anmeldeversuche (etwa 3) der Zugriff fuer eine Zeit (zum Beispiel 30 Minuten) gesperrt ist. (Windows Policy). Damit waere man gegen so einen Angriff ziemlich sicher …
AW: Naja
Die Verzögerung nach drei Falscheingaben greift hier nicht. Man holt sich einfach mit einem Tool wie **dump oder o**crack die Hashwerte aus der SAM. Das klappt immer beim ersten Versuch. Danach verwendet man die Rainbow-Tabellen, um aus den Hashes das Passwort zu berechnen.
AW: AW: Naja
Danke fuer die Info. Das war mir nicht bekannt.
Wie ist die Moeglichkeit das ein 14 Zeichen langes Password mit Gross/Kleinschreibung plus Sonderzeichen und Zahlen mit rainbow tables ausgelesen wird?
AW: AW: AW: Naja
Na denn werde ich wohl mal den japanischen Zeichensatz installieren
Interessanter Artikel
Auch wenn ich nur 80% davon verstehe – interessanter, gut zu lesender Artikel – ich kannte die Methodik nicht und muss mir wohl jetz ein neues Passwort überlegen. :-)