Rainbow Tables: Windows-Passwörter nicht mehr sicher

In Windows reicht der Hashwert eines Passwortes in der Regel aus, um in ein System einzudringen. Es ist gar nicht notwendig, das Klartextpasswort zu ermitteln. Dazu sind jedoch recht komplexe Tools, etwa das Metasploit-Framework, erforderlich. Wie das funktioniert, beschreibt der Artikel „Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver„. Das Herunterladen von Rainbow-Tabellen und Anwenden von Knackprogrammen, die es auch mit grafischer Oberfläche gibt, ist hingegen sehr einfach.

Der genannte Artikel erläutert ebenfalls, wie man an Hashwerte von Passwörtern kommt. Ein Administrator liest etwa von einem Domain-Controller die Hashwerte der Passwörter aller Nutzer einfach aus. Mitarbeiter von Firmen können beispielsweise auf ihrem Arbeitsplatzrechner einen Share einrichten, um Kollegen dorthin zu locken, indem sie etwa MP3-Files oder Filme dort anbieten. Mit speziellen Tools lassen sich die Passwort-Hashwerte aus dem Speicher holen.

Auch wenn die frei verfügbaren Rainbow-Tabellen aus dem Internet nicht alle Passwörter ermitteln können, ist die Erfolgsrate sehr hoch, wenn man beispielsweise die gesamte Hashwertliste einer Active-Directory-Domäne besitzt. Das ist vor allem unter dem Gesichtspunkt interessant, dass Nutzer oftmals dieselben Passwörter für ihr Firmen-Account und andere Dienste im Internet benutzen. So kann man versuchen, in private E-Mail-Konten, Facebook-Accounts oder Homebanking-Systeme einzudringen.

Die meisten anderen Betriebssysteme bieten einen besseren Schutz. Unixoide Betriebssysteme wie Linux nutzen in der Regel einen Salt. Das verhindert die Nutzung von allgemeinen Rainbow-Tabellen. Rainbow-Tabellen müssten für jeden Rechner einzeln erstellt werden. Da das ein aufwändiger Prozess ist, für den auch Distributed-Computing-Projekte mehrere Jahre brauchen, bietet ein Salt einen guten Schutz.

Ein anderer Einsatz von Rainbow-Tabellen ist das Entschlüsseln von Handy-Gesprächen im GSM-Standard. Der Forscher Karsten Nohl konnte in wenigen Monaten eine 2 TByte große Tabelle erstellen, mit der sich die schwach verschlüsselten Gespräche abhören lassen.

So ist man sicher vor Rainbow-Angriffen

Die beste Möglichkeit, sich gegen Rainbow-Angriffe zu schützen, ist ein langes Passwort. Am besten verwendet man einen Satz anstelle eines Wortes, etwa Ich_esse_gerne_Kaese_123. Das kann man sich leicht merken. Wenig empfehlenswert sind Passwörter wie Ott0_h0lt.r0te$Rosen. Das Ersetzen des Buchstaben „O“ durch die Zahl „0“ führt oft dazu, dass man sich dass Passwort nicht merken kann. Nimmt man einen langen Satz, ist man gegen Wörterbuchattacken ebenfalls gut geschützt.

Ferner sollte man nur ein Sonderzeichen nutzen. Der Unterstrich ist fast immer erlaubt. Viele andere Sonderzeichen machen in bestimmten Fällen Probleme. Umlaute sollte man wegen der Zeichensatzproblematik generell vermeiden. Schwierigkeiten mit Umlauten gibt es auch, wenn man aus dem Internetcafé seine E-Mails abrufen möchte und feststellt, dass dort keine deutsche Tastatur vorhanden ist.

Das Nutzung einer Ziffernfolge wie 123 dient in erster Linie dazu, eventuelle Passwortrichtlinien zu befolgen, etwa wenn Ziffern und Sonderzeichen gefordert werden. Die Phrase Ich_esse_gerne_Kaese bietet auch ohne _123 durch ihre Länge einen sehr guten Schutz gegen alle bekannten Angriffe.

Wer sein Passwort regelmäßig ändern muss, sollte darüber nachdenken, zunächst eine Ziffernfolge wie 001 zu nutzen. Läuft das Passwort ab, kann man auf 002 und so weiter wechseln. Das sehen Administratoren zwar nicht gerne, aber schützt vor vergessenen Passwörtern.

Themenseiten: Hacker, Privacy, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

9 Kommentare zu Rainbow Tables: Windows-Passwörter nicht mehr sicher

Kommentar hinzufügen
  • Am 24. Februar 2016 um 10:04 von Daniel

    Sehe ich auch so.

  • Am 13. November 2013 um 8:33 von Horst

    Zunächst einmal ist der Artikel recht informativ. Doch den Vorschlag einen Satz statt eines ordentlichen Passworts zu verwenden halte ich schon fast für kriminell!

