Mit guten Rainbow-Tabellen (PDF) lassen sich Passwörter mit relativ geringem Rechenaufwand knacken, die mittels eines Hashwertes ohne Salt gespeichert und verglichen werden. Gefährdet durch einen solchen Angriff sind beispielsweise Windows-Rechner inklusive Active-Directory-Domänen. Davon geht eine konkrete Gefahr aus, da solche Tabellen im Internet von jedermann heruntergeladen werden können, der weiß, wie man Google benutzt.
Das Prinzip beruht auf relativ großen Datenbanken in der Größenordnung von einigen Terabyte. Noch vor wenigen Jahren wäre es für Privatpersonen nicht denkbar, mit solchen Datenmengen zu arbeiten. Heute kostet eine Festplatte mit 2 TByte nur noch etwa 80 Euro. Durch die Datenbank lässt sich der Rechenaufwand gegenüber einem Brute-Force-Angriff erheblich reduzieren. Oft dauert der Entschlüsselungsvorgang nur wenige Minuten.
Geht man einmal davon aus, dass Benutzer nur bestimmte Zeichen für ihre Passwörter verwenden, etwa Groß- und Kleinbuchstaben, Zahlen sowie einige Sonderzeichen, kommt man auf etwa 70 Zeichen. Bei einer Passwortlänge von maximal sechs Zeichen ergeben sich 706 = 117,6 Milliarden Möglichkeiten für verschiedene Passwörter.
Obwohl die Menge der Zeichen beschränkt ist, darf man einen Angriff mittels Rainbow-Tabellen nicht mit einem Wörterbuchangriff verwechseln. Bei letzterem geht man davon aus, dass die Nutzer nur Wörter verwenden, die tatsächlich existieren, etwa geheim. Bei einer Rainbow-Attacke können beliebige Zeichenfolgen verwendet werden, beispielsweise q1$J.v.
Eine Möglichkeit wäre es, eine vollenumerierte Datenbank zusammenzustellen, das heißt alle möglichen Kombinationen von Klartextpasswort und 128-Bit-Hashwert zu speichern. Diese Datenbank hätte eine Größe von 2,35 TByte. Wer in Besitz einer solchen Datenbank ist, könnte jedes Windows-Passwort bis einschließlich sechs Zeichen knacken.
Ist das Passwort jedoch länger als sechs Zeichen, dann steigt die Größe der Datenbank überproportional an. Bei acht Zeichen benötigt man bereits 12.583 TByte beziehungsweise 12,29 PByte (Petabyte). Das ist mit typischem Heimequipment nicht mehr zu machen.
Eine andere Möglichkeit, ein Passwort zu knacken, wäre ein Brute-Force-Angriff. Er scheitert jedoch in der Regel daran, dass man nicht genug Rechenleistung hat. Ein Angriff mit einer vollenumerierten Datenbank ist mit acht Zeichen nicht zu machen, weil die Datenbank zu groß ist.
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…