Mit guten Rainbow-Tabellen (PDF) lassen sich Passwörter mit relativ geringem Rechenaufwand knacken, die mittels eines Hashwertes ohne Salt gespeichert und verglichen werden. Gefährdet durch einen solchen Angriff sind beispielsweise Windows-Rechner inklusive Active-Directory-Domänen. Davon geht eine konkrete Gefahr aus, da solche Tabellen im Internet von jedermann heruntergeladen werden können, der weiß, wie man Google benutzt.
Das Prinzip beruht auf relativ großen Datenbanken in der Größenordnung von einigen Terabyte. Noch vor wenigen Jahren wäre es für Privatpersonen nicht denkbar, mit solchen Datenmengen zu arbeiten. Heute kostet eine Festplatte mit 2 TByte nur noch etwa 80 Euro. Durch die Datenbank lässt sich der Rechenaufwand gegenüber einem Brute-Force-Angriff erheblich reduzieren. Oft dauert der Entschlüsselungsvorgang nur wenige Minuten.
Geht man einmal davon aus, dass Benutzer nur bestimmte Zeichen für ihre Passwörter verwenden, etwa Groß- und Kleinbuchstaben, Zahlen sowie einige Sonderzeichen, kommt man auf etwa 70 Zeichen. Bei einer Passwortlänge von maximal sechs Zeichen ergeben sich 706 = 117,6 Milliarden Möglichkeiten für verschiedene Passwörter.
Obwohl die Menge der Zeichen beschränkt ist, darf man einen Angriff mittels Rainbow-Tabellen nicht mit einem Wörterbuchangriff verwechseln. Bei letzterem geht man davon aus, dass die Nutzer nur Wörter verwenden, die tatsächlich existieren, etwa geheim. Bei einer Rainbow-Attacke können beliebige Zeichenfolgen verwendet werden, beispielsweise q1$J.v.
Eine Möglichkeit wäre es, eine vollenumerierte Datenbank zusammenzustellen, das heißt alle möglichen Kombinationen von Klartextpasswort und 128-Bit-Hashwert zu speichern. Diese Datenbank hätte eine Größe von 2,35 TByte. Wer in Besitz einer solchen Datenbank ist, könnte jedes Windows-Passwort bis einschließlich sechs Zeichen knacken.
Ist das Passwort jedoch länger als sechs Zeichen, dann steigt die Größe der Datenbank überproportional an. Bei acht Zeichen benötigt man bereits 12.583 TByte beziehungsweise 12,29 PByte (Petabyte). Das ist mit typischem Heimequipment nicht mehr zu machen.
Eine andere Möglichkeit, ein Passwort zu knacken, wäre ein Brute-Force-Angriff. Er scheitert jedoch in der Regel daran, dass man nicht genug Rechenleistung hat. Ein Angriff mit einer vollenumerierten Datenbank ist mit acht Zeichen nicht zu machen, weil die Datenbank zu groß ist.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.