    Es mag sein das man hier mit rainbow-Tables nicht weit kommt. Aber hier helfen dann wieder Wörterbuch-Attacken weiter indem man einfach verschiedene Wörter innerhalb der Liste zusammensetzt. Auch hier gibt es Tools die das problemlos hinkriegen.

    Die Aussage nur ein Sonderzeichen zu verwenden ist auch an fahrlässigkeit kaum zu überbieten, genau wie die Zeichenfolge 123 hinten dran zu hängen oder 001 oder was weiß ich.

    Fast genauso schlimm ist die Aussage man sollte O´s nicht durch 0en ersetzen da man diese ja vergessen könnte… Leute, das ist nicht euer Ernst?!

    Außerdem ist jeder User selber schuld der Passwörter unter einer Länge von 12 Zeichen verwendet.

  • Am 14. Januar 2011 um 16:11 von JoKrause

    Wie muss man sich das Durchprobieren der Passwörter denn vorstellen?
    Da ich absoluter Laie auf diesem Gebiet bin, die Thematik aber hochinteressant finde, eine kurze Frage:

    Wenn ein Angreifer nun eine Liste von Passwörtern zur Verfügung hat, die er durchprobieren möchte, wie geht er denn dann vor. Ich lese immer wieder von Programmen, die eine Anmeldung bei den zu knackenden Systemen vornehmen. Warum wird ein Angreifer denn nicht gezwungen, die Anmeldedaten ganz normal in die Eingabemaske einzugeben. Allein die Verzögerung, die bei der Anmeldung dann entsteht, sollte doch ein wirtschaftliches Durchprobieren der Passwörter unmöglich machen.

    Verstehe ich das also richtig, dass es neben der normalen Anmeldung auch einen Weg „hintenherum“ gibt, auf dem sich ein Angreifer bei einem System einloggen kann? Trifft das auch auf Webserver zu?

    • Am 17. Januar 2011 um 14:03 von Rainer

      AW: Wie muss man sich das Durchprobieren der Passwörter denn vorstellen?
      An normalen Home-PCs und Laptops, also Geräte zu denen man physikalischen, tatsächlichen Zugriff hat, kann die Boot-Reihenfolge geändert werden. Dann wird eben von CD oder USB-Stick ein anderes Betriebssystem geladen und das greift auf den Hash-Speicher der Windowsinstallation zu.
      Sie können ja mal den Versuch bei sich machen. Bei Sourceforge.net gibt es ein quelloffenes Programm, das hier o** … genannt wurde. Ich war erstaunt, wie fix das mit kurzen Passwörtern ging.
      „Trügerische Sicherheit“ könnte man den Windows Passwortschutz nennen. Sicher, 5 min braucht das schon und somit ist man evtl. vor neugierigen Arbeitskollegen geschützt.

      Genauso gefählich: Von öffentlichen Rechnern auf E-Mailkonten, Facebook, MySpace, … zuzugreifen. Danach sollte man gleich zu Hause das Passwort wechseln.

  • Am 12. Januar 2011 um 14:11 von Felix

    Naja
    1) 6 zeichen lange passwoerter sind ohnehin ein Witz
    2) Man kann Windows auch so einstellen dass nach einer Reihe erfolgloser Anmeldeversuche (etwa 3) der Zugriff fuer eine Zeit (zum Beispiel 30 Minuten) gesperrt ist. (Windows Policy). Damit waere man gegen so einen Angriff ziemlich sicher …

    • Am 12. Januar 2011 um 14:27 von Christoph H. Hochstätter

      AW: Naja
      Die Verzögerung nach drei Falscheingaben greift hier nicht. Man holt sich einfach mit einem Tool wie **dump oder o**crack die Hashwerte aus der SAM. Das klappt immer beim ersten Versuch. Danach verwendet man die Rainbow-Tabellen, um aus den Hashes das Passwort zu berechnen.

      • Am 12. Januar 2011 um 15:55 von Felix

        AW: AW: Naja
        Danke fuer die Info. Das war mir nicht bekannt.

        Wie ist die Moeglichkeit das ein 14 Zeichen langes Password mit Gross/Kleinschreibung plus Sonderzeichen und Zahlen mit rainbow tables ausgelesen wird?

        • Am 12. Januar 2011 um 22:07 von yuki

          AW: AW: AW: Naja
          Na denn werde ich wohl mal den japanischen Zeichensatz installieren

  • Am 12. Januar 2011 um 12:13 von Mike Hauser

    Interessanter Artikel
    Auch wenn ich nur 80% davon verstehe – interessanter, gut zu lesender Artikel – ich kannte die Methodik nicht und muss mir wohl jetz ein neues Passwort überlegen. :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *