Mit guten Rainbow-Tabellen (PDF) lassen sich Passwörter mit relativ geringem Rechenaufwand knacken, die mittels eines Hashwertes ohne Salt gespeichert und verglichen werden. Gefährdet durch einen solchen Angriff sind beispielsweise Windows-Rechner inklusive Active-Directory-Domänen. Davon geht eine konkrete Gefahr aus, da solche Tabellen im Internet von jedermann heruntergeladen werden können, der weiß, wie man Google benutzt.
Das Prinzip beruht auf relativ großen Datenbanken in der Größenordnung von einigen Terabyte. Noch vor wenigen Jahren wäre es für Privatpersonen nicht denkbar, mit solchen Datenmengen zu arbeiten. Heute kostet eine Festplatte mit 2 TByte nur noch etwa 80 Euro. Durch die Datenbank lässt sich der Rechenaufwand gegenüber einem Brute-Force-Angriff erheblich reduzieren. Oft dauert der Entschlüsselungsvorgang nur wenige Minuten.
Geht man einmal davon aus, dass Benutzer nur bestimmte Zeichen für ihre Passwörter verwenden, etwa Groß- und Kleinbuchstaben, Zahlen sowie einige Sonderzeichen, kommt man auf etwa 70 Zeichen. Bei einer Passwortlänge von maximal sechs Zeichen ergeben sich 706 = 117,6 Milliarden Möglichkeiten für verschiedene Passwörter.
Obwohl die Menge der Zeichen beschränkt ist, darf man einen Angriff mittels Rainbow-Tabellen nicht mit einem Wörterbuchangriff verwechseln. Bei letzterem geht man davon aus, dass die Nutzer nur Wörter verwenden, die tatsächlich existieren, etwa geheim. Bei einer Rainbow-Attacke können beliebige Zeichenfolgen verwendet werden, beispielsweise q1$J.v.
Eine Möglichkeit wäre es, eine vollenumerierte Datenbank zusammenzustellen, das heißt alle möglichen Kombinationen von Klartextpasswort und 128-Bit-Hashwert zu speichern. Diese Datenbank hätte eine Größe von 2,35 TByte. Wer in Besitz einer solchen Datenbank ist, könnte jedes Windows-Passwort bis einschließlich sechs Zeichen knacken.
Ist das Passwort jedoch länger als sechs Zeichen, dann steigt die Größe der Datenbank überproportional an. Bei acht Zeichen benötigt man bereits 12.583 TByte beziehungsweise 12,29 PByte (Petabyte). Das ist mit typischem Heimequipment nicht mehr zu machen.
Eine andere Möglichkeit, ein Passwort zu knacken, wäre ein Brute-Force-Angriff. Er scheitert jedoch in der Regel daran, dass man nicht genug Rechenleistung hat. Ein Angriff mit einer vollenumerierten Datenbank ist mit acht Zeichen nicht zu machen, weil die Datenbank zu groß ist.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…