Passwort-Cracker als Bezahldienst
Das neue Geschäftsmodell von RainbowCrack Online bietet Passwörter gegen Bezahlung. Diverse Hash-Typen lassen sich auf den verwendeten Klartext mit bis zu acht Zeichen zurück führen.
Die Entwickler von RainbowCrack Online haben ein neues Geschäftsmodell für sich entdeckt: Ab 30 US-Dollar monatlich entschlüsselt der Dienst die verbreiteten Hash-Typen MD5, IBM Lan Manager, SHA1, Cisco Pix, NTLM, MySQL-323 und MD4 und liefert die bis zu acht Zeichen langen Klartextpasswörter, sofern diese nicht mit einer angehängten Zufallskomponente, dem so genannten Salt, versehen sind.
Den Berechnungen liegen derzeit insgesamt 560 Gigabyte so genannter Rainbow-Tabellen zu Grunde, in denen alle zeitaufwändigen Zwischenschritte bereits vorberechnet und abgespeichert wurden. Durch den so erzielten Kompromiss zwischen Rechenaufwand und Speicherplatz lässt sich beispielsweise ein MD5-Hash mit Hilfe einer 105 Gigabyte großen Rainbow-Tabelle für bis zu siebenstellige Passwörter mit dem Zeichenvorrat [a-z], [0-9] plus Sonderzeichen in höchstens zwei Stunden auf den ursprünglichen Klartext zurückführen. Dies gelingt je nach verwendeter Tabelle mit einer Wahrscheinlichkeit zwischen 99,33 und 99,97 Prozent.
Es stehen für die unterschiedlichen Hash-Typen vorberechnete Rainbow-Tabellen für jeweils verschiedene Zeichenvorräte und maximale Passwortlängen zur Verfügung. So eignet sich beispielsweise eine Tabelle für den IBM Lan Manager für bis zu siebenstellige alphanumerische Passwörter mit Sonderzeichen und benötigt für einen Durchlauf höchsten eine Stunde und 20 Minuten. Ein NTLM-Hash, wie er immer noch in Windows-Netzwerken zum Einsatz kommt, bietet für ein achtstelliges Passwort aus Kleinbuchstaben und Zahlen maximal 18 Minuten lang Schutz. Ein Hash aus einer Firewall Cisco Pix lässt sich sogar in nur elf Minuten cracken.
Rainbow-Tabellen wachsen bei größeren Zeichenvorräten und Passwortlängen extrem stark an und benötigen leicht mehrere Jahre Rechenaufwand zur Erstellung. Da mittlerweile jedes moderne Hash-System über einen mehr oder weniger guten Salt verfügt, der das Passwort je nach Implementierung um eine beliebig lange Zufallskomponente verlängert, birgt der neue Online-Dienst für diese keine Gefahr. Ebenso bringen lange Passwörter mit Sonderzeichen, die nicht durch die schon existierenden Rainbow-Tabellen abgedeckt werden, ein gewisses Maß an Sicherheit. Schwache Passwörter ohne Sonderzeichen in einem schlechten Hash-System bilden allerdings kaum noch große Hindernisse.
Im Prinzip kann sich jeder die notwendigen Rainbow-Tabellen mit dem frei verfügbaren Windows-Programm RainbowCrack berechnen. Die Betreiber von RainbowCrack Online, das 2003 als frei zugänglicher Online-Dienst für bis zu fünf Zeichen lange Passwörter startete, geben jedoch an, mit ihren mittlerweile rund 200 Servern einen Vorsprung von etwa vier Jahren zu besitzen. Insofern bestätigt der neue Passwort-Crack-Dienst den aktuellen Trend, große oder aufwändig zu berechnende Datenbestände zentral anzusammeln und gegen Bezahlung zur Verfügung zu stellen.
Siehe dazu auch:
- Schwacher Passwortschutz in Oracle, Meldung auf heise Security
- Knacken von Windows-Passwörtern in Sekunden, Meldung auf heise Security
- Angriff auf Passwörter in Windows-Netzwerken, Hintergrundartikel auf heise Security
(cr)