Rainbow Tables: Windows-Passwörter nicht mehr sicher

In Windows reicht der Hashwert eines Passwortes in der Regel aus, um in ein System einzudringen. Es ist gar nicht notwendig, das Klartextpasswort zu ermitteln. Dazu sind jedoch recht komplexe Tools, etwa das Metasploit-Framework, erforderlich. Wie das funktioniert, beschreibt der Artikel „Pass-the-Hash-Angriffe: So knacken Hacker Firmenserver„. Das Herunterladen von Rainbow-Tabellen und Anwenden von Knackprogrammen, die es auch mit grafischer Oberfläche gibt, ist hingegen sehr einfach.

Der genannte Artikel erläutert ebenfalls, wie man an Hashwerte von Passwörtern kommt. Ein Administrator liest etwa von einem Domain-Controller die Hashwerte der Passwörter aller Nutzer einfach aus. Mitarbeiter von Firmen können beispielsweise auf ihrem Arbeitsplatzrechner einen Share einrichten, um Kollegen dorthin zu locken, indem sie etwa MP3-Files oder Filme dort anbieten. Mit speziellen Tools lassen sich die Passwort-Hashwerte aus dem Speicher holen.

Auch wenn die frei verfügbaren Rainbow-Tabellen aus dem Internet nicht alle Passwörter ermitteln können, ist die Erfolgsrate sehr hoch, wenn man beispielsweise die gesamte Hashwertliste einer Active-Directory-Domäne besitzt. Das ist vor allem unter dem Gesichtspunkt interessant, dass Nutzer oftmals dieselben Passwörter für ihr Firmen-Account und andere Dienste im Internet benutzen. So kann man versuchen, in private E-Mail-Konten, Facebook-Accounts oder Homebanking-Systeme einzudringen.

Die meisten anderen Betriebssysteme bieten einen besseren Schutz. Unixoide Betriebssysteme wie Linux nutzen in der Regel einen Salt. Das verhindert die Nutzung von allgemeinen Rainbow-Tabellen. Rainbow-Tabellen müssten für jeden Rechner einzeln erstellt werden. Da das ein aufwändiger Prozess ist, für den auch Distributed-Computing-Projekte mehrere Jahre brauchen, bietet ein Salt einen guten Schutz.

Ein anderer Einsatz von Rainbow-Tabellen ist das Entschlüsseln von Handy-Gesprächen im GSM-Standard. Der Forscher Karsten Nohl konnte in wenigen Monaten eine 2 TByte große Tabelle erstellen, mit der sich die schwach verschlüsselten Gespräche abhören lassen.

So ist man sicher vor Rainbow-Angriffen

Die beste Möglichkeit, sich gegen Rainbow-Angriffe zu schützen, ist ein langes Passwort. Am besten verwendet man einen Satz anstelle eines Wortes, etwa Ich_esse_gerne_Kaese_123. Das kann man sich leicht merken. Wenig empfehlenswert sind Passwörter wie Ott0_h0lt.r0te$Rosen. Das Ersetzen des Buchstaben „O“ durch die Zahl „0“ führt oft dazu, dass man sich dass Passwort nicht merken kann. Nimmt man einen langen Satz, ist man gegen Wörterbuchattacken ebenfalls gut geschützt.

Ferner sollte man nur ein Sonderzeichen nutzen. Der Unterstrich ist fast immer erlaubt. Viele andere Sonderzeichen machen in bestimmten Fällen Probleme. Umlaute sollte man wegen der Zeichensatzproblematik generell vermeiden. Schwierigkeiten mit Umlauten gibt es auch, wenn man aus dem Internetcafé seine E-Mails abrufen möchte und feststellt, dass dort keine deutsche Tastatur vorhanden ist.

Das Nutzung einer Ziffernfolge wie 123 dient in erster Linie dazu, eventuelle Passwortrichtlinien zu befolgen, etwa wenn Ziffern und Sonderzeichen gefordert werden. Die Phrase Ich_esse_gerne_Kaese bietet auch ohne _123 durch ihre Länge einen sehr guten Schutz gegen alle bekannten Angriffe.

Wer sein Passwort regelmäßig ändern muss, sollte darüber nachdenken, zunächst eine Ziffernfolge wie 001 zu nutzen. Läuft das Passwort ab, kann man auf 002 und so weiter wechseln. Das sehen Administratoren zwar nicht gerne, aber schützt vor vergessenen Passwörtern.