Rainbow Tables: Windows-Passwörter nicht mehr sicher

Mittels Rainbow-Tabellen und Knackprogrammen, die man im Internet herunterladen kann, lassen sich Windows-Passwörter mit einer Länge von bis zu etwa zehn Zeichen von jedermann mit normalen Heimequipment mit hoher Wahrscheinlichkeit knacken. Das ist selbst mit leistungsschwachen Rechnern meist nur ein Frage von Minuten. Die meiste Zeit benötigt man für Disk-I/O, weil die Tabellen in der Regel größer als der Hauptspeicher sind.

Das Prinzip beruht auf großen Datenbanken, die dafür sorgen, dass im Gegensatz zu einem Brute-Force-Angriff viel weniger Rechenleistung benötigt wird. Anstelle, alles selber zu berechnen, lässt sich ein Großteil in der im Voraus generierten Rainbow-Tabelle nachschlagen. Man spricht von einem „Time-Memory-Tradeoff“.

Das Erstellen solcher Rainbow-Tabellen ist ein rechen- und zeitintensiver Prozess. Rainbow-Tabellen werden meist in Distributed-Computing-Projekten mit mehreren tausend Teilnehmern erstellt. Bis brauchbare Tabellen mit über 50 Prozent Erfolgswahrscheinlichkeit für Passwörter mit bis zu zehn Zeichen entstehen, vergehen meist einige Jahre. Sind die Rainbow-Tabellen erst einmal in Umlauf, ist es mit der Sicherheit von Systemen, die gegen Rainbow-Tabellen anfällig sind, jedoch vorbei. Das ist beispielsweise bei Windows der Fall.

Wer in ein Land einreist, das gerne Laptops von Wirtschaftsunternehmen unter dem Vorwand der Terrorismusbekämpfung konfisziert, sollte sich darüber im Klaren sein, dass Regierungen und Geheimdienste über weitaus bessere Rainbow-Tabellen und mehr Computing-Power verfügen.

Wer seine Festplatte nicht komplett verschlüsselt, muss bei Verlust damit rechnen, dass nicht nur der Inhalt ausgelesen wird, sondern auch das eigene Passwort geknackt wird. Damit kann man versuchen, online in Konten des Benutzers einzudringen.