Mit guten Rainbow-Tabellen (PDF) lassen sich Passwörter mit relativ geringem Rechenaufwand knacken, die mittels eines Hashwertes ohne Salt gespeichert und verglichen werden. Gefährdet durch einen solchen Angriff sind beispielsweise Windows-Rechner inklusive Active-Directory-Domänen. Davon geht eine konkrete Gefahr aus, da solche Tabellen im Internet von jedermann heruntergeladen werden können, der weiß, wie man Google benutzt.
Das Prinzip beruht auf relativ großen Datenbanken in der Größenordnung von einigen Terabyte. Noch vor wenigen Jahren wäre es für Privatpersonen nicht denkbar, mit solchen Datenmengen zu arbeiten. Heute kostet eine Festplatte mit 2 TByte nur noch etwa 80 Euro. Durch die Datenbank lässt sich der Rechenaufwand gegenüber einem Brute-Force-Angriff erheblich reduzieren. Oft dauert der Entschlüsselungsvorgang nur wenige Minuten.
Geht man einmal davon aus, dass Benutzer nur bestimmte Zeichen für ihre Passwörter verwenden, etwa Groß- und Kleinbuchstaben, Zahlen sowie einige Sonderzeichen, kommt man auf etwa 70 Zeichen. Bei einer Passwortlänge von maximal sechs Zeichen ergeben sich 706 = 117,6 Milliarden Möglichkeiten für verschiedene Passwörter.
Obwohl die Menge der Zeichen beschränkt ist, darf man einen Angriff mittels Rainbow-Tabellen nicht mit einem Wörterbuchangriff verwechseln. Bei letzterem geht man davon aus, dass die Nutzer nur Wörter verwenden, die tatsächlich existieren, etwa geheim. Bei einer Rainbow-Attacke können beliebige Zeichenfolgen verwendet werden, beispielsweise q1$J.v.
Eine Möglichkeit wäre es, eine vollenumerierte Datenbank zusammenzustellen, das heißt alle möglichen Kombinationen von Klartextpasswort und 128-Bit-Hashwert zu speichern. Diese Datenbank hätte eine Größe von 2,35 TByte. Wer in Besitz einer solchen Datenbank ist, könnte jedes Windows-Passwort bis einschließlich sechs Zeichen knacken.
Ist das Passwort jedoch länger als sechs Zeichen, dann steigt die Größe der Datenbank überproportional an. Bei acht Zeichen benötigt man bereits 12.583 TByte beziehungsweise 12,29 PByte (Petabyte). Das ist mit typischem Heimequipment nicht mehr zu machen.
Eine andere Möglichkeit, ein Passwort zu knacken, wäre ein Brute-Force-Angriff. Er scheitert jedoch in der Regel daran, dass man nicht genug Rechenleistung hat. Ein Angriff mit einer vollenumerierten Datenbank ist mit acht Zeichen nicht zu machen, weil die Datenbank zu groß ist.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…