Warnung vor NT-Sicherheitstool

Die renommierte Hackergruppe L0pht warnt vor dem Tool Password Appraiser, das prüft, wie leicht sich NT-Paßwörter knacken lassen. Wer dieses Programm benutzt, verschickt laut der L0pht-Analyse Paßwortinformationen ungeschützt über das Internet.

Der Password Appraiser arbeitet wahlweise (in der Demo-Version aussschließlich) mit einer Online-Datenbank, um die von Windows NT gespeicherten chiffrierten Paßwort-Hashes mit einer Datenbank der Hashwerte bekannter Paßwörter zu vergleichen. Die zu testenden Daten überträgt der Appraiser dem Lopht-Advisory zufolge ohne jegliche Verschlüsselung in einer URL. Der Server antworte ebenfalls im Klartext, wenn es ihm gelingt, den übertragenen Hash zu knacken. Obwohl hierbei der zur Anmeldung erforderliche Username fehlt, vermuten die L0pht-Hacker, daß sich dieser - besonders bei kleineren Unternehmen - leicht ermitteln läßt, da das Zielsystem durch die Übertragung zu identifizieren ist. (nl)